Aracılığıyla paylaş

Uç Nokta için Microsoft Defender tarafından bulunan uygulamaları araştırma

  • Makale

Uç Nokta için Microsoft Defender ile Microsoft Defender for Cloud Apps tümleştirmesi sorunsuz bir Gölge BT görünürlüğü ve denetim çözümü sağlar. Tümleştirmemiz, Defender for Cloud Apps yöneticilerin bulunan cihazları, ağ olaylarını ve uygulama kullanımını araştırmasını sağlar.

Önkoşullar

Bu makaledeki yordamları gerçekleştirmeden önce, Uç Nokta için Microsoft Defender Microsoft Defender for Cloud Apps ile tümleştirdiğinizden emin olun.

Defender for Cloud Apps'de bulunan cihazları araştırma

Uç Nokta için Defender'ı Defender for Cloud Apps ile tümleştirdikten sonra, bulut bulma panosunda bulunan cihaz verilerini araştırın.

  1. Microsoft Defender portalında, Cloud Apps'in altında Cloud Discovery Panosu'nu> seçin.

  2. Sayfanın üst kısmında Defender tarafından yönetilen uç noktalar'ı seçin. Bu akış, Defender for Cloud Apps önkoşullarında belirtilen tüm işletim sistemlerinden verileri içerir.

Üst kısımda, tümleştirmeden sonra eklenen bulunan cihaz sayısını görürsünüz.

  1. Cihazlar sekmesini seçin.

  2. Listelenen her cihazda detaya gidin ve araştırma verilerini görüntülemek için sekmeleri kullanın. Cihazlar, kullanıcılar, IP adresleri ve olaylara dahil olan uygulamalar arasındaki bağıntıları bulun:

    • Genel Bakış:

      • Cihaz risk düzeyi: Önem derecesi (yüksek, orta, düşük, bilgilendirici) ile belirtildiği gibi cihaz profilinin kuruluşunuzdaki diğer cihazlara göre ne kadar riskli olduğunu gösterir. Defender for Cloud Apps, gelişmiş analize dayalı olarak her cihaz için Uç Nokta için Defender'ın cihaz profillerini kullanır. Bir cihazın temeline anormal olan etkinlik değerlendirilir ve cihazın risk düzeyini belirler. Öncelikle hangi cihazların araştırılması gerekeceğini belirlemek için cihaz risk düzeyini kullanın.
      • İşlemler: Seçilen süre boyunca cihazda gerçekleşen işlem sayısı hakkında bilgi.
      • Toplam trafik: Seçili zaman aralığındaki toplam trafik miktarı (MB cinsinden) hakkında bilgi.
      • Karşıya Yüklemeler: Seçilen süre boyunca cihaz tarafından karşıya yüklenen toplam trafik miktarı (MB cinsinden) hakkında bilgi.
      • İndirmeler: Seçilen süre boyunca cihaz tarafından indirilen toplam trafik miktarı (MB cinsinden) hakkında bilgi.

    • Bulunan uygulamalar: Cihaz tarafından erişilen tüm bulunan uygulamaları Listeler.

    • Kullanıcı geçmişi: Cihazda oturum açan tüm kullanıcıları Listeler.

    • IP adresi geçmişi: Cihaza atanan tüm IP adreslerini Listeler.

Diğer tüm bulut bulma kaynaklarında olduğu gibi, daha fazla araştırma için Verileri Defender tarafından yönetilen uç noktalar raporundan dışarı aktarabilirsiniz.

Not

  • Uç Nokta için Defender, verileri yaklaşık 4 MB'lık öbekler halinde Defender for Cloud Apps iletir (~4000 uç nokta işlemi)
  • 4 MB sınırına 1 saat içinde ulaşılmazsa, Uç Nokta için Defender son bir saat içinde gerçekleştirilen tüm işlemleri bildirir.

Uç nokta bir ağ ara sunucusunun arkasındayken Uç Nokta için Defender aracılığıyla uygulamaları keşfetme

Defender for Cloud Apps, ağ proxy'si ile aynı ortamda çalışan Uç Nokta için Defender cihazlarından algılanan Gölge BT ağ olaylarını bulabilir. Örneğin, Windows 10 uç nokta cihazınız ZScalar ile aynı ortamdaysa Defender for Cloud Apps Win10 Endpoint Users akışı aracılığıyla Gölge BT uygulamalarını bulabilir.

