Kimlik için Microsoft Defender algılayıcılarını yönetme ve güncelleştirme

Bu makalede, Microsoft Defender XDR'de Kimlik için Microsoft Defender algılayıcılarını yapılandırma ve yönetme açıklanmaktadır.

Kimlik için Defender algılayıcı ayarlarını ve durumunu görüntüleme

  1. Microsoft Defender XDR'de Ayarlar'a ve ardından Kimlikler'e gidin.

    Ayarlar'a ve ardından Kimlikler'e gidin.

  2. Kimlik için Defender algılayıcılarınızın tümünün görüntülendiği Algılayıcılar sayfasını seçin. Her algılayıcı için adını, etki alanı üyeliğini, sürüm numarasını, güncelleştirmelerin geciktirilmesi gerekiyorsa hizmet durumunu, algılayıcı durumunu, sistem durumunu, sistem durumu sorunlarını ve algılayıcının ne zaman oluşturulduğunu görürsünüz. Her sütunla ilgili ayrıntılar için bkz . Algılayıcı ayrıntıları.

    Algılayıcı sayfası.

  3. Filtreler'i seçerseniz hangi filtrelerin kullanılabilir olacağını seçebilirsiniz. Ardından her filtreyle hangi algılayıcıların görüntüleneceğini seçebilirsiniz.

    Algılayıcı filtreleri.

    Filtrelenmiş algılayıcı.

  4. Algılayıcılardan birini seçerseniz sensör ve sistem durumu hakkında bilgi içeren bir bölme görüntülenir.

    Algılayıcı ayrıntıları.

  5. Sistem durumu sorunlarından herhangi birini seçerseniz, bunlar hakkında daha fazla ayrıntı içeren bir bölme alırsınız. Kapalı bir sorun seçerseniz, buradan yeniden açabilirsiniz.

    Sorun ayrıntıları.

  6. Algılayıcıyı yönet'i seçerseniz, algılayıcı ayrıntılarını yapılandırabileceğiniz bir bölme açılır.

    Algılayıcıyı yönetin.

    Algılayıcı ayrıntılarını yapılandırın.

  7. Algılayıcılar sayfasında, Dışarı Aktar'ı seçerek algılayıcı listenizi bir .csv dosyasına aktarabilirsiniz.

    Algılayıcıların listesini dışarı aktarın.

Algılayıcı ayrıntıları

Algılayıcılar sayfası her algılayıcı hakkında aşağıdaki bilgileri sağlar:

  • Algılayıcı: Algılayıcının NetBIOS bilgisayar adını görüntüler.

  • Tür: Algılayıcının türünü görüntüler. Olası değerler şunlardır:

    • Etki alanı denetleyicisi algılayıcısı

    • AD FS algılayıcısı (Active Directory Federasyon Hizmetleri (AD FS))

    • Tek başına algılayıcı

    • ADCS algılayıcısı (Active Directory Sertifika Hizmetleri). Algılayıcınız, test ortamında olduğu gibi AD CS yapılandırılmış bir etki alanı denetleyicisi sunucusunda yüklüyse, algılayıcı türü etki alanı denetleyicisi algılayıcısı olarak gösterilir.

  • Etki alanı: Algılayıcının yüklü olduğu Active Directory etki alanının tam etki alanı adını görüntüler.

  • Hizmet Durumu: Sunucudaki algılayıcı hizmetinin durumunu görüntüler. Olası değerler şunlardır:

    • Çalışıyor: Algılayıcı hizmeti çalışıyor

    • Başlangıç: Algılayıcı hizmeti başlatılıyor

    • Devre dışı: Algılayıcı hizmeti devre dışı bırakıldı

    • Durduruldu: Algılayıcı hizmeti durduruldu

    • Bilinmiyor: Algılayıcının bağlantısı kesildi veya ulaşılamıyor

  • Algılayıcı Durumu: Algılayıcının genel durumunu görüntüler. Olası değerler şunlardır:

    • Güncel: Algılayıcı, algılayıcının geçerli bir sürümünü çalıştırıyor.

