Microsoft Defender MAPS (Microsoft Active Protection Service) Etkinleştirme:GPO

yazar

Günümüzde, kötü amaçlı yazılımlar (malware), büyük ölçekli kurumsal altyapıları ciddi şekilde etkileyebilir. Ancak, bulut hizmetlerini kullanarak malwarelere karşı daha etkili bir koruma sağlayabilirsiniz.

Evet, şüpheli malware tetiklemelerinden gerçek zamanlı sonuçlar elde etme fırsatı var. Sisteminiz şunları yapabilir:

  • Şüpheli malware davranışlarını tespit ettiğinde buluta danışma.
  • Hesap ekosistem verilerinden türetilen mantık ve istemcinin yerel sinyallerine dayanarak malware engelleme yanıtı verme.

Peki, bunu nasıl yapabiliriz? Cevap: Microsoft Active Protection Service (MAPS) aracılığıyla.

Microsoft Active Protection Service (MAPS) Nedir?

Microsoft Active Protection Service (MAPS), Microsoft’un geliştirdiği bir bulut tabanlı güvenlik hizmetidir. Bu hizmet, Microsoft’un antivirüs ürünlerini kullanarak, tehditlere karşı hızlı ve etkin bir koruma sağlamayı amaçlar. İşte MAPS’ın sunduğu bazı detaylı özellikler:

  • İstemcilerin, kritik telemetri olaylarını ve şüpheli malware sorgularını buluta bildirmesini.
  • Bulutun, istemciye geri gerçek zamanlı engelleme yanıtları sağlamasını.
  • MAPS hizmeti, Microsoft’un tüm antivirüs ürünleri ve hizmetleri için mevcuttur, bunlar arasında:
  • Microsoft Forefront Endpoint Protection
  • Microsoft Security Essentials
  • System Center Endpoint Protection
  • Windows Defender (Windows 8 ve sonraki sürümleri)
  1. Gerçek Zamanlı Tehdit Algılama: MAPS, şüpheli malware aktivitelerini anında tespit etmek için gerçek zamanlı telemetri verilerini kullanır. Bu, hızlı bir şekilde tehditlere karşı yanıt verilmesini ve potansiyel zararların önlenmesini sağlar.
  2. Bulut Tabanlı Analiz ve Yanıt: Tehdit tespit edildiğinde, MAPS buluta sorgu gönderir. Bulut, bu sorguları analiz eder ve istemciye nasıl hareket etmesi gerektiğine dair talimatlar verir. Bu süreç, tehditlere karşı daha etkili bir müdahale olanağı sunar.
  3. Geniş Kapsamlı Veri Analizi: Microsoft, dünya genelinde milyarlarca cihazdan gelen verileri toplar ve bu verileri tehdit algılama ve analiz sürecinde kullanır. Bu geniş kapsamlı veri havuzu, daha kesin ve güncel tehdit bilgilerinin elde edilmesini sağlar.
  4. Gelişmiş Algoritmalar: MAPS, tehditleri tespit etmek ve analiz etmek için gelişmiş algoritmalar ve makine öğrenimi tekniklerini kullanır. Bu, sürekli gelişen siber tehditlere karşı etkili bir koruma sağlar.
  5. Etkileşimli Koruma Mekanizması: MAPS, kullanıcıların ve IT yöneticilerinin tehditlerle ilgili bilgi almasını ve gerekli adımları atmasını sağlar. Kullanıcılar, tehditler hakkında bilgilendirilir ve gerekirse manuel müdahalede bulunabilirler.
  6. Yanlış Pozitifleri Azaltma: Yanlış pozitif tespitlerin minimize edilmesi için MAPS, sürekli olarak veri toplar ve analiz eder. Bu, gereksiz uyarıların ve kesintilerin önlenmesine yardımcı olur.
  7. Gizlilik ve Güvenlik: Microsoft, toplanan verileri gizlilikle işler ve kullanıcı gizliliğine büyük önem verir. Veriler şifreli olarak iletilir ve yalnızca güvenlik analizi için kullanılır.

Microsoft Active Protection Service (MAPS) Group Policy ile Nasıl Etkinleştirilir?

Microsoft Active Protection Service (MAPS), Intune, SCCM üzerinden etkinleştirileceği gibi eğer ortamınız da bu ürünler bulunmuyorsa Active Directory üzerinden Group Policy kulllanılarak da etkinleştirilebilir.

Bu yazımızda sadece Group Policy kullanarak Microsoft Active Protection Service (MAPS) etkinleştireceğiz.

Active Directory sunucusu üzerinden Server Manager – Tools – Group Policy Management bölümüne geliyoruz ve Group Policy Object bölümünde yeni bir GPO oluşturuyoruz.

Oluşturmuş olduğumuz “MAPS” gpo’suna sağ tık yaparak edit yapıyoruz ve aşağıda ki yolu takip ediyoruz.

Computer Configuration – Policies – Administrative Templates – Windows Components – Microsoft Defender Antivirus – MAPS

  • Configure the ‘Block at First Sight’ feature

Bu özellik, cihazın belirli içeriklerin çalıştırılmasına veya erişilmesine izin vermeden önce Microsoft Etkin Koruma Hizmeti (MAPS) ile gerçek zamanlı olarak kontrol etmesini sağlar. Bu özellik devre dışı bırakılırsa, kontrol gerçekleşmez ve bu da cihazın koruma durumunu düşürür.
Etkin – İlk Görüşte Engelle ayarı açıktır.
Devre Dışı – İlk Görüşte Engelle ayarı kapalıdır. Bu özellik, bu Grup İlkesi ayarlarının aşağıdaki gibi ayarlanmasını gerektirir:
MAPS -> “Microsoft MAPS’e Katıl” etkinleştirilmelidir, aksi takdirde “İlk Görüşte Engelle” özelliği çalışmayacaktır.

