Dosyada yanıt eylemleri gerçekleştirin

  • Makale

Şunlar için geçerlidir:

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Algılanan saldırılara hızlı bir şekilde yanıt vermek için dosyaları durdurup kilitleyin veya bir dosyayı engelleyin. Dosyalar üzerinde işlem yaptıktan sonra İşlem merkezinde etkinlik ayrıntılarını de kontrol edebilirsiniz.

Yanıt eylemleri bir dosyanın ayrıntılı profil sayfasında kullanılabilir. Bu sayfaya geçtikten sonra, yeni Dosya sayfasını değiştirerek yeni ve eski sayfa düzenleri arasında geçiş yapabilirsiniz. Bu makalenin geri kalanında daha yeni sayfa düzeni açıklanmaktadır.

Yanıt eylemleri dosya sayfasının üst kısmında çalışır ve şunları içerir:

  • Dur ve dosyayı karantinaya al
  • Göstergeyi yönet
  • Dosyayı indirme
  • Dosya topla
  • Defender Uzmanları’na Sorun
  • El ile gerçekleştirilen eylemler
  • Git avla
  • Derinanaliz

Not

Uç Nokta Için Defender Plan 1 kullanıyorsanız belirli yanıt eylemlerini el ile gerçekleştirebilirsiniz. Daha fazla bilgi için bkz. El ile yanıt eylemleri.

Dosyayı güvenli bir bulut korumalı alanında çalıştırmak için ayrıntılı analiz için de dosya gönderebilirsiniz. Analiz tamamlandığında, dosyanın davranışı hakkında bilgi sağlayan ayrıntılı bir rapor alırsınız. Derin analiz eylemini seçerek derin analiz için dosya gönderebilir ve geçmiş raporları okuyabilirsiniz.

Bazı eylemler belirli izinler gerektirir. Aşağıdaki tabloda, bazı izinlerin taşınabilir yürütülebilir dosyalarda (PE) ve PE olmayan dosyalarda gerçekleştirebileceği eylemler açıklanmaktadır:

İzin PE dosyaları PE olmayan dosyalar
Verileri görüntüleme X X
Uyarı araştırması X
Canlı yanıt temel X X
Canlı yanıt gelişmiş

Roller hakkında daha fazla bilgi için bkz. Rol tabanlı erişim denetimi için rol oluşturma ve yönetme.

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Ağ içinde dosyaları durdurun ve karantinaya alın

Kötü amaçlı işlemi durdurarak ve dosyanın gözlemlendiği yerde durarak kuruluşunuzda bir saldırı içerebilirsiniz.

Önemli

Bu eylemi yalnızca şu durumda gerçekleştirebilirsiniz:

  • Üzerinde işlem yaptığınız cihaz Windows 10, sürüm 1703 veya üzeri, Windows 11 ve R2+ Windows Server 2012 çalıştırıyor
  • Dosya güvenilen üçüncü taraf yayımcılara ait değil veya Microsoft tarafından imzalanmaz
  • Microsoft Defender Virüsten Koruma en azından Pasif modda çalışıyor olmalıdır. Daha fazla bilgi için bkz. virüsten koruma uyumluluğu Microsoft Defender.

Dosyayı Durdur ve Karantinaya Al eylemi, çalışan işlemleri durdurmayı, dosyaları quarantining'i ve kayıt defteri anahtarları gibi kalıcı verileri silmeyi içerir.

Bu eylem, dosyanın son 30 gün içinde gözlemlendiği Windows 10, sürüm 1703 veya üzeri ile Windows 11 ve Windows Server 2012 R2 veya sonraki bir sürümü olan cihazlarda geçerli olur.

Not

Dosyayı istediğiniz zaman karantinadan geri yükleyebilirsiniz.

