Uç noktaları yönetmek ve Microsoft Defender’da (MDE) güvenlik olaylarına yanıt vermek zaman alıcı ve karmaşık olabilir. MDeautomator, bunu kolaylaştırmak için tasarlanmış açık kaynaklı bir araçtır.
MDeautomator, zamandan tasarruf etmek ve manuel çalışmayı azaltmak isteyen BT ve güvenlik ekipleri için modüler, sunucusuz bir çözümdür. Azure işlev uygulamaları ve özel bir PowerShell modülü kullanarak MDeautomator, ekstra altyapıyı yönetmeye gerek kalmadan MDE’yi yeni cihazlara dağıtmak ve uyarılara yanıt vermek gibi görevleri otomatikleştirir.
Anahtar Özellikler
- Taşınabilir Powershell Modülü
- MDE yanıt eylemlerinin toplu otomasyonu ve canlı yanıt eylemleri
- MDE Tehdit Göstergelerinin Toplu Yönetimi (IOCS)
- Çok kiracılı kullanım durumları için tasarlanmış
- Gizli Uygulama Kayıt/UMI AUTH + Manuel $ SPNSECRET esnekliği
- Son nokta güvenlik profillerinde mevcut olmayan PowerShell üzerinden anahtar yapılandırma ayarlarını sunma yeteneği
- Yerleşik tüm kiracılar için otomatik günlük tehdit avı
- Azure depolama ile özel algılama senkronizasyonu ve yönetimi
- Azure depolama alanına uç nokta paketlerinin/dosyalarının kullanışlı yüklenmesi
- Defender olaylarının basitleştirilmiş yönetimi
MDeautomator’un önemli kısımları
MDEAutomator, Microsoft Defender’daki görevleri uç nokta için otomatikleştirmek için birlikte çalışan birkaç araçtan oluşur. Her bölümün güvenlik ekiplerinin zaman kazanmasına ve tehditlere daha hızlı yanıt vermesine yardımcı olan belirli bir işi vardır.
Powershell Modülü
MDeautomator’un kalbinde özel bir PowerShell modülü vardır. Son nokta için savunmacıyı yönetmek için çok çeşitli komutlar (CMDLET’ler olarak adlandırılır) içerir. Bunlar, kullanıcıların kimlik doğrulama ayarlama, canlı yanıt eylemleri çalıştırma, algılama kurallarını yönetme ve tehdit göstergeleriyle çalışma gibi görevleri yerine getirmesine izin verir. Ayrıca Defender’ın avcılık özelliklerini kullanarak gelişmiş aramaları da destekler.
MDEAutomator Orkestrasyon Platformu
Bu, perde arkasında çalışan ana sistemdir. Sunucusuz, yani altyapıyı yönetmeye gerek yok. PowerShell komut dosyalarını savunmacı tarafından yönetilen cihazlara itebilir, aynı anda birçok uç noktada canlı yanıt komutlarını çalıştırabilir ve büyük ölçekli eylemleri otomatikleştirebilir.
Tehdit İstihbarat Yöneticisi
Bu bölüm, dosya karmalar, IP adresleri, alan adları ve kod imzalama sertifikaları gibi tehdit göstergelerini yönetir. Bu göstergelerin nasıl eklendiğini, güncellendiğini veya kaldırıldığını otomatikleştirir. Ayrıca, yerleşik sürüm kontrolü ile Azure Blob depolama alanından özel algılama kurallarını senkronize edebilir ve bunları dağıtmadan önce kuralların geçerli olduğundan emin olmak için kontroller yapabilir.
Aksiyon müdürü
Eylem Yöneticisi, uç nokta için Defender’daki cihazlar arasında çekilen eylemleri takip eder. Ayrıca, bir şeyin hızlı bir şekilde geri alınması gerektiğinde bekleyen tüm eylemleri durdurabilen bir güvenlik anahtarı içerir.
Av Yöneticisi
Bu araç tehdit avına yardımcı olur. Hem manuel hem de planlanmış avları destekler, sorguları yönetir ve daha fazla inceleme için Azure Blob depolamasına otomatik olarak sonuçları kaydeder.
Olay müdürü
Olay Yöneticisi, Defender XDR olaylarını görüntülemek ve yönetmek için merkezi bir yerdir. Ayrıca, her olayla ilgili yorum ve güncellemeleri izler ve ekiplerin yanıt sırasında koordineli kalmasına yardımcı olur.
MDeautomator GitHub’da ücretsiz olarak kullanılabilir.
Okumalı:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Net Security Reklamsız Aylık Haber Bülteni’ne abone olun. BURADA Abone Olun!