Malum eski bir forefront mvp’ si olarak Microsoft’ un güvenlik macerasını çok eskilere kadar takip eden ve bu konuda bir hayli tecrübeli bir insan olarak geldiğimiz noktayı anlatmak bana keyif veriyor. İlk olarak Forefront ürün ailesi ile güvenliğe giren Microsoft o yıllar ne yazık ki çok başarılı olamamıştı. Bende özellikle aktif olarak bu konuda POC veya ürün kullanımlarında bu sorunları yakından görmüştüm. Açıkcası ISA-TMG gibi ürünleri dışında diğer ürünlerde hep sorunlar yaşadık ki bir süre sonra Microsoft bu ürün ailesini kapattı. Ancak microsoft’ un 2010 yılı ile beraber artan bulut talebine en iyi karşılık veren bulut sağlayıcısı konumuna gelmesi ile beraber işler değişti. Artık üstlendiği role gereği inanılmaz derecede çok sensöre sahip bir şirket haline geldi. Sadece Azure üzerindeki network trafiğini bile izlemek ve oradan veri toplamak belki de güvenlik firmalarının her zaman hayalini kurduğu Dünya network trafiği veya cihaz trafiğindeki üstünlüğünü sağlamış oldu. Tabi ki AWS, Google başta olmak üzere bu pazarı paylaşıyor olsa bile Trend Micro gibi, Symantec, Mcafee ve başka bildiğiniz hiç bir üreticide olmayan sensör ve uç nokta avantajını birden yakalamış oldu. Çok ciddi bir iş yükünü kendi veri merkezlerinde toplamaya başlayınca ciddi güvenlik atakları ve riskleri ile karşı karşıya kaldı, ikinci sınavında ise çok başarılı bir şekilde sonuçlar aldı. Evet cloud devrimi ile birlikte Microsoft’ un çıkardığı her güvenlik ürünü nerede ise mükemmel sonuçlar veriyordu. Tabi ki hiç bir ürün mükemmel değildi ancak sonuçlar sektöre genel olarak tatmin etmek için yeterliydi. Temel koruma ürünlerinin verdiği bu başarı sonrasında aslında yayın kullanılan diğer güvenlik ürünlerinin de bulut üzerinden ama onprem sistemleride destekleyecek şekilde çalışması müşterileri memnun etti. Yani alt yapı bulut üzerinde olmasına karşın onpremdeki windows veya linuıx sistemleri de koruyabilecek, takip edip raporlayabilecek bir hale geldik.
Bu son 10 yıllık sürece bakınca saldırıların hem karmaşıklığı hem de motivasyonu arttı, Saldırganlar en savunmasız kaynaklardan en güvenli olduğunu düşündüğümüz alt yapılara kadar her noktaya saldırmaya başladı. Özellikle E-Posta ve uç noktalar gibi bireysel alanları korumak çok daha kritik bir hal aldı. Bu nedenle geleneksel anti virüs ürünleri yerine EDR, XDR, Zero Trust gibi kavramları öğrenmeye başladık.
Durum böyle olunca bu kadar fazla ürünü farklı üreticilerden temin edip farklı konsollardan takip etmek aslında temel amacımız olan hızlı reaksiyon için çok uygun değildi. Microsoft bu noktada devreye girerek bütünleşik bir SIEM + XDR çözümü sundu. SIEM ve XDR’ ın birleşmesi ile beraber ataklara karşı savunma görevinde olanlar her zamankinden daha fazla güçlü bir hale geldi. Bu sayede tehtid önlemlerini proaktif olarak hayata geçiriyorlar.
Bu haber ile beraber Microsoft bütün XDR teknolojilerini Microsoft Defender markası altında birleştirme kararı aldı.
Microsoft Defender temel olarak ayrı deneyim sunmaktadır.
Microsoft 365 Defender
Microsoft 365 Defender XDR kapasitesini bulut uygulamaları, kimlikler, email ve dokumanlar için kullanabilir ve özellikle SOC ekiplerinin iş yükünü azalmakta için yapay zeka sayesinde binlerce olaydan anlamlı ve gerçekten önemli olayları sizlere gösterir.
Aşağıda ise Microsoft Defender 365 için isim değişikliklerini görüyoruz;
Microsoft 365 Defender (previously Microsoft Threat Protection).
Microsoft Defender for Endpoint (previously Microsoft Defender Advanced Threat Protection).
Microsoft Defender for Office 365 (previously Office 365 Advanced Threat Protection).
Microsoft Defender for Identity (previously Azure Advanced Threat Protection).
Azure Defender
Office 365 de olduğu gibi Azure Defender’ da çoklu cloud desteği, hybrid iş yükleri, sanal makineler, veri tabanları, konteyner, IoT ve daha pek çok azure üzerinde veya onprem çalışan sistemler için EDR kapasitesi sunar.
Azure Defender for Servers (previously Azure Security Center Standard Edition).
Azure Defender for IoT (previously Azure Security Center for IoT).
Azure Defender for SQL (previously Advanced Threat Protection for SQL).
Peki Azure Sentinel bu işin neresinde? Aslında kalbinde diyebiliriz çünkü Azure sentinel bu iki ürün için temel loglama yani SIEM görevi görür.