Dosyaları durdurma ve karantinaya al

  1. Durdurmak ve karantinaya almak istediğiniz dosyayı seçin. Aşağıdaki görünümlerden herhangi birinden bir dosya seçebilir veya Arama kutusunu kullanabilirsiniz:

    • Uyarılar - Uyarı Hikayesi zaman çizelgesindeki Açıklama veya Ayrıntılar'dan ilgili bağlantıları seçin
    • Arama kutusu - Açılan menüden Dosya'yı seçin ve dosya adını girin

    Not

    Dosya durdurma ve karantinaya al eylemi en fazla 1000 cihazla sınırlıdır. Daha fazla sayıda cihazda bir dosyayı durdurmak için bkz. Dosyayı engellemek veya dosyaya izin vermek için gösterge ekleme.

  2. Üst çubuka gidin ve Durdur ve Dosyayı Karantinaya Al'ı seçin.

    Dosya durdurma ve karantinaya al eylemi

  3. Bir neden belirtin ve onayla'yı seçin.

    Durdurma ve karantina dosyası sayfası

    İşlem merkezi gönderim bilgilerini gösterir:

    Dosya durdurma ve karantinaya al işlem merkezi

    • Gönderme zamanı - Eylemin ne zaman gönderildiğini gösterir.
    • Başarılı - Dosyanın durdurulduğu ve karantinaya alındığı cihaz sayısını gösterir.
    • Başarısız - Eylemin başarısız olduğu cihaz sayısını ve hatayla ilgili ayrıntıları gösterir.
    • Beklemede - Dosyanın henüz durdurulup karantinaya alınacağı cihaz sayısını gösterir. Bu, cihazın çevrimdışı olduğu veya ağa bağlı olmadığı durumlar için zaman alabilir.

  4. Eylem hakkında daha fazla bilgi görüntülemek için durum göstergelerinden herhangi birini seçin. Örneğin, eylemin nerede başarısız olduğunu görmek için Başarısız'ı seçin.

Cihaz kullanıcıda bildirim

Dosya bir cihazdan kaldırıldığında aşağıdaki bildirim gösterilir:

Cihaz kullanıcısının a bildirimi

Cihaz zaman çizelgesinde, bir dosyanın durdurulduğu ve karantinaya alındığı her cihaz için yeni bir olay eklenir.

Eylem kuruluş genelinde yaygın olarak kullanılan dosyalar için uygulanmadan önce bir uyarı gösterilir. İşlemin amaçlandığını doğrulamak içindir.

Dosyayı karantinadan geri yükleyin

Bir araştırmadan sonra temiz olduğunu belirlediyseniz dosyayı geri alabilir ve karantinadan kaldırabilirsiniz. Dosyanın karantinaya alındığı her cihazda aşağıdaki komutu çalıştırın.

  1. Cihazda yükseltilmiş bir komut satırı istemi açın:

    1. Başlangıç'a gidin ve cmd yazın.

    2. Komut istemi'ne sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.

  2. Aşağıdaki komutu girin ve Enter tuşuna basın:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All

    Not

    Bazı senaryolarda ThreatName şu şekilde görünebilir: EUS:Win32/CustomEnterpriseBlock!cl.

    Uç Nokta için Defender, son 30 gün içinde bu cihazda karantinaya alınan tüm özel engellenen dosyaları geri yükler.

Önemli

Olası bir ağ tehdidi olarak karantinaya alınan bir dosya kurtarılamayabilir. Kullanıcı karantinadan sonra dosyayı geri yüklemeyi denerse, bu dosyaya erişilemiyor olabilir. Bunun nedeni sistemin artık dosyaya erişmek için ağ kimlik bilgilerine sahip olmaması olabilir. Genellikle bu, bir sistemde veya paylaşılan klasörde geçici oturum açmanın ve erişim belirteçlerinin süresinin dolmasının bir sonucudur.

Dosya indirin veya toplayın

Yanıt eylemlerinden Dosya indir'i seçtiğinizde dosyanızı içeren yerel, parola korumalı bir .zip arşivi indirebilirsiniz. Dosyayı indirmek için bir neden kaydedebileceğiniz ve bir parola ayarlayabileceğiniz bir açılır öğe görüntülenir.

Varsayılan olarak, karantinadaki dosyaları indirebilmeniz gerekir.

