Kimlik için Microsoft Defender algılayıcı ayarlarını yapılandırma

Bu makalede, verileri görmeye başlamak için Kimlik için Microsoft Defender algılayıcı ayarlarını doğru şekilde yapılandırmayı öğreneceksiniz. Kimlik için Defender'ın tüm özelliklerinden yararlanmak için ek yapılandırma ve tümleştirme yapmanız gerekir.

Algılayıcı ayarlarını görüntüleme ve yapılandırma

Kimlik için Defender algılayıcısı yüklendikten sonra Kimlik için Defender algılayıcı ayarlarını görüntülemek ve yapılandırmak için aşağıdakileri yapın:

1. Microsoft Defender XDR'daAyarlar>Kimlik Algılayıcıları'na> gidin. Örneğin:

   

   Algılayıcılar sayfasında Kimlik için Defender algılayıcılarınızın tümü görüntülenir ve algılayıcı başına aşağıdaki ayrıntılar listelenir:

   • Algılayıcı adı
   • Algılayıcı etki alanı üyeliği
   • Algılayıcı sürüm numarası
   • Güncelleştirmelerin geciktirilip ertelenmeyeceği
   • Algılayıcı hizmeti durumu

   • Algılayıcı durumu
   • Algılayıcı sistem durumu
   • Sistem durumu sorunlarının sayısı
   • Algılayıcının oluşturulduğu zaman

   Daha fazla bilgi için bkz . Algılayıcı ayrıntıları.

2. Görünür olmasını istediğiniz filtreleri seçmek için Filtreler'i seçin. Örneğin:

   

3. Hangi algılayıcıların görüntüleneceğini belirlemek için görüntülenen filtreleri kullanın. Örneğin:

   

4. Algılayıcı ve sistem durumu hakkında daha fazla bilgi içeren ayrıntılar bölmesini göstermek için bir algılayıcı seçin. Örneğin:

   

5. Algılayıcı ayrıntılarını yapılandırabileceğiniz bir bölme göstermek için ekranı aşağı kaydırın ve Algılayıcıyı yönet'i seçin. Örneğin:

   

6. Aşağıdaki algılayıcı ayrıntılarını yapılandırın:

   Name	Açıklama
   Açıklama	Opsiyonel. Kimlik için Defender algılayıcısı için bir açıklama girin.
   Etki Alanı Denetleyicileri (FQDN)	AD FS / AD CS sunucularında yüklü tek başına Kimlik için Defender algılayıcıları ve algılayıcıları için gereklidir ve Kimlik için Defender algılayıcısı için değiştirilemez. Etki alanı denetleyicinizin tam FQDN'sini girin ve listeye eklemek için artı işaretini seçin. Örneğin, DC1.domain1.test.local. Etki Alanı Denetleyicileri listesinde tanımladığınız tüm sunucular için: - Trafiği Tek başına Kimlik için Defender algılayıcısı tarafından bağlantı noktası yansıtma yoluyla izlenen tüm etki alanı denetleyicileriNin Etki Alanı Denetleyicileri listesinde listelenmesi gerekir. Etki Alanı Denetleyicileri listesinde bir etki alanı denetleyicisi yoksa, şüpheli etkinliklerin algılanması beklendiği gibi çalışmayabilir. - Listedeki en az bir etki alanı denetleyicisi genel katalog olmalıdır. Bu, Kimlik için Defender'ın ormandaki diğer etki alanlarındaki bilgisayar ve kullanıcı nesnelerini çözümlemesini sağlar.
   Ağ bağdaştırıcılarını yakalama	Gerekli. - Kimlik için Defender algılayıcıları için, kuruluşunuzdaki diğer bilgisayarlarla iletişim için kullanılan tüm ağ bağdaştırıcıları. - Ayrılmış bir sunucudaki Tek başına Kimlik için Defender algılayıcısı için hedef yansıtma bağlantı noktası olarak yapılandırılan ağ bağdaştırıcılarını seçin. Bu ağ bağdaştırıcıları yansıtılmış etki alanı denetleyicisi trafiğini alır.

7. Algılayıcılar sayfasında Dışarı Aktar'ı seçerek algılayıcılarınızın listesini bir.csv dosyasına aktarın. Örneğin:

   

Yüklemeleri doğrulama

Kimlik için Defender algılayıcı yüklemenizi doğrulamak için aşağıdaki yordamları kullanın.

Başarılı dağıtımı doğrulama

Kimlik için Defender algılayıcısının başarıyla dağıtıldığını doğrulamak için:

1. Algılayıcı makinenizde Azure Gelişmiş Tehdit Koruması algılayıcı hizmetinin çalıştığını denetleyin. Kimlik için Defender algılayıcı ayarlarını kaydettikten sonra hizmetin başlatılması birkaç saniye sürebilir.

2. Hizmet başlatılmazsa, varsayılan olarak konumunda %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logsbulunan Microsoft.Tri.sensor-Errors.log dosyasını gözden geçirin. Burada <sensor version> dağıttığınız sürümdür.

Güvenlik uyarısı işlevselliğini doğrulama

Bu bölümde, güvenlik uyarılarının beklendiği gibi tetiklendiğini nasıl doğrulayabileceğiniz açıklanmaktadır.

Aşağıdaki adımlardaki örnekleri kullanırken, ve contoso.azure yerine sırasıyla Kimlik için Defender algılayıcınızın ve etki alanı adınızın FQDN'sini kullandığınızdan emin oluncontosodc.contoso.azure.

1. Üyeye katılmış bir cihazda bir komut istemi açın ve nslookup

2. Kimlik için Defender algılayıcısının yüklü olduğu etki alanı denetleyicisinin FQDN veya IP adresini girin server . Örneğin: server contosodc.contoso.azure

3. Girmek ls -d contoso.azure

4. Test etmek istediğiniz her algılayıcı için önceki iki adımı yineleyin.

5. Cihaz adını arayarak veya Defender portalının başka bir yerinden bağlantı testini çalıştırdığınız bilgisayarın cihaz ayrıntıları sayfasına ( Cihazlar sayfasından gibi) erişin.

6. Cihaz ayrıntıları sekmesinde Zaman Çizelgesi sekmesini seçerek aşağıdaki etkinliği görüntüleyin:

   • Olaylar: Belirtilen etki alanı adına gerçekleştirilen DNS sorguları
   • Eylem türü MdiDnsQuery

Test ettiğiniz etki alanı denetleyicisi veya AD FS / AD CS dağıttığınız ilk algılayıcıysa, bu etki alanı denetleyicisinin mantıksal etkinliğini doğrulamadan önce en az 15 dakika bekleyin ve veritabanı arka ucu ilk mikro hizmet dağıtımlarını tamamlayabilir.

En son kullanılabilir algılayıcı sürümünü doğrulama

Kimlik için Defender sürümü sık sık güncelleştirilir. Microsoft Defender XDR Ayarları>Hakkında Kimlikler> sayfasında en son sürümü denetleyin.

İlgili içerik

İlk yapılandırma adımlarını yapılandırdığınıza göre, daha fazla ayar yapılandırabilirsiniz. Daha fazla bilgi için aşağıdaki sayfalardan herhangi birine gidin:

• Varlık etiketlerini ayarlama: hassas, honeytoken ve Exchange sunucusu
• Algılama dışlamalarını yapılandırın
• Bildirimleri yapılandırma: sistem durumu sorunları, uyarılar ve Syslog

Sonraki adım