WDATP Sunucu Desteği

  • Article

Microsoft’un Endpoint Detection & Response çözümü olan Windows Defender ATP servisi, artık Windows tabanlı sunucular üzerindeki aktivite bilgilerini de analiz ederek olası siber saldırıların ortaya çıkartılmasına imkan sağlıyor. Bu makalede Windows Defender ATP servisinin sunucu desteğini inceleyecek ve Örnek bir sunucunun onboarding işlemini gerçekleştireceğiz.

Windows Defender ATP; uç nokta koruma çözümlerinin aksine imza tabanlı bir koruma sunmak yerine, davranış tabanlı bir farkındalık sağlama amacı taşır. Yani WDATP servisi üzerinde görülen uyarılar, gerçekleşmiş aktiviteler sonucunda ortaya çıkan uyarılardır. Servis Windows 10 istemcilerin yanı sıra, gerçekleştirilen geliştirmeler ile Windows Server 2012 R2 ve Windows Server 2016 sunucular da desteklenmektedir. server-1
Şekil – 1: WDATP Windows Sunucu Desteği

Ancak Windows 10 istemcilerin aksine, sunucuların Windows Defender ATP’ye raporlayabilmesi için Microsoft Monitoring Agent yüklenmesi gerekmektedir. Windows Defender ATP servisinin sunucu desteği ile ilgili detaylara /en-us/windows/threat-protection/windows-defender-atp/configure-server-endpoints-windows-defender-advanced-threat-protection adresinden ulaşmak mümkündür.

OMS Servisinin de kullandığı Microsoft Monitoring Agent yazılımı https://go.microsoft.com/fwlink/?LinkId=828603 adresinden indirilebilir. MMA yazılımının çoklu raporlama desteği sayesinde sunucu üzerinde yer alan bilgiler OMS servisinin yanı sıra WDATP servisine de iletilebilinir.

server-2
Şekil – 2: Microsoft Monitoring Agent İndirmesi

İndirilen Microsoft Monitoring Agent kurulumu başlatıldıktan sonra standart End User License Agreement ve Windows Update seçenekleri görüntülenecektir

server-3
Şekil – 3: Microsoft Monitoring Agent Yüklemesi

Kurulum sırasında doğrudan bir OMS / SCOM raporlama konfigürasyonu yapılabileceği gibi bu seçenekler boş geçilerek, gerekli konfigürasyonun daha sonra yapılması da sağlanabilir.

server-4
Şekil – 4: Microsoft Monitoring Agent Raporlama Ayarları

Yüklenmiş olan bir Microsoft Monitoring Agent üzerine yeni konfigürasyon eklemek mümkündür. Bunun için Denetim Masası üzerinde yer alan Microsoft Monitoring Agent arayüzü kullanılabilir.

server-5
Şekil – 5: Denetim Masası

server-6
Şekil – 6: Microsoft Monitoring Agent Properties

Burada yer alan sekmeler içerisinde Operations Manager Bölümü, bir SCOM sunucusuna erişim için kullanılabilirken OMS ve WDATP servisi için Azure Log Analytics sekmesi kullanılmaktadır. Bunun dışında proxy settings sekmesi kullanılarak internet erişimi için vekil sunucu ayarları gerçekleştirilebilir.

server-7
Şekil – 7: Log Analytics Workspace Konfigürasyonu

WDATP konfigürasyonunu gerçekleştirmek için Add butonuna tıklamak ve açılan pencereye WDATP Portalında yer alan Workspace ID ve Workspace Key bilgilerini girmek yeterli olacaktır. Bu bilgilere WDATP Tenant üzerinde yer alan Client Management bölümünün altındaki Server seçeneğinden erişilebilmektedir.

server-11
Şekil – 8: Server Endpoint Onboarding

WDATP servisi ile ilgili bilgilerin girişi tamamlandıktan sonra, Apply butonuna basılarak Microsoft Monitoring Agent’ın girilmiş bilgileri kontrol etmesi sağlanır.

server-8
Şekil – 9: Microsoft Monitoring Agent

Yapılan kontroller sonucunda WDATP servisine erişim sağlanabiliyor ise Microsoft Monitoring Agent konfigürasyon bilgisi yeşil olarak işaretlenecektir.

server-9
Şekil – 10: Microsoft Monitoring Agent

Onboarding işlemi gerçekleştirilen sunucu uç noktalar WDATP üzerinde yer alan Makine listesi üzerinden görüntülenebilir. Burada gerçekleştirilen aktivite bilgileri artık Microsoft Threat Intelligence’a karşı sorgulanacak ve saldırı şablonlarına uygun olan davranışlar uyarı olarak raporlanacaktır.

server-10
Şekil – 11: WDATP Makine Listesi