Microsoft Defender XDR'de cihaz ağ olaylarını araştırma

Not

Bulunan uygulamaları araştırmak için ağ olayları kullanılmalıdır ve eksik verilerin hatalarını ayıklamak için kullanılmamalıdır.

Uç Nokta için Microsoft Defender'da cihazın ağ etkinliğinde daha ayrıntılı görünürlük elde etmek için aşağıdaki adımları kullanın:

  1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında Cloud Discovery'yi seçin. Ardından Cihazlar sekmesini seçin.
  2. Araştırmak istediğiniz makineyi seçin ve sol üst kısımda Uç Nokta için Microsoft Defender'da görüntüle'yi seçin.
  3. Microsoft Defender XDR'da Varlıklar ->Cihazlar> {seçili cihaz} altında Zaman Çizelgesi'ni seçin.
  4. Filtreler'in altında Ağ olayları'yı seçin.
  5. Cihazın ağ olaylarını gerektiği gibi araştırın.

Microsoft Defender XDR cihaz zaman çizelgesini gösteren ekran görüntüsü.

Gelişmiş avcılık ile Microsoft Defender XDR uygulama kullanımını araştırma

Uç Nokta için Defender'da uygulamayla ilgili ağ olaylarında daha ayrıntılı görünürlük elde etmek için aşağıdaki adımları kullanın:

  1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında Cloud Discovery'yi seçin. Ardından Bulunan uygulamalar sekmesini seçin.

  2. Araştırmak istediğiniz uygulamayı seçerek çekmecesini açın.

  3. Uygulamanın Etki alanı listesini seçin ve ardından etki alanı listesini kopyalayın.

  4. Microsoft Defender XDR'da, Tehdit Avcılığı'nın altında Gelişmiş avcılık'ı seçin.

  5. Aşağıdaki sorguyu yapıştırın ve değerini daha önce kopyaladığınız etki alanlarının listesiyle değiştirin <DOMAIN_LIST> .

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Sorguyu çalıştırın ve bu uygulama için ağ olaylarını araştırın.

    gelişmiş Microsoft Defender XDR avcılığı gösteren ekran görüntüsü.

Microsoft Defender XDR'de tasdik edilmemiş uygulamaları araştırma

Tasdik edilmemiş bir uygulamaya erişmeye yönelik her girişim, Microsoft Defender XDR oturumun tamamıyla ilgili ayrıntılı ayrıntıları içeren bir uyarı tetikler. Bu sayede, tasdik edilmemiş uygulamalara erişme girişimleriyle ilgili daha ayrıntılı araştırmalar gerçekleştirmenin yanı sıra uç nokta cihazı araştırmasında kullanılmak üzere ek ilgili bilgiler de sağlarsınız.

Bazen, uç nokta cihazı doğru yapılandırılmadığından veya zorlama ilkesi henüz uç noktaya yayılmadığından, tasdik edilmemiş bir uygulamaya erişim engellenmez. Bu örnekte, Uç Nokta için Defender yöneticileri Microsoft Defender XDR tasdik edilmemiş uygulamanın engellenmediğini belirten bir uyarı alır.

Uç Nokta için Defender'ın tasdiksiz uygulama uyarısını gösteren ekran görüntüsü.

Not

  • Bir uygulamayı uygulama etki alanlarının uç nokta cihazlarına yayılması için Tasdiksiz olarak etiketlemeniz iki saat kadar sürer.
  • Varsayılan olarak, Defender for Cloud Apps'de Tasdiksiz olarak işaretlenen uygulamalar ve etki alanları kuruluştaki tüm uç nokta cihazları için engellenir.
  • Şu anda, tam URL'ler tasdik edilmemiş uygulamalar için desteklenmemaktadır. Bu nedenle, tam URL'lerle yapılandırılan uygulamalar tasdik edilmediğinde Uç Nokta için Defender'a yayılmaz ve engellenmez. Örneğin, google.com/drive desteklenirken drive.google.com desteklenmez.
  • Tarayıcı içi bildirimler farklı tarayıcılar arasında farklılık gösterebilir.

Sonraki adımlar

Uç Nokta için Microsoft Defender tarafından bulunan uygulamaları yönetme

İlkelerle bulut uygulamalarını denetleme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.