Dosyayı indir düğmesi aşağıdaki durumlara sahip olabilir:

  • Etkin - Dosyayı toplayabilirsiniz.

  • Devre dışı - Etkin bir toplama girişimi sırasında düğme gri gösteriliyor veya devre dışı bırakılıyorsa, dosyaları toplamak için uygun RBAC izinleriniz olmayabilir.

    Aşağıdaki izinler gereklidir:

    Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) için:

    • Microsoft Defender XDR Unified'da (RBAC) dosya koleksiyonu izni ekleme

    rol tabanlı erişim denetimi (RBAC) Uç Nokta için Microsoft Defender için:

    Taşınabilir Yürütülebilir dosya (.exe, .sys, .dll ve diğerleri) için

    • Güvenlik Yöneticisi veya Gelişmiş canlı yanıt veya Uyarılar

    Taşınabilir Olmayan Yürütülebilir Dosya (.txt, .docx ve diğerleri)

Dosya indirme eylemi

Karantinaya alınan dosyaları indirme

Microsoft Defender Virüsten Koruma veya güvenlik ekibiniz tarafından karantinaya alınan dosyalar, örnek gönderim yapılandırmalarınıza göre uyumlu bir şekilde kaydedilir. Güvenlik ekibiniz dosyaları doğrudan dosyanın ayrıntı sayfasından "Dosyayı indir" düğmesi aracılığıyla indirebilir. Bu özellik varsayılan olarak 'Açık'tır.

Konum, kuruluşunuzun coğrafi ayarlarına (AB, Birleşik Krallık veya ABD) bağlıdır. Karantinaya alınan bir dosya kuruluş başına yalnızca bir kez toplanır. Adresinden Hizmet Güveni Portalı'ndan https://aka.ms/STPMicrosoft'un veri koruması hakkında daha fazla bilgi edinin.

Bu ayarın açık olması, güvenlik ekiplerinin kötü olabilecek dosyaları incelemesine ve olayları hızlı ve daha az riskli bir şekilde araştırmalarına yardımcı olabilir. Ancak, bu ayarı kapatmanız gerekiyorsa Ayarlar>Uç Noktaları>Gelişmiş özellikler>Karantinaya alınan dosyaları indir'e giderek ayarı ayarlayın. Gelişmiş özellikler hakkında daha fazla bilgi edinin

Karantinaya alınan dosyaları yedekleme

Örnek gönderim yapılandırmanıza bağlı olarak, karantinaya alınan dosyayı yedeklemeden önce kullanıcılardan açık onay vermeleri istenebilir.

Örnek gönderim kapalıysa bu özellik çalışmaz. Otomatik örnek gönderimi kullanıcıdan izin istemek üzere ayarlandıysa, yalnızca kullanıcının göndermeyi kabulladığı örnekler toplanır.

Önemli

Karantinaya alınan dosya gereksinimlerini indirin:

  • Kuruluşunuz etkin modda Microsoft Defender Virüsten Koruma kullanıyor
  • Virüsten koruma altyapısı sürümü 1.1.17300.4 veya üzeridir. Bkz. Aylık platform ve altyapı sürümleri
  • Bulut tabanlı koruma etkindir. Bkz . Bulut tabanlı korumayı açma
  • Örnek gönderim açık
  • Cihazların Windows 10 sürümü 1703 veya üzeri ya da Windows Server 2016 veya 2019 ya da Windows Server 2022 ya da Windows 11

Dosyaları toplama

Bir dosya Uç Nokta için Microsoft Defender tarafından depolanmadıysa, dosyayı indiremezsiniz. Bunun yerine, aynı konumda bir Dosya topla düğmesi görürsünüz.

Dosya topla düğmesi aşağıdaki durumlara sahip olabilir:

  • Etkin - Dosyayı toplayabilirsiniz.

  • Devre dışı - Etkin bir toplama girişimi sırasında düğme gri gösteriliyor veya devre dışı bırakılıyorsa, dosyaları toplamak için uygun RBAC izinleriniz olmayabilir.

