Kimlik için Microsoft Defender sık sorulan sorular

Bu makalede, Kimlik için Microsoft Defender hakkında sık sorulan soruların ve yanıtların listesi aşağıdaki kategorilere ayrılmıştır:

Kimlik için Defender nedir?

Kimlik için Defender neleri algılayabilir?

Kimlik için Defender, ağınıza yönelik bilinen kötü amaçlı saldırıları ve teknikleri, güvenlik sorunlarını ve riskleri algılar. Kimlik için Defender algılamalarının tam listesi için bkz . Kimlik Için Defender Güvenlik Uyarıları.

Kimlik için Defender hangi verileri toplar?

Kimlik için Defender, yapılandırılmış sunucularınızdan etki alanı denetleyicileri, üye sunucular vb. bilgileri toplar ve depolar. Veriler yönetim, izleme ve raporlama amacıyla hizmete özgü bir veritabanında depolanır.

Toplanan bilgiler şunları içerir:

  • Kerberos kimlik doğrulaması, NTLM kimlik doğrulaması veya DNS sorguları gibi etki alanı denetleyicilerinden gelen ve gelen ağ trafiği.
  • Windows güvenlik olayları gibi güvenlik günlükleri.
  • Yapı, alt ağlar veya siteler gibi Active Directory bilgileri.
  • Adlar, e-posta adresleri ve telefon numaraları gibi varlık bilgileri.

Microsoft bu verileri aşağıdakiler için kullanır:

  • Kuruluşunuzdaki saldırı göstergelerini (GÇA) proaktif olarak belirleyin.
  • Olası bir saldırı algılanırsa uyarılar oluşturun.
  • Güvenlik operasyonlarınıza ağınızdan gelen tehdit sinyalleriyle ilgili varlıklara ilişkin bir görünüm sunarak ağ üzerindeki güvenlik tehditlerinin varlığını araştırmanıza ve keşfetmenize olanak tanıyın.

Microsoft, verilerinizi reklam amacıyla veya size hizmet sağlama dışında başka bir amaçla madencilik yapmaz.

Kimlik için Defender kaç Dizin Hizmeti kimlik bilgilerini destekler?

Kimlik için Defender şu anda güvenilmeyen ormanlara sahip Active Directory ortamlarını desteklemek için en fazla 30 farklı Dizin Hizmeti kimlik bilgisi eklemeyi desteklemektedir. Daha fazla hesap gerekiyorsa bir destek bileti açın.

Kimlik için Defender yalnızca Active Directory'den gelen trafiği mi kullanıyor?

Kimlik için Defender, derin paket inceleme teknolojisini kullanarak Active Directory trafiğini analiz etmeye ek olarak, etki alanı denetleyicinizden ilgili Windows Olaylarını da toplar ve Active Directory Etki Alanı Hizmetleri'nden alınan bilgilere göre varlık profilleri oluşturur. Kimlik için Defender, çeşitli satıcılardan (Microsoft, Cisco, F5 ve Checkpoint) VPN günlüklerinin RADIUS muhasebesini almayı da destekler.

Kimlik için Defender yalnızca etki alanına katılmış cihazları mı izler?

Hayır Kimlik için Defender, Windows dışı cihazlar ve mobil cihazlar da dahil olmak üzere Active Directory'de kimlik doğrulaması ve yetkilendirme istekleri gerçekleştiren ağdaki tüm cihazları izler.

Kimlik için Defender bilgisayar hesaplarını ve kullanıcı hesaplarını izler mi?

Evet. Bilgisayar hesapları ve diğer varlıklar kötü amaçlı etkinlikler gerçekleştirmek için kullanılabildiğinden, Kimlik için Defender tüm bilgisayar hesaplarının davranışını ve ortamdaki diğer tüm varlıkları izler.

Advanced Threat Analytics (ATA) ile Kimlik için Defender arasındaki fark nedir?

ATA, şirket içinde ayrılmış donanım gerektiren ATA Center gibi birden çok bileşene sahip tek başına bir şirket içi çözümdür.

