Uç Nokta için Microsoft Defender tarafından bulunan uygulamaları araştırma

Uç Nokta için Microsoft Defender ile Bulut için Microsoft Defender Uygulamaları tümleştirmesi sorunsuz bir Gölge BT görünürlüğü ve denetim çözümü sağlar. Tümleştirmemiz, Bulut için Defender Uygulamaları yöneticilerinin bulunan cihazları, ağ olaylarını ve uygulama kullanımını araştırmasını sağlar.

Önkoşullar

Bu makaledeki yordamları gerçekleştirmeden önce, Uç Nokta için Microsoft Defender Bulut için Microsoft Defender Uygulamaları ile tümleştirdiğinizden emin olun.

Bulut için Defender Uygulamalarında bulunan cihazları araştırma

Uç Nokta için Defender'ı Bulut için Defender Uygulamaları ile tümleştirdikten sonra, bulut bulma panosunda bulunan cihaz verilerini araştırın.

  1. Microsoft Defender portalında, Cloud Apps'in altında Cloud Discovery Panosu'nu> seçin.

  2. Sayfanın üst kısmında Defender tarafından yönetilen uç noktalar'ı seçin. Bu akış, Bulut için Defender Uygulamaları önkoşullarında belirtilen tüm işletim sistemlerinden veriler içerir.

Üst kısımda, tümleştirmeden sonra eklenen bulunan cihazların sayısını göreceksiniz.

  1. Devices (Cihazlar) sekmesini seçin.

  2. Listelenen her cihazda detaya gidin ve araştırma verilerini görüntülemek için sekmeleri kullanın. Cihazlar, kullanıcılar, IP adresleri ve olaylara dahil olan uygulamalar arasındaki bağıntıları bulun:

    • Genel bakış:

      • Cihaz risk düzeyi: Önem derecesi (yüksek, orta, düşük, bilgilendirme) ile gösterildiği gibi cihaz profilinin kuruluşunuzdaki diğer cihazlara göre ne kadar riskli olduğunu gösterir. Bulut için Defender Uygulamaları, gelişmiş analize dayalı olarak her cihaz için Uç Nokta için Defender'ın cihaz profillerini kullanır. Bir cihazın temeline anormal olan etkinlik değerlendirilir ve cihazın risk düzeyini belirler. Önce hangi cihazların araştırılmasını belirlemek için cihaz risk düzeyini kullanın.
      • İşlemler: Seçilen süre boyunca cihazda gerçekleşen işlem sayısı hakkında bilgi.
      • Toplam trafik: Seçilen zaman aralığındaki toplam trafik miktarı (MB cinsinden) hakkında bilgi.
      • Karşıya yüklemeler: Seçilen süre boyunca cihaz tarafından karşıya yüklenen toplam trafik miktarı (MB cinsinden) hakkında bilgi.
      • İndirmeler: Seçilen süre boyunca cihaz tarafından indirilen toplam trafik miktarı (MB cinsinden) hakkında bilgi.
    • Bulunan uygulamalar: Cihaz tarafından erişilen bulunan tüm uygulamaları listeler.

    • Kullanıcı geçmişi: Cihazda oturum açan tüm kullanıcıları listeler.

    • IP adresi geçmişi: Cihaza atanan tüm IP adreslerini listeler.

Diğer tüm bulut bulma kaynaklarında olduğu gibi, daha fazla araştırma için Verileri Defender tarafından yönetilen uç noktalar raporundan dışarı aktarabilirsiniz.

Not

  • Uç Nokta için Defender verileri Bulut için Defender Uygulamalara yaklaşık 4 MB'lık öbekler halinde iletir (~4000 uç nokta işlemi)
  • 4 MB sınırına 1 saat içinde ulaşılmazsa, Uç Nokta için Defender son bir saat içinde gerçekleştirilen tüm işlemleri raporlar.

Uç nokta bir ağ ara sunucusunun arkasındayken Uç Nokta için Defender aracılığıyla uygulamaları bulma

Bulut için Defender Uygulamalar, bir ağ proxy'si ile aynı ortamda çalışan Uç Nokta için Defender cihazlarından algılanan Gölge BT ağ olaylarını bulabilir. Örneğin, Windows 10 uç nokta cihazınız ZScalar ile aynı ortamdaysa, Bulut için Defender Uygulamalar Win10 Uç Nokta Kullanıcıları akışı aracılığıyla Gölge BT uygulamalarını bulabilir.