    Aşağıdaki izinler gereklidir:

    Taşınabilir Yürütülebilir dosya (.exe, .sys, .dll ve diğerleri) için

    • Güvenlik Yöneticisi veya Gelişmiş canlı yanıt veya Uyarılar

    Taşınabilir Olmayan Yürütülebilir Dosya (.txt, .docx ve diğerleri)

    • Güvenlik Yöneticisi veya Gelişmiş canlı yanıt

Son 30 gün içinde kuruluşta bir dosya görülmediyse, Dosya topla devre dışı bırakılır.

Önemli

Olası bir ağ tehdidi olarak karantinaya alınan bir dosya kurtarılamayabilir. Kullanıcı karantinadan sonra dosyayı geri yüklemeyi denerse, bu dosyaya erişilemiyor olabilir. Bunun nedeni sistemin artık dosyaya erişmek için ağ kimlik bilgilerine sahip olmaması olabilir. Genellikle bu, bir sistemde veya paylaşılan klasörde geçici oturum açmanın ve erişim belirteçlerinin süresinin dolmasının bir sonucudur.

Bir dosyayı engellemek veya dosyaya izin vermek için gösterge ekleme

Kötü amaçlı olabilecek dosyaları veya şüpheli kötü amaçlı yazılımları yasaklayarak kuruluşunuzda bir saldırının daha fazla yayılmasını önleyin. Kötü amaçlı olabilecek bir taşınabilir yürütülebilir dosya (PE) biliyorsanız, dosyayı engelleyebilirsiniz. Bu işlem, kuruluşunuzdaki cihazlarda okunmasını, yazılmasını veya yürütülmesini engeller.

Önemli

  • Kuruluşunuz virüsten koruma Microsoft Defender kullanıyorsa ve Bulut tabanlı koruma etkinleştirildiyse bu özellik kullanılabilir. Daha fazla bilgi için bkz. Bulut tabanlı korumayı yönetme.

  • Kötü amaçlı yazılımdan koruma istemcisi sürümü 4.18.1901.x veya üzeri olmalıdır.

  • Bu özellik, şüpheli kötü amaçlı yazılımların (veya kötü amaçlı olabilecek dosyaların) web'den indirilmesini önlemek için tasarlanmıştır. Şu anda .exeve.dll dosyaları da dahil olmak üzere taşınabilir yürütülebilir (PE) dosyaları destekler. Kapsam zaman içinde uzatılır.

  • Bu yanıt eylemi Windows 10, sürüm 1703 veya üzeri ve Windows 11 cihazlarda kullanılabilir.

  • İzin ver veya engelle eyleminden önce cihazın önbelleğinde dosya sınıflandırması varsa, izin ver veya engelle işlevi dosyalarda yapılamaz.

Not

Bu eylemi gerçekleştirebilmek için PE dosyasının cihaz zaman çizelgesinde olması gerekir.

Eylemin gerçekleştirilişiyle gerçek dosyanın engellenmesi arasında birkaç dakika gecikme olabilir.

Blok dosyası özelliğini etkinleştirme

Dosyaları engellemeye başlamak için önce Ayarlar'da Engelle veya izin ver özelliğini açmanız gerekir.

Dosyaya izin ver veya dosyayı engelle

Bir dosya için gösterge karması eklediğinizde, kuruluşunuzdaki bir cihaz çalıştırmayı denediğinde uyarı oluşturmayı ve dosyayı engellemeyi seçebilirsiniz.

Bir gösterge tarafından otomatik olarak engellenen dosyalar dosyanın İşlem merkezinde gösterilmez, ancak uyarılar Uyarılar kuyruğunda görünmeye devam eder.

Dosyalarda uyarıları engelleme ve tetikleme hakkında daha fazla bilgi için bkz. göstergeleri yönetme .

Bir dosyayı engellemeyi durdurmak için göstergeyi kaldırın. Bunu, dosyanın profil sayfasındaki Göstergeyi Düzenle eylemi aracılığıyla yapabilirsiniz. Bu eylem, göstergeyi eklemeden önce Gösterge Ekle eylemiyle aynı konumda görünür.