Kimlik için Defender, şirket içi Active Directory sinyallerinizi kullanan bulut tabanlı bir güvenlik çözümüdür. Çözüm yüksek oranda ölçeklenebilir ve sık sık güncelleştirilir.

ATA'nın son sürümü genel kullanıma sunulmuştur. ATA, Temel Desteği 12 Ocak 2021'de sona erdirdi. Genişletilmiş Destek, Ocak 2026'ya kadar devam eder. Daha fazla bilgi için blogumuzu okuyun.

ATA algılayıcısının aksine, Kimlik için Defender algılayıcısı ayrıca Windows için Olay İzleme (ETW) gibi veri kaynaklarını kullanarak Kimlik için Defender'ın ek algılamalar sunmasını sağlar.

Kimlik için Defender'ın sık yapılan güncelleştirmeleri aşağıdaki özellikleri ve özellikleri içerir:

  • Çok ormanlı ortamlar için destek: Kuruluşlara AD ormanları genelinde görünürlük sağlar.

  • Microsoft Güvenli Puan duruş değerlendirmeleri: Yaygın yanlış yapılandırmaları ve kötüye kullanılabilir bileşenleri tanımlar ve saldırı yüzeyini azaltmak için düzeltme yolları sağlar.

  • UEBA özellikleri: Kullanıcı araştırma öncelik puanlaması aracılığıyla bireysel kullanıcı riskine ilişkin içgörüler. Puan, Araştırmalarında SecOps'a yardımcı olabilir ve analistlerin kullanıcı ve kuruluş için olağan dışı etkinlikleri anlamasına yardımcı olabilir.

  • Yerel tümleştirmeler: Hem şirket içi hem de karma ortamlarda gerçekleşenlerin karma görünümünü sağlamak için Bulut için Microsoft Defender Uygulamaları ve Azure AD Kimlik Koruması ile tümleştirilir.

  • Microsoft Defender XDR'ye katkıda bulunur: Uyarı ve tehdit verilerini Microsoft Defender XDR'ye katkıda bulunur. Microsoft Defender XDR, microsoft 365 güvenlik portföyünü (kimlikler, uç noktalar, veriler ve uygulamalar) kullanarak etki alanları arası tehdit verilerini otomatik olarak analiz eder ve her saldırının tek bir panoda tam bir resmini oluşturur.

    Bu genişlik ve netlik derinliğiyle, Defender'lar kritik tehditlere odaklanabilir ve karmaşık ihlalleri avlayabilir. Defender'lar, Microsoft Defender XDR'nin güçlü otomasyonunun sonlandırma zincirinin herhangi bir yerinde saldırıları durdurduğundan ve kuruluşu güvenli bir duruma döndürdüğünden emin olabilir.

Lisanslama ve gizlilik

Kimlik için Microsoft Defender için nereden lisans alabilirim?

Kimlik için Defender, Enterprise Mobility + Security 5 paketinin (EMS E5) bir parçası ve tek başına lisans olarak kullanılabilir. Doğrudan Microsoft 365 portalından veya Bulut Çözümü İş Ortağı (CSP) lisans modeli aracılığıyla lisans alabilirsiniz.

Kimlik için Defender'ın yalnızca tek bir lisansa mı ihtiyacı var yoksa korumak istediğim her kullanıcı için bir lisans mı gerekiyor?

Kimlik için Defender lisanslama gereksinimleri hakkında bilgi için bkz . Kimlik için Defender lisanslama kılavuzu.

Verilerim diğer müşteri verilerinden yalıtılmış mı?

Evet, verileriniz müşteri tanımlayıcılarına göre erişim kimlik doğrulaması ve mantıksal ayrım yoluyla yalıtılır. Her müşteri yalnızca kendi kuruluşundan toplanan verilere ve Microsoft'un sağladığı genel verilere erişebilir.

Verilerimin depolandığı yeri seçme esnekliğine sahip miyim?

