Kimlik için Microsoft Defender algılayıcı ayarlarını yapılandırma

Bu makalede, verileri görmeye başlamak için Kimlik için Microsoft Defender algılayıcı ayarlarını doğru şekilde yapılandırmayı öğreneceksiniz. Kimlik için Defender'ın tüm özelliklerinden yararlanmak için ek yapılandırma ve tümleştirme yapmanız gerekir.

Algılayıcı ayarlarını görüntüleme ve yapılandırma

Kimlik için Defender algılayıcısı yüklendikten sonra Kimlik için Defender algılayıcı ayarlarını görüntülemek ve yapılandırmak için aşağıdakileri yapın:

1. Microsoft Defender XDR'de Ayarlar>Kimlik Algılayıcıları'na> gidin. Örneğin:

   

   Algılayıcılar sayfasında Kimlik için Defender algılayıcılarınızın tümü görüntülenir ve sensör başına aşağıdaki ayrıntılar listelenir:

   • Algılayıcı adı
   • Algılayıcı etki alanı üyeliği
   • Algılayıcı sürüm numarası
   • Güncelleştirmelerin geciktirilip geciktirilmeyeceği
   • Algılayıcı hizmeti durumu

   • Algılayıcı durumu
   • Algılayıcı sistem durumu
   • Sistem durumu sorunlarının sayısı
   • Algılayıcının oluşturulduğu zaman

   Daha fazla bilgi için bkz . Algılayıcı ayrıntıları.

2. Görünür olmasını istediğiniz filtreleri seçmek için Filtreler'i seçin. Örneğin:

   

3. Hangi algılayıcıların görüntüleneceğini belirlemek için görüntülenen filtreleri kullanın. Örneğin:

   

4. Algılayıcı ve sistem durumu hakkında daha fazla bilgi içeren ayrıntılar bölmesini göstermek için bir algılayıcı seçin. Örneğin:

   

5. Algılayıcı ayrıntılarını yapılandırabileceğiniz bir bölme göstermek için ekranı aşağı kaydırın ve Algılayıcıyı yönet'i seçin. Örneğin:

   

6. Aşağıdaki algılayıcı ayrıntılarını yapılandırın:

   Veri Akışı Adı	Açıklama
   Açıklama	isteğe bağlı. Kimlik için Defender algılayıcısı için bir açıklama girin.
   Etki Alanı Denetleyicileri (FQDN)	AD FS / AD CS sunucularında yüklü tek başına Kimlik için Defender algılayıcıları ve algılayıcıları için gereklidir ve Kimlik için Defender algılayıcısı için değiştirilemez. Etki alanı denetleyicinizin tam FQDN'sini girin ve artı işaretini seçerek listeye ekleyin. Örneğin, DC1.domain1.test.local. Etki Alanı Denetleyicileri listesinde tanımladığınız tüm sunucular için: - Trafiği Tek başına Kimlik için Defender algılayıcısı tarafından bağlantı noktası yansıtma yoluyla izlenen tüm etki alanı denetleyicileriNin Etki Alanı Denetleyicileri listesinde yer alması gerekir. Etki alanı denetleyicisi Etki Alanı Denetleyicileri listesinde yoksa, şüpheli etkinliklerin algılanması beklendiği gibi çalışmayabilir. - Listedeki en az bir etki alanı denetleyicisi genel katalog olmalıdır. Bu, Kimlik için Defender'ın ormandaki diğer etki alanlarındaki bilgisayar ve kullanıcı nesnelerini çözümlemesini sağlar.
   Ağ bağdaştırıcılarını yakalama	Gerekli. - Kimlik için Defender algılayıcıları için, kuruluşunuzdaki diğer bilgisayarlarla iletişim için kullanılan tüm ağ bağdaştırıcıları. - Ayrılmış bir sunucudaki Tek Başına Kimlik için Defender algılayıcısı için hedef yansıtma bağlantı noktası olarak yapılandırılan ağ bağdaştırıcılarını seçin. Bu ağ bağdaştırıcıları yansıtılmış etki alanı denetleyicisi trafiğini alır.

7. Algılayıcılar sayfasında Dışarı Aktar'ı seçerek algılayıcılarınızın listesini bir .csv dosyasına aktarın. Örneğin:

   

Yüklemeleri doğrulama

Kimlik için Defender algılayıcı yüklemenizi doğrulamak için aşağıdaki yordamları kullanın.

Başarılı dağıtımı doğrulama

Kimlik için Defender algılayıcısının başarıyla dağıtıldığını doğrulamak için:

1. Algılayıcı makinenizde Azure Advanced Threat Protection algılayıcı hizmetinin çalışıp çalışmadığını denetleyin. Kimlik için Defender algılayıcı ayarlarını kaydettikten sonra hizmetin başlatılması birkaç saniye sürebilir.

2. Hizmet başlatılmazsa, konumunda varsayılan olarak %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logsbulunan Microsoft.Tri.sensor-Errors.log dosyasını gözden geçirin; burada <sensor version> dağıttığınız sürümdür.

Güvenlik uyarısı işlevselliğini doğrulama

Bu bölümde, güvenlik uyarılarının beklendiği gibi tetiklendiğini nasıl doğrulayabileceğiniz açıklanmaktadır.

Aşağıdaki adımlardaki örnekleri kullanırken, ve contoso.azure yerine sırasıyla Kimlik için Defender algılayıcınızın ve etki alanı adınızın FQDN'sini eklediğinizden contosodc.contoso.azure emin olun.

1. Üyeye katılmış bir cihazda bir komut istemi açın ve nslookup

2. Kimlik için Defender algılayıcısının yüklü olduğu etki alanı denetleyicisinin FQDN veya IP adresini girin server . Örneğin: server contosodc.contoso.azure

3. ls -d contoso.azure girin

4. Test etmek istediğiniz her algılayıcı için önceki iki adımı yineleyin.

5. Cihaz adını arayarak veya Defender portalının başka bir yerinden bağlantı testini çalıştırdığınız bilgisayarın cihaz ayrıntıları sayfasına (örneğin , Cihazlar sayfasından) erişin.

6. Cihaz ayrıntıları sekmesinde Zaman Çizelgesi sekmesini seçerek aşağıdaki etkinliği görüntüleyin:

   • Olaylar: Belirtilen etki alanı adına gerçekleştirilen DNS sorguları
   • Eylem türü MdiDnsQuery

Test ettiğiniz etki alanı denetleyicisi veya AD FS / AD CS dağıttığınız ilk algılayıcıysa, bu etki alanı denetleyicisi için herhangi bir mantıksal etkinliği doğrulamadan önce en az 15 dakika bekleyin ve veritabanı arka ucu ilk mikro hizmet dağıtımlarını tamamlayabilir.

En son kullanılabilir algılayıcı sürümünü doğrulama

Kimlik için Defender sürümü sık sık güncelleştirilir. Microsoft Defender XDR Ayarları>Kimlikleri>Hakkında sayfasında en son sürümü denetleyin.

İlgili içerik

İlk yapılandırma adımlarını yapılandırdığınıza göre, daha fazla ayar yapılandırabilirsiniz. Daha fazla bilgi için aşağıdaki sayfalardan herhangi birine gidin:

• Varlık etiketlerini ayarlama: hassas, honeytoken ve Exchange sunucusu
• Algılama dışlamalarını yapılandırma
• Bildirimleri yapılandırma: sistem durumu sorunları, uyarılar ve Syslog

Sonraki adım