Ayrıca , Ayarlar sayfasında, Kural>Göstergeleri'nin altında göstergeleri düzenleyebilirsiniz. Göstergeler bu alanda dosya karması tarafından listelenir.

İşlem merkezinde etkinlik ayrıntılarını denetleyin

İşlem merkezi, bir cihazda veya dosyada gerçekleştirilen eylemler hakkında bilgi sağlar. Aşağıdaki ayrıntıları görüntüleyebilirsiniz:

  • Araştırma paketi koleksiyonu
  • Virüsten koruma taraması
  • Uygulama kısıtlaması
  • Cihaz yalıtımı

Gönderme tarihi/saati, kullanıcıyı gönderme ve eylemin başarılı veya başarısız olup olmadığını gibi diğer tüm ilgili ayrıntılar da gösterilir.

Bilgi içeren işlem merkezi

Derinanaliz

Siber güvenlik araştırmaları genellikle bir uyarı tarafından tetiklenir. Uyarılar, genellikle yeni veya bilinmeyen bir veya daha fazla gözlemlenen dosyayla ilgilidir. Bir dosyayı seçtiğinizde dosyanın meta verilerini görebileceğiniz dosya görünümüne gidebilirsiniz. Dosyayla ilgili verileri zenginleştirmek için dosyayı ayrıntılı analiz için gönderebilirsiniz.

Derin analiz özelliği, güvenli, tam olarak izlenen bir bulut ortamında bir dosya yürütür. Derin analiz sonuçları dosyanın etkinliklerini, gözlemlenen davranışlarını ve bırakılan dosyalar, kayıt defteri değişiklikleri ve IP'lerle iletişim gibi ilişkili yapıtları gösterir. Derin analiz şu anda taşınabilir yürütülebilir (PE) dosyaların ( .exe ve .dll dosyaları dahil) kapsamlı analizini destekler.

Bir dosyanın derin analizi birkaç dakika sürer. Dosya analizi tamamlandıktan sonra, Derin Çözümleme sekmesi bir özet ve kullanılabilir en son sonuçların tarih ve saatini görüntülemek için güncelleştirilir.

Derin analiz özeti, gözlemlenen davranışların bir listesini içerir ve bazıları kötü amaçlı etkinlikleri ve diskte oluşturulan ilgili IP'ler ve dosyalar da dahil olmak üzere gözlemlenebilirleri gösterebilir. Hiçbir şey bulunamazsa, bu bölümlerde kısa bir ileti görüntülenir.

Derin analizin sonuçları tehdit bilgileriyle eşleştirilir ve tüm eşleşmeler uygun uyarılar oluşturur.

Genellikle bir uyarı araştırması sırasında veya kötü amaçlı davranışlardan şüphelendiğiniz başka herhangi bir nedenden dolayı herhangi bir dosyanın ayrıntılarını araştırmak için derin analiz özelliğini kullanın. Bu özellik, dosya sayfasının üst kısmında bulunur. Derin analiz eylemine erişmek için üç noktayı seçin.

Derin analiz eyleminin ekran görüntüsü

Aşağıdaki videoda ayrıntılı analiz hakkında bilgi edinin:

Dosya Uç Nokta için Defender arka uç örnek koleksiyonunda kullanılabilir olduğunda veya derin analize göndermeyi destekleyen bir Windows 10 cihazında gözlemlendiğinde derin analiz için gönder seçeneği etkinleştirilir.

Not

Yalnızca Windows 10, Windows 11 ve Windows Server 2012 R2+ dosyaları otomatik olarak toplanabilir.

Ayrıca, dosya bir Windows 10 cihazında gözlemlenmediyse (veya Windows 11 veya R2+ Windows Server 2012) Microsoft Defender portalı üzerinden bir örnek gönderebilir ve Ayrıntılı analiz için Gönder düğmesinin kullanılabilir olmasını bekleyebilirsiniz.

Not

Microsoft Defender portalındaki arka uç işleme akışları nedeniyle, dosya gönderimi ile Uç Nokta için Defender'daki derin analiz özelliğinin kullanılabilirliği arasında 10 dakikaya kadar gecikme süresi olabilir.