Hayır Kimlik için Defender çalışma alanınız oluşturulduğunda, otomatik olarak Microsoft Entra kiracınızın coğrafi konumuna en yakın Azure bölgesinde depolanır. Kimlik için Defender çalışma alanınız oluşturulduktan sonra Kimlik için Defender verileri farklı bir bölgeye taşınamaz.

Microsoft kötü amaçlı insider etkinliklerini ve yüksek ayrıcalıklı rollerin kötüye kullanılmasını nasıl önler?

Microsoft geliştiricilerine ve yöneticilerine, tasarımı gereği, hizmeti çalıştırmak ve geliştirmek için kendilerine atanan görevleri yerine getirmek için yeterli ayrıcalıklar verilmiştir. Microsoft, yetkisiz geliştirici ve/veya yönetim etkinliklerine karşı korunmaya yardımcı olmak için aşağıdaki mekanizmalar dahil olmak üzere önleyici, dedektif ve reaktif denetimlerin kombinasyonlarını dağıtır:

  • Hassas verilere sıkı erişim denetimi
  • Kötü amaçlı etkinliklerin bağımsız olarak algılanmasında büyük ölçüde iyileştirme sağlayan denetimlerin birleşimleri
  • Birden çok izleme, günlüğe kaydetme ve raporlama düzeyi

Ayrıca Microsoft, belirli operasyon personeli üzerinde arka plan doğrulama denetimleri gerçekleştirir ve arka plan doğrulama düzeyiyle orantılı olarak uygulamalara, sistemlere ve ağ altyapısına erişimi sınırlar. Operasyon personeli, görevlerinin performansında müşterinin hesabına veya ilgili bilgilerine erişmeleri gerektiğinde resmi bir süreci izler.

Dağıtım

Kimlik için Defender algılayıcılarının kaç tanene ihtiyacım var?

Etki alanı denetleyicilerinizin her biri için bir Kimlik için Defender algılayıcınız veya tek başına algılayıcınız olmasını öneririz. Daha fazla bilgi için bkz . Kimlik algılayıcı boyutlandırması için Defender.

Kimlik için Defender şifrelenmiş trafikle çalışır mı?

AtSvc ve WMI gibi şifrelenmiş trafiğe sahip ağ protokollerinin şifresi çözülmezse de algılayıcılar trafiği analiz eder.

Kimlik için Defender, Kerberos Koruması ile çalışır mı?

Kimlik için Defender, Esnek Kimlik Doğrulaması Güvenli Tüneli (FAST) olarak da bilinen Kerberos Koruması'yı destekler. Bu desteğin istisnası, Kerberos Koruması ile çalışmayan karma algılamayı aşırı geçirmedir.

Kimlik için Defender'Nasıl yaparım? sanal etki alanı denetleyicisini izleme

Kimlik için Defender algılayıcısı çoğu sanal etki alanı denetleyicisini kapsayabilir. Daha fazla bilgi için bkz . Kimlik Için Defender Kapasite Planlaması.

Kimlik için Defender algılayıcısı bir sanal etki alanı denetleyicisini kapsamazsa, bunun yerine sanal veya fiziksel kimlik için Defender tek başına algılayıcısını kullanın. Daha fazla bilgi için bkz . Bağlantı noktası yansıtmayı yapılandırma.

En kolay yol, sanal etki alanı denetleyicisinin bulunduğu her konakta tek başına Kimlik için Sanal Defender algılayıcısı kullanmaktır.

Sanal etki alanı denetleyicileriniz konaklar arasında hareket ederse aşağıdaki adımlardan birini gerçekleştirmeniz gerekir:

  • Sanal etki alanı denetleyicisi başka bir konağa taşındığında, yakın zamanda taşınan sanal etki alanı denetleyicisinden gelen trafiği almak için bu konaktaki Kimlik için Defender tek başına algılayıcısını önceden yapılandırın.

  • Kimlik için Defender tek başına algılayıcısını sanal etki alanı denetleyicisiyle ilişkilendirdiğinizden emin olun; böylece taşınırsa Kimlik için Defender tek başına algılayıcısı da bu algılayıcıyla birlikte taşınır.