    • Eski: Algılayıcı, yazılımın geçerli sürümün en az üç sürümünün arkasında bulunan bir sürümünü çalıştırıyor.

    • Güncelleştirme: Algılayıcı yazılımı güncelleştiriliyor.

    • Güncelleştirme başarısız oldu: Algılayıcı yeni bir sürüme güncelleştirilemedi.

    • Yapılandırılmadı: Algılayıcı, tamamen çalışmadan önce daha fazla yapılandırma gerektirir. Bu, AD FS / AD CS sunucularına veya tek başına algılayıcılara yüklenen algılayıcılar için geçerlidir.

    • Başlatılamadı: Algılayıcı yapılandırmayı 30 dakikadan uzun süre çekmedi.

    • Eşitleme: Algılayıcının bekleyen yapılandırma güncelleştirmeleri var, ancak henüz yeni yapılandırmayı çekmedi.

    • Bağlantısı kesildi: Kimlik için Defender hizmeti 10 dakikadır bu algılayıcıdan herhangi bir iletişim görmedi.

    • Ulaşılamıyor: Etki alanı denetleyicisi Active Directory'den silindi. Ancak algılayıcı yüklemesi, kullanımdan kaldırılmadan önce etki alanı denetleyicisinden kaldırılmadı. Bu girdiyi güvenle silebilirsiniz.

  • Sürüm: Algılayıcı sürümünün yüklü olduğunu görüntüler.

  • Gecikmeli güncelleştirme: Algılayıcının gecikmeli güncelleştirme mekanizması durumunu görüntüler. Olası değerler şunlardır:

    • Etkin

    • Devre Dışı

  • Sistem durumu: Algılayıcının genel sistem durumunu, en yüksek önem derecesi açık sistem durumu uyarısını temsil eden renkli bir simgeyle görüntüler. Olası değerler şunlardır:

    • Sağlıklı (yeşil simge): Açık sistem durumu sorunu yok

    • İyi durumda değil (sarı simge): En yüksek önem derecesi açık sistem durumu sorunu düşük

    • İyi durumda değil (turuncu simge): En yüksek önem derecesi açık sistem durumu sorunu orta

    • İyi durumda değil (kırmızı simge): En yüksek önem derecesi açık sistem durumu sorunu yüksek

  • Sistem durumu sorunları: Algılayıcıdaki açık sistem durumu sorunlarının sayısını görüntüler.

  • Oluşturuldu: Algılayıcının yüklendiği tarihi görüntüler

Algılayıcılarınızı güncelleştirme

Kimlik için Microsoft Defender algılayıcılarınızı güncel tutmak, kuruluşunuz için mümkün olan en iyi korumayı sağlar.

Kimlik için Microsoft Defender hizmeti genellikle ayda birkaç kez yeni algılamalar, özellikler ve performans iyileştirmeleriyle güncelleştirilir. Bu güncelleştirmeler genellikle algılayıcılara karşılık gelen küçük bir güncelleştirme içerir. Algılayıcı güncelleştirme paketleri yalnızca Kimlik için Defender algılayıcısını ve algılayıcı algılama özelliklerini denetler.

Kimlik için Defender algılayıcı güncelleştirme türleri

Kimlik için Defender algılayıcıları iki tür güncelleştirmesi destekler:

  • İkincil sürüm güncelleştirmeleri:

    • Sık
    • MSI yüklemesi ve kayıt defteri değişikliği gerektirmez
    • Yeniden başlatıldı: Kimlik için Defender algılayıcı hizmetleri
  • Ana sürüm güncelleştirmeleri:

    • Nadir
    • Önemli değişiklikler içerir
    • Yeniden başlatıldı: Kimlik için Defender algılayıcı hizmetleri

Not

  • Kimlik için Defender algılayıcıları her zaman yüklü olduğu etki alanı denetleyicisinde kullanılabilir belleğin ve CPU'nun en az %15'ini ayırır. Kimlik için Defender hizmeti çok fazla bellek tüketiyorsa, hizmet Kimlik için Defender algılayıcı güncelleştirici hizmeti tarafından otomatik olarak durdurulur ve yeniden başlatılır.