Microsoft Defender XDR'de cihaz ağ olaylarını araştırma

Not

Bulunan uygulamaları araştırmak için ağ olayları kullanılmalıdır ve eksik verilerde hata ayıklamak için kullanılmamalıdır.

Uç Nokta için Microsoft Defender cihazın ağ etkinliğinde daha ayrıntılı görünürlük elde etmek için aşağıdaki adımları kullanın:

  1. Microsoft Defender Portalı'nda, Cloud Apps'in altında Cloud Discovery'yi seçin. Ardından Cihazlar sekmesini seçin.
  2. Araştırmak istediğiniz makineyi seçin ve sol üst kısımda Uç Nokta için Microsoft Defender'da görüntüle'yi seçin.
  3. Microsoft Defender XDR'de Varlıklar ->Cihazlar> {seçili cihaz} altında Zaman Çizelgesi'ni seçin.
  4. Filtreler'in altında Ağ olayları'yı seçin.
  5. Cihazın ağ olaylarını gerektiği gibi araştırın.

Microsoft Defender XDR'de cihaz zaman çizelgesini gösteren ekran görüntüsü.

Gelişmiş tehdit avcılığı ile Microsoft Defender XDR'de uygulama kullanımını araştırma

Uç Nokta için Defender'da uygulamayla ilgili ağ olaylarında daha ayrıntılı görünürlük elde etmek için aşağıdaki adımları kullanın:

  1. Microsoft Defender Portalı'nda, Cloud Apps'in altında Cloud Discovery'yi seçin. Ardından Bulunan uygulamalar sekmesini seçin.

  2. Çekmecesini açmak için araştırmak istediğiniz uygulamayı seçin.

  3. Uygulamanın Etki alanı listesini seçin ve etki alanı listesini kopyalayın.

  4. Microsoft Defender XDR'de, Tehdit Avcılığı'nın altında Gelişmiş avcılık'ı seçin.

  5. Aşağıdaki sorguyu yapıştırın ve değerini daha önce kopyaladığınız etki alanları listesiyle değiştirin <DOMAIN_LIST> .

    DeviceNetworkEvents
    | where RemoteUrl has_any ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Sorguyu çalıştırın ve bu uygulama için ağ olaylarını araştırın.

    Microsoft Defender XDR Gelişmiş avcılığı gösteren ekran görüntüsü.

Microsoft Defender XDR'de tasdik edilmemiş uygulamaları araştırma

Tasdik edilmemiş bir uygulamaya erişmeye yönelik her girişim, Microsoft Defender XDR'de oturumun tamamı hakkında ayrıntılı bilgi içeren bir uyarı tetikler. Bu sayede, tasdik edilmemiş uygulamalara erişme girişimleriyle ilgili daha ayrıntılı araştırmalar gerçekleştirmenin yanı sıra uç nokta cihaz araştırmasında kullanmak üzere ek ilgili bilgiler sağlarsınız.

Bazen uç nokta cihazı doğru yapılandırılmadığından veya zorlama ilkesi henüz uç noktaya yayılmadığından, tasdik edilmemiş bir uygulamaya erişim engellenmez. Bu örnekte, Uç Nokta için Defender yöneticileri Microsoft Defender XDR'de onaylanmamış uygulamanın engellenmediğini belirten bir uyarı alır.

Uç Nokta için Defender'ın tasdiksiz uygulama uyarısını gösteren ekran görüntüsü.

Not

  • Bir uygulamayı, uygulama etki alanlarının uç nokta cihazlarına yayılması için Tasdiksiz olarak etiketlemeniz iki saat kadar sürer.
  • Varsayılan olarak, Bulut için Defender Uygulamalarında Tasdiksiz olarak işaretlenen uygulamalar ve etki alanları kuruluştaki tüm uç nokta cihazları için engellenir.
  • Şu anda, tam URL'ler tasdik edilmemiş uygulamalar için desteklenmemektedir. Bu nedenle, tam URL'lerle yapılandırılan uygulamalar tasdik edilmediğinde Uç Nokta için Defender'a yayılmaz ve engellenmez. Örneğin, google.com/drive desteklenmese de drive.google.com desteklenmez.
  • Tarayıcı içi bildirimler farklı tarayıcılar arasında farklılık gösterebilir.

Sonraki adımlar

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.