  • Konaklar arasında trafik gönderebilen bazı sanal anahtarlar vardır.

Bir ara sunucum olduğunda Kimlik için Defender algılayıcılarını Kimlik için Defender bulut hizmetiyle iletişim kuracak şekilde Nasıl yaparım? yapılandırın?

Etki alanı denetleyicilerinizin bulut hizmetiyle iletişim kurabilmesi için şunu açmanız gerekir: *.atp.azure.com bağlantı noktası 443 güvenlik duvarınızda/ara sunucunuzda. Daha fazla bilgi için bkz . Kimlik için Defender algılayıcılarıyla iletişimi etkinleştirmek için ara sunucunuzu veya güvenlik duvarınızı yapılandırma.

Kimlik için Defender izlenen etki alanı denetleyicileri IaaS çözümünüzde sanallaştırılabilir mi?

Evet, herhangi bir IaaS çözümündeki etki alanı denetleyicilerini izlemek için Kimlik için Defender algılayıcısını kullanabilirsiniz.

Kimlik için Defender birden çok etki alanını ve birden çok ormanı destekleyebilir mi?

Kimlik için Defender, çok etki alanılı ortamları ve birden çok ormanı destekler. Daha fazla bilgi ve güven gereksinimleri için bkz . Çoklu orman desteği.

Dağıtımın genel durumunu görebiliyor musunuz?

Evet, genel dağıtım durumunu ve yapılandırma, bağlantı vb. ile ilgili belirli sorunları görüntüleyebilirsiniz. Kimlik için Defender sistem durumu sorunlarıyla ilgili bu olaylar gerçekleştiğinde uyarı alırsınız.

Kimlik için Microsoft Defender kullanıcıları Microsoft Entra Id ile eşitlemeniz gerekiyor mu?

Kimlik için Microsoft Defender, Microsoft Entra Id ile eşitlenmemiş olanlar da dahil olmak üzere tüm Active Directory hesapları için güvenlik değeri sağlar. Microsoft Entra Id ile eşitlenen kullanıcı hesapları, Microsoft Entra Id (lisans düzeyine göre) ve Araştırma Önceliği Puanlaması tarafından sağlanan güvenlik değerinden de yararlanacaktır.

WinPcap ve Npcap sürücüleri

WinPcap ve Npcap sürücüleri hakkında hangi öneriler değişiyor?

Kimlik için Microsoft Defender ekibi, tüm müşterilerin WinPcap sürücüleri yerine Npcap sürücüsünü kullanmasını önerir. Kimlik için Defender sürüm 2.184'ten başlayarak, yükleme paketi WinPcap 4.1.3 sürücüleri yerine Npcap 1.0 OEM yükler.

WinPcap'ten neden uzaklaşıyoruz?

WinPcap artık desteklenmiyor ve artık geliştirilmiyor olduğundan, sürücü Artık Kimlik için Defender algılayıcısı için iyileştirilemiyor. Ayrıca, gelecekte WinPcap sürücüsüyle ilgili bir sorun varsa, düzeltme seçeneği yoktur.

Neden Npcap?

Npcap desteklenirken WinPcap artık desteklenen bir ürün değildir.

Npcap'in hangi sürümü desteklenir?

MDI Algılayıcısı için Npcap 1.0 veya üzeri gerekir. Npcap'in başka bir sürümü yüklü değilse Algılayıcı yükleme paketi 1.0 sürümünü yükler. Npcap zaten yüklüyse (diğer yazılım gereksinimleri veya başka bir nedenden dolayı) 1.0 veya sonraki bir sürümün yüklü olduğundan ve MDI için gerekli ayarlarla yüklendiğinden emin olmak önemlidir.

Algılayıcıyı el ile kaldırıp yeniden yüklemem gerekiyor mu, yoksa otomatik güncelleştirme hizmeti bunu normal güncelleştirmesinin bir parçası olarak mı işleyecek?