Gecikmeli algılayıcı güncelleştirmesi

Devam eden Kimlik için Defender geliştirme ve sürüm güncelleştirmelerinin hızlı hızı göz önünde bulundurulduğunda, algılayıcılarınızın bir alt kümesini gecikmeli bir güncelleştirme halkası olarak tanımlamaya karar verebilir ve aşamalı algılayıcı güncelleştirme işlemine olanak sağlayabilirsiniz. Kimlik için Defender, algılayıcılarınızın nasıl güncelleştirileceğini seçmenize ve her algılayıcıyı Gecikmeli güncelleştirme adayı olarak ayarlamanıza olanak tanır.

Gecikmeli güncelleştirme için seçilmeyen algılayıcılar, Kimlik için Defender hizmeti her güncelleştirildiğinde otomatik olarak güncelleştirilir. Gecikmeli güncelleştirme olarak ayarlanan algılayıcılar, her hizmet güncelleştirmesinin resmi sürümü sonrasında 72 saatlik bir gecikmeyle güncelleştirilir.

Gecikmeli güncelleştirme seçeneği, tüm güncelleştirmelerin otomatik olarak dağıtıldığı otomatik bir güncelleştirme halkası olarak belirli algılayıcıları seçmenize ve kalan algılayıcılarınızı gecikme süresinde güncelleştirilecek şekilde ayarlamanıza olanak tanır ve otomatik olarak güncelleştirilen algılayıcıların başarılı olduğunu onaylamanız için size zaman tanır.

Not

Bir hata oluşursa ve algılayıcı güncelleştirilmezse bir destek bileti açın. Proxy'nizi yalnızca çalışma alanınızla iletişim kuracak şekilde daha da sağlamlaştırmak için bkz . Ara sunucu yapılandırması.

Algılayıcılarınız ile Azure bulut hizmeti arasındaki kimlik doğrulaması güçlü, sertifika tabanlı karşılıklı kimlik doğrulamasını kullanır. İstemci sertifikası, algılayıcı yüklemesinde otomatik olarak imzalanan ve 2 yıl boyunca geçerli olan bir sertifika olarak oluşturulur. Algılayıcı Güncelleştirici hizmeti, mevcut sertifikanın süresi dolmadan önce otomatik olarak imzalanan yeni bir sertifika oluşturmakla sorumludur. Sıralı sertifikanın kimlik doğrulamasını bozduğu bir durumdan kaçınmak için sertifikalar arka uca karşı 2 aşamalı doğrulama işlemiyle alınır.

Her güncelleştirme, ağınız ve işlemleriniz üzerinde en az etkiye neden olmak için desteklenen tüm işletim sistemlerinde test edilir ve doğrulanır.

Algılayıcıyı gecikmeli güncelleştirme olarak ayarlamak için:

  1. Algılayıcılar sayfasında gecikmeli güncelleştirmeler için ayarlamak istediğiniz algılayıcıyı seçin.

  2. Gecikmeli güncelleştirme etkinleştirildi düğmesini seçin.

    Gecikmeli güncelleştirmeyi etkinleştirin.

  3. Onay penceresinde Etkinleştir'i seçin.

Gecikmeli güncelleştirmeleri devre dışı bırakmak için algılayıcıyı ve ardından Devre dışı bırakılan güncelleştirme düğmesini seçin.

