Kimlik için Microsoft Defender algılayıcılarını yönetme ve güncelleştirme
Bu makalede, Microsoft Defender XDR'de Kimlik için Microsoft Defender algılayıcılarını yapılandırma ve yönetme açıklanmaktadır.
Kimlik için Defender algılayıcı ayarlarını ve durumunu görüntüleme
Microsoft Defender XDR'daAyarlar'a ve ardından Kimlikler'e gidin.
Tüm Kimlik için Defender algılayıcılarınızın görüntülendiği Algılayıcılar sayfasını seçin. Her algılayıcı için adını, etki alanı üyeliğini, sürüm numarasını, güncelleştirmelerin gecikmesi gerekiyorsa, hizmet durumunu, algılayıcı durumunu, sistem durumunu, sistem durumu sorunlarının sayısını ve algılayıcının ne zaman oluşturulduğunu görürsünüz. Her sütunla ilgili ayrıntılar için bkz . Algılayıcı ayrıntıları.
Filtreler'i seçerseniz hangi filtrelerin kullanılabilir olacağını seçebilirsiniz. Ardından her filtreyle hangi algılayıcıların görüntüleneceğini seçebilirsiniz.
Algılayıcılardan birini seçerseniz algılayıcı ve sistem durumu hakkında bilgi içeren bir bölme görüntülenir.
Sistem durumu sorunlarından herhangi birini seçerseniz, bunlar hakkında daha fazla ayrıntı içeren bir bölme alırsınız. Kapalı bir sorun seçerseniz, buradan yeniden açabilirsiniz.
Algılayıcıyı yönet'i seçerseniz algılayıcı ayrıntılarını yapılandırabileceğiniz bir bölme açılır.
Algılayıcılar sayfasında, Dışarı Aktar'ı seçerek algılayıcı listenizi bir .csv dosyasına aktarabilirsiniz.
Algılayıcı ayrıntıları
Algılayıcılar sayfası her algılayıcı hakkında aşağıdaki bilgileri sağlar:
Algılayıcı: Algılayıcının NetBIOS bilgisayar adını görüntüler.
Tür: Algılayıcının türünü görüntüler. Olası değerler şunlardır:
Etki alanı denetleyicisi algılayıcısı
AD FS algılayıcısı (Active Directory Federasyon Hizmetleri (AD FS))
Tek başına algılayıcı
ADCS algılayıcısı (Active Directory Sertifika Hizmetleri). Algılayıcınız AD CS'nin yapılandırıldığı bir etki alanı denetleyicisi sunucusunda yüklüyse (örneğin, bir test ortamında), algılayıcı türü bunun yerine Etki alanı denetleyicisi algılayıcısı olarak gösterilir.
Etki Alanı: Algılayıcının yüklü olduğu Active Directory etki alanının tam etki alanı adını görüntüler.
Hizmet Durumu: Sunucudaki algılayıcı hizmetinin durumunu görüntüler. Olası değerler şunlardır:
Çalışıyor: Algılayıcı hizmeti çalışıyor
Başlangıç: Algılayıcı hizmeti başlatılıyor
Devre dışı: Algılayıcı hizmeti devre dışı bırakıldı
Durduruldu: Algılayıcı hizmeti durduruldu
Bilinmiyor: Algılayıcının bağlantısı kesildi veya ulaşılamıyor
Algılayıcı Durumu: Sensörün genel durumunu görüntüler. Olası değerler şunlardır:
Güncel: Algılayıcı, algılayıcının geçerli bir sürümünü çalıştırıyor.
Eski: Algılayıcı, yazılımın geçerli sürümün en az üç sürümünün arkasında bulunan bir sürümünü çalıştırıyor.
Güncelleştirme: Algılayıcı yazılımı güncelleştiriliyor.
Güncelleştirme başarısız oldu: Algılayıcı yeni bir sürüme güncelleştirilemedi.
Yapılandırılmadı: Algılayıcı, tam olarak çalışmadan önce daha fazla yapılandırma gerektirir. Bu, AD FS / AD CS sunucularına veya tek başına algılayıcılara yüklenen algılayıcılar için geçerlidir.
Başlatma başarısız oldu: Algılayıcı yapılandırmayı 30 dakikadan uzun süre çekmedi.
Eşitleme: Algılayıcının bekleyen yapılandırma güncelleştirmeleri var, ancak henüz yeni yapılandırmayı çekmedi.
Bağlantısı kesildi: Kimlik için Defender hizmeti 10 dakikadır bu algılayıcıdan herhangi bir iletişim görmedi.
Ulaşılamıyor: Etki alanı denetleyicisi Active Directory'den silindi. Ancak algılayıcı yüklemesi, kullanımdan kaldırılmadan önce etki alanı denetleyicisinden kaldırılmadı. Bu girdiyi güvenle silebilirsiniz.
Sürüm: Algılayıcı sürümünün yüklü olduğunu görüntüler.