Evet. WinPcap sürücülerini kaldırmak için Algılayıcıyı el ile kaldırmak gerekir. En son paket kullanılarak yeniden yükleme Npcap sürücülerini yükler.

Geçerli Kimlik için Defender yüklememin Npcap veya WinPcap kullanıp kullanmadığını nasıl denetleyebilirim?

'Npcap OEM' öğesinin Program Ekle/Kaldır (appwiz.cpl) aracılığıyla yüklendiğini ve bunun için açık bir sistem durumu sorunu varsa otomatik olarak kapatılacağını görebilirsiniz.

Kuruluşumda beşten fazla etki alanı denetleyicisi var. Bu etki alanı denetleyicilerinde Npcap kullanıyorsam Npcap lisansı satın almam gerekir mi?

Hayır, Npcap'in her zamanki beş yükleme sınırından muafiyeti vardır. Yalnızca Kimlik için Defender algılayıcısıyla kullanılan sınırsız sistemlere yükleyebilirsiniz.

Burada Npcap lisans sözleşmesine bakın ve Kimlik için Microsoft Defender arayın.

Npcap, ATA için de uygun mu?

Hayır, yalnızca Kimlik için Microsoft Defender algılayıcısı Npcap sürüm 1.00'ı destekler.

Npcap dağıtımını betik olarak kullanmak istiyorum, OEM sürümünü satın almam gerekiyor mu?

Hayır, OEM sürümünü satın almanız gerekmez. Npcap'in OEM sürümünü içeren Kimlik için Defender konsolundan algılayıcı yükleme paketi sürüm 2.156 ve üzerini indirin.

Npcap sürücüsünü indirme ve yükleme veya yükseltme Nasıl yaparım??

  • Kimlik için Defender algılayıcısının en son dağıtım paketini indirerek Npcap yürütülebilir dosyaları edinebilirsiniz.

  • Algılayıcıyı henüz yüklemediyseniz 2.184 veya üzeri bir sürümü kullanarak algılayıcıyı yükleyin.

  • Algılayıcıyı WinPcap ile zaten yüklediyseniz ve Npcap kullanmak için güncelleştirmeniz gerekiyorsa:

    1. Algılayıcıyı kaldırın. Windows denetim masasından program ekle/kaldır (appwiz.cpl) kullanın veya aşağıdaki kaldırma komutunu çalıştırın:".\Azure ATP Sensor Setup.exe" /uninstall /quiet

    2. Gerekirse WinPcap'i kaldırın. Bu adım yalnızca Algılayıcı yüklemeden önce WinPcap el ile yüklendiyse geçerlidir. Bu durumda, WinPcap'i el ile kaldırmanız gerekir.

    3. Algılayıcıyı 2.184 veya üzeri bir sürümü kullanarak yeniden yükleyin.

  • Npcap'i el ile yüklemek istiyorsanız: Aşağıdaki seçeneklerle Npcap'i yükleyin:

    • GUI yükleyicisini kullanıyorsanız geri döngü desteği seçeneğini temizleyin ve WinPcap modu'nu seçin. Npcap sürücüsünün erişimini yalnızca Yöneticilere kısıtla seçeneğinin temizlendiğinden emin olun.
    • Komut satırını kullanıyorsanız şunu çalıştırın: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  • Npcap'i el ile yükseltmek istiyorsanız:

    1. Kimlik için Defender algılayıcı hizmetleri olan AATPSensorUpdater ve AATPSensor'ı durdurun. Çalıştırın: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

    2. Windows denetim masasında (appwiz.cpl) Program Ekle/Kaldır'ı kullanarak Npcap'i kaldırın.

    3. Npcap'i aşağıdaki seçeneklerle yükleyin:

      • GUI yükleyicisini kullanıyorsanız geri döngü desteği seçeneğini temizleyin ve WinPcap modu'nu seçin. Npcap sürücüsünün erişimini yalnızca Yöneticilere kısıtla seçeneğinin temizlendiğinden emin olun.