Algılayıcı güncelleştirme işlemi

Kimlik için Defender algılayıcıları birkaç dakikada bir en son sürüme sahip olup olmadıklarını denetler. Kimlik için Defender bulut hizmeti daha yeni bir sürüme güncelleştirildikten sonra Kimlik için Defender algılayıcı hizmeti güncelleştirme işlemini başlatır:

  1. Kimlik için Defender bulut hizmeti en son sürüme güncelleştirilir.

  2. Kimlik için Defender algılayıcı güncelleştirici hizmeti, güncelleştirilmiş bir sürüm olduğunu öğrenir.

  3. Gecikmeli güncelleştirme olarak ayarlanmamış algılayıcılar, algılayıcı temelinde güncelleştirme işlemini başlatır:

    1. Kimlik için Defender algılayıcı güncelleştirici hizmeti, güncelleştirilmiş sürümü bulut hizmetinden (cab dosya biçiminde) çeker.
    2. Kimlik için Defender algılayıcı güncelleştiricisi dosya imzasını doğrular.
    3. Kimlik için Defender algılayıcı güncelleştirici hizmeti, cab dosyasını algılayıcının yükleme klasöründeki yeni bir klasöre ayıklar. Varsayılan olarak C:\Program Files\Azure Advanced Threat Protection Sensor<sürüm numarasına ayıklanır>
    4. Kimlik için Defender algılayıcı hizmeti, cab dosyasından ayıklanan yeni dosyaları gösterir.
    5. Kimlik için Defender algılayıcı güncelleştirici hizmeti, Kimlik için Defender algılayıcı hizmetini yeniden başlatır.

      Not

      Küçük algılayıcı güncelleştirmeleri MSI yüklemez, kayıt defteri değerlerini veya herhangi bir sistem dosyasını değiştirmez. Bekleyen bir yeniden başlatma bile algılayıcı güncelleştirmesini etkilemez.

    6. Algılayıcılar yeni güncelleştirilen sürüme göre çalışır.
    7. Algılayıcı, Azure bulut hizmetinden izin alır. Algılayıcı durumunu Algılayıcılar sayfasından doğrulayabilirsiniz.
    8. Sonraki algılayıcı güncelleştirme işlemini başlatır.
  4. Gecikmeli güncelleştirme için seçilen algılayıcılar, Kimlik için Defender bulut hizmeti güncelleştirildikten 72 saat sonra güncelleştirme sürecini başlatır. Bu algılayıcılar daha sonra otomatik olarak güncelleştirilen algılayıcılarla aynı güncelleştirme işlemini kullanır.

Güncelleştirme işlemini tamamlayabilen tüm algılayıcılar için ilgili bir sistem durumu uyarısı tetiklenip bildirim olarak gönderilir.

Algılayıcı güncelleştirme hatası.

Kimlik için Defender algılayıcısını sessizce güncelleştirme

Kimlik için Defender algılayıcısını sessizce güncelleştirmek için aşağıdaki komutu kullanın:

Söz dizimi:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Yükleme seçenekleri:

Veri Akışı Adı Sözdizimi Mandatory for silent installation? Açıklama
Quiet istemci bilgisayarlara Yes Hiçbir kullanıcı arabirimi veya komut istemi görüntülemeden yükleyiciyi çalıştırır.
Help /help Hayır Provides help and quick reference. Tüm seçenek ve davranışların bir listesi ile kurulum komutunun doğru kullanımını gösterir.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Yes .Net Framework yüklemesi için parametreleri belirtir. .Net Framework'ün sessiz yüklemesini zorunlu kılmak için ayarlanmalıdır.

Örnekler:

Kimlik için Defender algılayıcısını sessizce güncelleştirmek için:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Ara sunucu ayarlarını yapılandırma

Yükleme sırasında komut satırı anahtarlarını kullanarak ilk ara sunucu ayarlarını yapılandırmanızı öneririz. Ara sunucu ayarlarınızı daha sonra güncelleştirmeniz gerekiyorsa CLI veya PowerShell kullanın.

Ara sunucu ayarlarınızı daha önce WinINet veya kayıt defteri anahtarı aracılığıyla yapılandırdıysanız ve bunları güncelleştirmeniz gerekiyorsa, başlangıçta kullandığınız yöntemi kullanmanız gerekir.

Daha fazla bilgi için bkz . Uç nokta ara sunucusu ve İnternet bağlantısı ayarlarını yapılandırma.

Sonraki adımlar