  • Join Microsoft MAPS

Microsoft MAPS’e katılmanıza olanak tanır. Microsoft MAPS, olası tehditlere nasıl yanıt vereceğinizi seçmenize yardımcı olan çevrimiçi topluluktur. Topluluk ayrıca yeni kötü amaçlı yazılım bulaşmalarının yayılmasını durdurmaya yardımcı olur.

Algılanan yazılımla ilgili temel veya ek bilgileri göndermeyi seçebilirsiniz. Ek bilgiler, Microsoft’un yeni güvenlik istihbaratı oluşturmasına ve bilgisayarınızı korumasına yardımcı olur. Bu bilgiler, zararlı yazılımların kaldırılması durumunda bilgisayarınızda algılanan öğelerin konumu gibi şeyleri içerebilir. Bilgiler otomatik olarak toplanacak ve gönderilecektir. Bazı durumlarda, kişisel bilgiler istemeden Microsoft’a gönderilebilir. Ancak, Microsoft bu bilgileri kimliğinizi belirlemek veya sizinle iletişim kurmak için kullanmaz.

Possible options are:
(0x0) Disabled (default)
(0x1) Basic membership
(0x2) Advanced membership

  • Configure local setting override for reporting to Microsoft MAPS

Configure the ‘Block at First Sight‘ feautre ilkesi Microsoft MAPS için geçersiz bir kılma ilkesi yapılandırmaktadır.

Bu işlem sadece GPO ile yapılmaktadır.
  • Send file samples when further analysis is required

Bu ilke ayarı, MAPS telemetrisini kabul etme ayarlandığında örnek gönderme davranışını yapılandırır.

Öncelikle ‘Join Microsoft MAPS‘ ilkesinin durumunu Enabled olarak yapılandırmamız gerekmektedir.

  • Basic MAPS: Basic MAPS, cihazlarınızda algılanan kötü amaçlı yazılımlar ve istenmeyebilecek yazılımlar hakkında Microsoft’a temel bilgileri göndermektedir. Gönderilen bilgiler, yazılımın nereden geldiğini (URL’ler ve kısmi yollar gibi), tehdidi çözmek için gerçekleştirilen eylemleri ve eylemlerin başarılı olup olmadığını içermektedir.
  • Advanced MAPS: Advanced MAPS, temel bilgilere ek olarak, yazılımın tam yolu da dahil olmak üzere kötü amaçlı yazılımlar ve potansiyel olarak istenmeyen yazılımlar hakkında ayrıntılı bilgiler ve yazılımın cihazınızı nasıl etkilediği hakkında ayrıntılı bilgiler gönderir.

Send file samples when further analysis is required bölümünüde ‘Enabled‘ olarak yapılandırmamız gerekmektedir. Send all Samples veya Send Safe Samples adımlarından birini seçimi yapabilirsiniz.

Diğer yapılandırmalar isteğe bağlı olarak çalışmaktadır, bu işlemlerden sonra oluşturmuş olduğunuz GPO’yu OU içerisine Link yapabilirsiniz.

Toplanan Koruma Telemetrisi

Bulut aracılığıyla sunulan en son ekosistem genelinde tespit tekniklerinden yararlanın. Microsoft, bir milyardan fazla istemciden koruma telemetrisini toplar ve bunları sayısız sinyalle karşılaştırır. MMPC tehdit istihbaratı, ekosistemdeki tehditleri yapay zeka algoritmaları kullanarak inşa eder ve yönetir. Uç nokta ürünü şüpheli aktivitelerle karşılaştığında, harekete geçmeden önce gerçek zamanlı analiz için buluta danışabilir.

Bulutta mevcut geniş veri ve hesaplama kaynakları, polimorfik ve yeni ortaya çıkan tehditlerin hızlı tespitine ve ileri düzey koruma tekniklerinin uygulanmasına olanak tanır.

İstemci Makineler ve MMPC Bulut Hizmeti

İstemci makineler, telemetriyi gerçek zamanlı olarak (tespit için) veya periyodik olarak (sağlık kontrolleri için) Microsoft Malware Protection Center’ın (MMPC) bulut hizmetine gönderir. Bu, şunları içerir:

  • Tehdit telemetrisi – tehditleri, tehdit ile ilgili kaynakları ve düzeltilme sonuçlarını tanımlamak için.
  • Şüpheli davranış – örnekleri toplamak, neyi izleyip düzelteceğini belirlemek için.
  • Kalp atışı – antivirüs uygulamasının çalışıp çalışmadığını ve güncel sürümü olup olmadığını kontrol etmek için.

MMPC bulut hizmeti, istemci telemetrisine şu şekilde yanıt verir:

  • Bulut eylemleri – potansiyel bir tehdidi nasıl ele alacağı konusunda buluttan gelen talimatlar ve bağlam içeren bir dizi eylem (örneğin, engelleme).
  • Bulut yanlış pozitif hafifletme yanıtı – yanlış pozitif malware tespitlerini bastırmak için.

Toplanan veriler gizlilikle işlenir. Ayrıntılar için Microsoft Gizlilik Bildirimine bakın. Gizliliğinizi korumak için, raporlar Microsoft’a şifreli bir bağlantı üzerinden gönderilir. İlgili veriler analiz edilir.

Yorum yapın

© 2024 Cengiz YILMAZ • Microsoft MVP
DMCA.com Protection Status
Privacy Policy Terms Contact