      • Komut satırını kullanıyorsanız şunu çalıştırın: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

    4. Kimlik için Defender algılayıcı hizmetleri olan AATPSensorUpdater ve AATPSensor'ı başlatın. Çalıştırın: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

İşlem

Kimlik için Defender'ın SIEM'lerle ne tür bir tümleştirmesi vardır?

Kimlik için Defender, sistem durumu sorunları ve bir güvenlik uyarısı algılandığında CEF biçimini kullanarak herhangi bir SIEM sunucusuna Syslog uyarısı gönderecek şekilde yapılandırılabilir. Daha fazla bilgi için bkz . SIEM günlük başvurusu.

Bazı hesaplar neden hassas olarak kabul edilir?

Bir hesap, hassas olarak belirlenen grupların bir üyesi olduğunda (örneğin, "Etki Alanı Yöneticileri") hesaplar hassas olarak kabul edilir.

Bir hesabın neden hassas olduğunu anlamak için grup üyeliğini gözden geçirerek hangi hassas gruplara ait olduğunu anlayabilirsiniz. Ait olduğu grup başka bir grup nedeniyle de hassas olabilir, bu nedenle en üst düzey hassas grubu bulana kadar aynı işlem gerçekleştirilmelidir. Alternatif olarak, hesapları el ile hassas olarak etiketleyin.

Kendi kurallarınızı yazmanız ve bir eşik/temel oluşturmanız mı gerekiyor?

Kimlik için Defender ile kurallar, eşikler veya temeller oluşturmanıza ve ardından ince ayar yapmanıza gerek yoktur. Kimlik için Defender, kullanıcılar, cihazlar ve kaynaklar arasındaki davranışların yanı sıra birbiriyle ilişkilerini analiz eder ve şüpheli etkinlikleri ve bilinen saldırıları hızla algılayabilir. Dağıtımdan üç hafta sonra Kimlik için Defender, davranışsal şüpheli etkinlikleri algılamaya başlar. Öte yandan, Kimlik için Defender dağıtımdan hemen sonra bilinen kötü amaçlı saldırıları ve güvenlik sorunlarını algılamaya başlar.

Kimlik için Defender, etki alanı denetleyicilerinden ağda hangi trafiği oluşturuyor ve neden?

Kimlik için Defender, üç senaryodan birinde etki alanı denetleyicilerinden kuruluştaki bilgisayarlara trafik oluşturur:

  • Kimlik için Ağ Adı çözümlemesi Defender, ağdaki kullanıcıları ve bilgisayar etkinliklerini öğrenerek ve profil çıkararak trafiği ve olayları yakalar. Kuruluştaki bilgisayarlara göre etkinlikleri öğrenmek ve profillerini almak için Kimlik için Defender'ın bilgisayar hesaplarına yönelik IP'leri çözümlemesi gerekir. Kimlik için Defender algılayıcıları bilgisayar adlarına yönelik IP'leri çözmek için IP adresinin arkasındaki bilgisayar adının IP adresini isteyin.

    İstekler dört yöntemden biri kullanılarak yapılır:

    • RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
    • NetBIOS (UDP bağlantı noktası 137)
    • RDP (TCP bağlantı noktası 3389)
    • IP adresinin ters DNS aramasını kullanarak DNS sunucusunu sorgulama (UDP 53)

    Bilgisayar adını aldıktan sonra Kimlik için Defender algılayıcıları, aynı bilgisayar adına sahip bağıntılı bir bilgisayar nesnesi olup olmadığını görmek için Active Directory'deki ayrıntıları çapraz olarak denetler. Eşleşme bulunursa, IP adresi ile eşleşen bilgisayar nesnesi arasında bir ilişkilendirme yapılır.

  • YanAl Hareket Yolu (LMP) Hassas kullanıcılara olası LMP'ler oluşturmak için, Kimlik için Defender bilgisayarlardaki yerel yöneticiler hakkında bilgi gerektirir. Bu senaryoda Kimlik için Defender algılayıcısı, bilgisayarın yerel yöneticilerini belirlemek üzere ağ trafiğinde tanımlanan IP adresini sorgulamak için SAM-R (TCP 445) kullanır. Kimlik için Defender ve SAM-R hakkında daha fazla bilgi edinmek için bkz . SAM-R gerekli izinleri yapılandırma.