Gecikmeli güncelleştirme: Algılayıcının gecikmeli güncelleştirme mekanizması durumunu görüntüler. Olası değerler şunlardır:
Etkin
Devre dışı
Sistem durumu: Algılayıcının genel sistem durumunu, en yüksek önem derecesi açık sistem durumu uyarısını temsil eden renkli bir simgeyle görüntüler. Olası değerler şunlardır:
Sağlıklı (yeşil simge): Açık sistem durumu sorunu yok
İyi durumda değil (sarı simge): Açılan en yüksek önem derecesi sistem durumu sorunu düşük
İyi durumda değil (turuncu simge): En yüksek önem derecesi açık sistem durumu sorunu orta
İyi durumda değil (kırmızı simge): Açılan en yüksek önem derecesi sistem durumu sorunu yüksektir
Sistem durumu sorunları: Algılayıcıdaki açık sistem durumu sorunlarının sayısını görüntüler.
Oluşturuldu: Algılayıcının yüklendiği tarihi görüntüler
Algılayıcılarınızı güncelleştirme
Kimlik için Microsoft Defender algılayıcılarınızı güncel tutmak, kuruluşunuz için mümkün olan en iyi korumayı sağlar.
Kimlik için Microsoft Defender hizmeti genellikle ayda birkaç kez yeni algılamalar, özellikler ve performans geliştirmeleriyle güncelleştirilir. Bu güncelleştirmeler genellikle algılayıcılara karşılık gelen küçük bir güncelleştirmeyi içerir. Algılayıcı güncelleştirme paketleri yalnızca Kimlik için Defender algılayıcısını ve algılayıcı algılama özelliklerini denetler.
Kimlik için Defender algılayıcı güncelleştirme türleri
Kimlik için Defender algılayıcıları iki tür güncelleştirmesi destekler:
İkincil sürüm güncelleştirmeleri:
- Sıkça
- MSI yüklemesi ve kayıt defteri değişikliği gerektirmez
- Yeniden başlatıldı: Kimlik için Defender algılayıcı hizmetleri
Ana sürüm güncelleştirmeleri:
- Nadir
- Önemli değişiklikler içerir
- Yeniden başlatıldı: Kimlik için Defender algılayıcı hizmetleri
Not
- Kimlik için Defender algılayıcıları her zaman yüklü olduğu etki alanı denetleyicisinde kullanılabilir belleğin ve CPU'nun en az %15'ini ayırır. Kimlik için Defender hizmeti çok fazla bellek tüketiyorsa, hizmet Kimlik için Defender algılayıcı güncelleştirici hizmeti tarafından otomatik olarak durdurulur ve yeniden başlatılır.
Gecikmeli sensör güncelleştirmesi
Devam eden Kimlik için Defender geliştirme ve sürüm güncelleştirmelerinin hızlı hızı göz önünde bulundurulduğunda, algılayıcılarınızın bir alt küme grubunu gecikmeli bir güncelleştirme halkası olarak tanımlamaya karar verebilir ve aşamalı bir algılayıcı güncelleştirme işlemine olanak tanıyabilirsiniz. Kimlik için Defender, algılayıcılarınızın nasıl güncelleştirileceğini seçmenize ve her algılayıcıyı Gecikmeli güncelleştirme adayı olarak ayarlamanıza olanak tanır.
Gecikmeli güncelleştirme için seçilmeyen algılayıcılar, Kimlik için Defender hizmeti her güncelleştirildiğinde otomatik olarak güncelleştirilir. Gecikmeli güncelleştirme olarak ayarlanan algılayıcılar, her hizmet güncelleştirmesinin resmi sürümü sonrasında 72 saatlik bir gecikmeyle güncelleştirilir.
Gecikmeli güncelleştirme seçeneği, tüm güncelleştirmelerin otomatik olarak dağıtıldığı otomatik güncelleştirme halkası olarak belirli algılayıcıları seçmenize ve geri kalan algılayıcılarınızı gecikmeli olarak güncelleştirilecek şekilde ayarlamanıza olanak tanır ve otomatik olarak güncelleştirilen algılayıcıların başarılı olduğunu onaylamanız için size zaman tanır.
Not
Bir hata oluşursa ve algılayıcı güncelleştirilmezse bir destek bileti açın. Proxy'nizi yalnızca çalışma alanınızla iletişim kuracak şekilde daha da sağlamlaştırmak için bkz. Proxy yapılandırması.
Algılayıcılarınızla Azure bulut hizmeti arasında kimlik doğrulaması güçlü, sertifika tabanlı karşılıklı kimlik doğrulaması kullanır. İstemci sertifikası, algılayıcı yüklemesinde otomatik olarak imzalanan ve 2 yıl boyunca geçerli olan bir sertifika olarak oluşturulur. Algılayıcı Güncelleştirici hizmeti, mevcut sertifikanın süresi dolmadan önce otomatik olarak imzalanan yeni bir sertifika oluşturmakla sorumludur. Sıralı sertifikanın kimlik doğrulamasını bozduğu bir durumdan kaçınmak için sertifikalar arka uca 2 aşamalı doğrulama işlemiyle alınır.
Her güncelleştirme, ağınızı ve işlemlerinizi minimum düzeyde etkilemek için desteklenen tüm işletim sistemlerinde test edilir ve doğrulanır.