Ayrıntılı analiz için dosya gönderme

  1. Ayrıntılı analiz için göndermek istediğiniz dosyayı seçin. Aşağıdaki görünümlerden herhangi birinden dosya seçebilir veya dosyada arama yapabilirsiniz:

    • Uyarılar - Uyarı Hikayesi zaman çizelgesindeki Açıklama veya Ayrıntılar'dan dosya bağlantılarını seçin
    • Cihazlar listesi - Kuruluştaki cihaz bölümündeki Açıklama veya Ayrıntılar bölümünden dosya bağlantılarını seçin
    • Arama kutusu - Açılan menüden Dosya'yı seçin ve dosya adını girin

  2. Dosya görünümünün Derin analiz sekmesinde Gönder'i seçin.

    PE dosyalarını gönder düğmesi

    Not

    .exeve.dll dosyaları da dahil olmak üzere yalnızca PE dosyaları desteklenir .

    bir ilerleme çubuğu görüntülenir ve analizin farklı aşamaları hakkında bilgi sağlar. Daha sonra analiz tamamlandığında raporu görüntüleyebilirsiniz.

Not

Cihaz kullanılabilirliğine bağlı olarak örnek toplama süresi farklılık gösterebilir. Örnek toplama için 3 saatlik bir zaman aşımı vardır. Koleksiyon başarısız olur ve bu sırada çevrimiçi Windows 10 cihazı (veya Windows 11 veya R2+ Windows Server 2012) raporlaması yoksa işlem durdurulacaktır. Dosyadaki yeni verileri almak için dosyaları derin analiz için yeniden gönderebilirsiniz.

Derin analiz raporlarını görüntüleme

Gönderdiğiniz dosya hakkında daha ayrıntılı içgörüler görmek için sağlanan ayrıntılı analiz raporunu görüntüleyin. Bu özellik dosya görünümü bağlamında kullanılabilir.

Aşağıdaki bölümlerde ayrıntıları sağlayan kapsamlı raporu görüntüleyebilirsiniz:

  • Davranış
  • Gözlemlenebilir öğeler

Sağlanan ayrıntılar olası bir saldırının göstergesi olup olmadığını araştırmanıza yardımcı olabilir.

  1. Ayrıntılı analiz için gönderdiğiniz dosyayı seçin.

  2. Derin analiz sekmesini seçin. Önceki raporlar varsa, rapor özeti bu sekmede görüntülenir.

    Bir dizi kategorideki ayrıntılı bilgileri gösteren derin analiz raporu

Derin analiz sorunlarını giderme

Dosya göndermeye çalışırken bir sorunla karşılaşırsanız aşağıdaki sorun giderme adımlarının her birini deneyin.

  1. Söz konusu dosyanın bir PE dosyası olduğundan emin olun. PE dosyaları genellikle .exe veya .dll uzantılarına (yürütülebilir programlar veya uygulamalar) sahiptir.

  2. Hizmetin dosyaya erişimi olduğundan, dosyanın hala var olduğundan ve bozulmadığından veya değiştirilmediğinden emin olun.

  3. Kısa bir süre bekleyin ve dosyayı yeniden göndermeyi deneyin. Kuyruk dolu olabilir veya geçici bir bağlantı veya iletişim hatası oluştu.

  4. Örnek koleksiyon ilkesi yapılandırılmamışsa, varsayılan davranış örnek toplamaya izin vermektir. Yapılandırılmışsa, dosyayı yeniden göndermeden önce ilke ayarının örnek toplamaya izin verdiğinden emin olun. Örnek koleksiyon yapılandırıldığında aşağıdaki kayıt defteri değerini denetleyin:

    Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Name: AllowSampleCollection
Type: DWORD
Hexadecimal value :
  Value = 0 - block sample collection
  Value = 1 - allow sample collection

  5. grup ilkesi aracılığıyla kuruluş birimini değiştirin. Daha fazla bilgi için bkz. grup ilkesi ile yapılandırma.

  6. Bu adımlar sorunu çözmezse desteğe başvurun.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.