  • Varlık verileri için LDAP kullanarak Active Directory'yi sorgulama Kimlik için Defender algılayıcıları, varlığın ait olduğu etki alanından etki alanı denetleyicisini sorgular. Aynı algılayıcı veya bu etki alanındaki başka bir etki alanı denetleyicisi olabilir.

Protokol Hizmet Bağlantı noktası Kaynak Yön
LDAP TCP ve UDP 389 Etki alanı denetleyicileri Giden
Güvenli LDAP (LDAPS) TCP 636 Etki alanı denetleyicileri Giden
LDAP'nden Genel Kataloğa TCP 3268 Etki alanı denetleyicileri Giden
LDAPS'nden Genel Kataloğa TCP 3269 Etki alanı denetleyicileri Giden

Etkinlikler neden her zaman hem kaynak kullanıcıyı hem de bilgisayarı göstermiyor?

Kimlik için Defender birçok farklı protokol üzerinden etkinlikleri yakalar. Bazı durumlarda, Kimlik için Defender trafikteki kaynak kullanıcının verilerini almaz. Kimlik için Defender, kullanıcının oturumunu etkinlikle ilişkilendirmeye çalışır ve deneme başarılı olduğunda etkinliğin kaynak kullanıcısı görüntülenir. Kullanıcı bağıntı girişimleri başarısız olduğunda, yalnızca kaynak bilgisayar görüntülenir.

Neden aatp.dns.detection.local için DNS sorguları görüyorum?

Kimlik için Defender algılayıcısı, MDI izlenen makinesine gelen bazı DNS etkinliklerine yanıt olarak "aatp.dns.detection.local" dns çağrısını tetikleyebilir.

Kişisel veri yönetimi

Kimlik için Defender'da kişisel kullanıcı verileri güncelleştirilebilir mi?

Kimlik için Defender'daki kişisel kullanıcı verileri, kuruluşun Active Directory'sindeki kullanıcının nesnesinden türetilir ve doğrudan Kimlik için Defender'da güncelleştirilemez.

Kimlik için Defender'dan kişisel verileri nasıl dışarı aktarabilirim?

Güvenlik uyarısı bilgilerini dışarı aktarmayla aynı yöntemi kullanarak Kimlik için Defender'dan kişisel verileri dışarı aktarabilirsiniz. Daha fazla bilgi için bkz . Güvenlik uyarılarını gözden geçirme.

Kimlik için Defender'da depolanan kişisel verileri nasıl bulabilirim?

Kimlik için Defender kişisel verilerde ne tür denetimler çalıştırır?

Kimlik için Defender, kişisel veri kayıtlarını silme ve dışarı aktarma dahil olmak üzere kişisel veri değişikliklerinin denetimini uygular. Denetim izi saklama süresi 90 gündür. Kimlik için Defender'da denetim bir arka uç özelliğidir ve müşteriler tarafından erişilemez.

Bir kullanıcı kuruluşun Active Directory'sinden silindiğinde Kimlik için Defender'da ne olur?

Bir kullanıcı kuruluşun Active Directory'sinden silindikten sonra Kimlik için Defender, veriler etkin bir olayın parçası olmadığı sürece, Kimlik için Defender'ın genel veri saklama ilkesiyle uyumlu olarak kullanıcı profilini ve ilgili ağ etkinliklerini otomatik olarak siler. Silinmiş Nesneler kapsayıcısı üzerinde Salt okunur izinler eklemenizi öneririz. Daha fazla bilgi için bkz . Gerekli DSA izinlerini verme.

Sorun giderme

Kimlik için Defender algılayıcısı veya tek başına algılayıcı başlatılmazsa ne yapmalıyım?

Geçerli hata günlüğündeki en son hataya bakın (Kimlik için Defender "Günlükler" klasörünün altına yüklenir).