Algılayıcıyı gecikmeli güncelleştirme olarak ayarlamak için:
Algılayıcılar sayfasında gecikmeli güncelleştirmeler için ayarlamak istediğiniz algılayıcıyı seçin.
Gecikmeli güncelleştirme etkinleştirildi düğmesini seçin.
Onay penceresinde Etkinleştir'i seçin.
Gecikmeli güncelleştirmeleri devre dışı bırakmak için algılayıcıyı seçin ve ardından Gecikmeli güncelleştirme devre dışı bırak düğmesini seçin.
Algılayıcı güncelleştirme işlemi
Kimlik için Defender algılayıcıları birkaç dakikada bir en son sürüme sahip olup olmadıklarını denetler. Kimlik için Defender bulut hizmeti daha yeni bir sürüme güncelleştirildikten sonra, Kimlik için Defender algılayıcı hizmeti güncelleştirme işlemini başlatır:
Kimlik için Defender bulut hizmeti en son sürüme güncelleştirilir.
Kimlik için Defender algılayıcı güncelleştirici hizmeti güncelleştirilmiş bir sürüm olduğunu öğrenir.
Gecikmeli güncelleştirme olarak ayarlanmayan algılayıcılar, algılayıcı temelinde güncelleştirme işlemini başlatır:
- Kimlik için Defender algılayıcı güncelleştirici hizmeti, güncelleştirilmiş sürümü bulut hizmetinden (cab dosyası biçiminde) çeker.
- Kimlik için Defender algılayıcı güncelleştiricisi dosya imzasını doğrular.
- Kimlik için Defender algılayıcı güncelleştirici hizmeti, cab dosyasını algılayıcının yükleme klasöründeki yeni bir klasöre ayıklar. Varsayılan olarak C:\Program Files\Azure Advanced Threat Protection Algılayıcısı<sürüm numarasına> ayıklanır
- Kimlik için Defender algılayıcı hizmeti, cab dosyasından ayıklanan yeni dosyaları gösterir.
- Kimlik için Defender algılayıcı güncelleştirici hizmeti, Kimlik için Defender algılayıcı hizmetini yeniden başlatır.
Not
İkincil algılayıcı güncelleştirmeleri MSI yüklemez, kayıt defteri değerlerini veya sistem dosyalarını değiştirmez. Bekleyen bir yeniden başlatma bile algılayıcı güncelleştirmesini etkilemez.
- Algılayıcılar yeni güncelleştirilen sürüme göre çalışır.
- Algılayıcı, Azure bulut hizmetinden izin alır. Algılayıcıların durumunu Algılayıcılar sayfasından doğrulayabilirsiniz.
- Sonraki algılayıcı, güncelleştirme işlemini başlatır.
Gecikmeli güncelleştirme için seçilen algılayıcılar, Kimlik için Defender bulut hizmeti güncelleştirildikten 72 saat sonra güncelleştirme sürecini başlatır. Bu algılayıcılar daha sonra otomatik olarak güncelleştirilen algılayıcılar ile aynı güncelleştirme işlemini kullanır.
Güncelleştirme işlemini tamamlayabilen tüm algılayıcılar için ilgili bir sistem durumu uyarısı tetikler ve bildirim olarak gönderilir.
Kimlik için Defender algılayıcısını sessizce güncelleştirme
Kimlik için Defender algılayıcısını sessizce güncelleştirmek için aşağıdaki komutu kullanın:
Söz dizimi:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]
Yükleme seçenekleri:
| Name | Sözdizimi | Sessiz yükleme için zorunlu mu? | Açıklama |
|---|---|---|---|
| Sessiz | /sessiz | Evet | Kullanıcı arabirimi ve istem görüntülemeden yükleyiciyi çalıştırır. |
| Yardım | /Yardım | Hayır | Yardım ve hızlı başvuru sağlar. Tüm seçeneklerin ve davranışların listesi de dahil olmak üzere kurulum komutunun doğru kullanımını görüntüler. |
| NetFrameworkCommandLineArguments="/q" | NetFrameworkCommandLineArguments="/q" | Evet | .Net Framework yüklemesi için parametreleri belirtir. .Net Framework'ün sessiz yüklemesini zorunlu kılmak için ayarlanmalıdır. |
Örnekler:
Kimlik için Defender algılayıcısını sessizce güncelleştirmek için:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"
Proxy ayarlarını yapılandırma
Yükleme sırasında komut satırı anahtarlarını kullanarak ilk ara sunucu ayarlarını yapılandırmanızı öneririz. Ara sunucu ayarlarınızı daha sonra güncelleştirmeniz gerekiyorsa CLI veya PowerShell kullanın.
Ara sunucu ayarlarınızı daha önce WinINet veya kayıt defteri anahtarı aracılığıyla yapılandırdıysanız ve bunları güncelleştirmeniz gerekiyorsa, başlangıçta kullandığınız yöntemi kullanmanız gerekir.
Daha fazla bilgi için bkz . Uç nokta ara sunucusu ve İnternet bağlantısı ayarlarını yapılandırma.