Kimlik için Microsoft Defender sık sorulan sorular

Kimlik için Defender bilinen kötü amaçlı saldırıları ve teknikleri, güvenlik sorunlarını ve ağınızdaki riskleri algılar. Kimlik için Defender algılamalarının tam listesi için bkz. Kimlik Için Defender Güvenlik Uyarıları.

Kimlik için Defender, yapılandırılmış sunucularınızdan etki alanı denetleyicileri, üye sunucular gibi bilgileri toplar ve depolar. Veriler yönetim, izleme ve raporlama amacıyla hizmete özgü bir veritabanında depolanır.

Toplanan bilgiler şunları içerir:

• Kerberos kimlik doğrulaması, NTLM kimlik doğrulaması veya DNS sorguları gibi etki alanı denetleyicilerine gelen ve gelen ağ trafiği.
• Windows güvenlik olayları gibi güvenlik günlükleri.
• Yapı, alt ağlar veya siteler gibi Active Directory bilgileri.
• Adlar, e-posta adresleri ve telefon numaraları gibi varlık bilgileri.

Microsoft bu verileri aşağıdakiler için kullanır:

• Kuruluşunuzdaki saldırı göstergelerini (GÇA) proaktif olarak belirleyin.
• Olası bir saldırı algılanırsa uyarılar oluşturun.
• Ağınızdan gelen tehdit sinyalleriyle ilgili varlıklara yönelik bir görünümle güvenlik işlemlerinizi sunarak ağ üzerindeki güvenlik tehditlerinin varlığını araştırmanıza ve keşfetmenize olanak tanıyın.

Microsoft, verilerinizi reklam amacıyla veya size hizmet sağlamak dışında başka bir amaçla mayınlamaz.

Kimlik için Defender şu anda güvenilmeyen ormanlara sahip Active Directory ortamlarını desteklemek için 30'a kadar farklı Dizin Hizmeti kimlik bilgisi eklemeyi desteklemektedir. Daha fazla hesap gerekiyorsa bir destek bileti açın.

Derin paket inceleme teknolojisini kullanarak Active Directory trafiğini analiz etmeye ek olarak, Kimlik için Defender da etki alanı denetleyicinizden ilgili Windows Olaylarını toplar ve Active Directory Domain Services bilgilerine göre varlık profilleri oluşturur. Kimlik için Defender, çeşitli satıcılardan (Microsoft, Cisco, F5 ve Checkpoint) VPN günlüklerinin RADIUS muhasebesini almayı da destekler.

Hayır. Kimlik için Defender, Windows dışı cihazlar ve mobil cihazlar da dahil olmak üzere Active Directory'de kimlik doğrulama ve yetkilendirme istekleri gerçekleştiren ağdaki tüm cihazları izler.

Evet. Bilgisayar hesapları ve diğer varlıklar kötü amaçlı etkinlikler gerçekleştirmek için kullanılabildiğinden, Kimlik için Defender tüm bilgisayar hesaplarının davranışını ve ortamdaki diğer tüm varlıkları izler.

ATA, şirket içinde ayrılmış donanım gerektiren ATA Center gibi birden çok bileşeni olan tek başına bir şirket içi çözümdür.

Kimlik için Defender, şirket içi Active Directory sinyallerinizi kullanan bulut tabanlı bir güvenlik çözümüdür. Çözüm yüksek oranda ölçeklenebilir ve sık sık güncelleştirilir.

ATA'nın son sürümü genel kullanıma sunulmuştur. ATA, Temel Desteği 12 Ocak 2021'de sona erdirdi. Genişletilmiş Destek Ocak 2026'ya kadar devam eder. Daha fazla bilgi için blogumuzu okuyun.

ATA algılayıcısının aksine, Kimlik için Defender algılayıcısı ayrıca Windows için Olay İzleme (ETW) gibi veri kaynaklarını kullanarak Kimlik için Defender'ın ek algılamalar sunmasını sağlar.

Kimlik için Defender'ın sık sık güncelleştirmeleri aşağıdaki özellikleri ve özellikleri içerir:

• Çok ormanlı ortamlar için destek: Kuruluşlara AD ormanları genelinde görünürlük sağlar.

• Microsoft Güvenli Puan duruş değerlendirmeleri: Yaygın yanlış yapılandırmaları ve kötüye kullanılabilir bileşenleri tanımlar ve saldırı yüzeyini azaltmak için düzeltme yolları sağlar.

• UEBA özellikleri: Kullanıcı araştırma önceliği puanlaması aracılığıyla bireysel kullanıcı riskine ilişkin içgörüler. Puan, Araştırmalarında SecOps'a yardımcı olabilir ve analistlerin kullanıcı ve kuruluş için olağan dışı etkinlikleri anlamasına yardımcı olabilir.

• Yerel tümleştirmeler: Hem şirket içi hem de karma ortamlarda gerçekleşenlerin karma görünümünü sağlamak için Microsoft Defender for Cloud Apps ve Microsoft Entra ID Koruması ile tümleşir.

• Microsoft Defender XDR katkıda bulunur: Uyarı ve tehdit verilerini Microsoft Defender XDR katkıda bulunur. Microsoft Defender XDR, etki alanları arası tehdit verilerini otomatik olarak analiz etmek ve her saldırının tam resmini tek bir panoda oluşturmak için Microsoft 365 güvenlik portföyünü (kimlikler, uç noktalar, veriler ve uygulamalar) kullanır.

  Bu genişlik ve netlik derinliğiyle, Defender'lar kritik tehditlere odaklanabilir ve karmaşık ihlalleri avlayabilir. Defender'lar, Microsoft Defender XDR güçlü otomasyonunun sonlandırma zincirinin herhangi bir yerinde saldırıları durdurduğunu ve kuruluşu güvenli bir duruma döndürdüğüne güvenebilir.

Kimlik için Defender, Enterprise Mobility + Security 5 paketinin (EMS E5) bir parçası olarak ve tek başına lisans olarak kullanılabilir. Doğrudan Microsoft 365 portalından veya Bulut Çözümü İş Ortağı (CSP) lisanslama modeli aracılığıyla lisans alabilirsiniz.

Kimlik için Defender lisanslama gereksinimleri hakkında bilgi için bkz. Kimlik için Defender lisanslama kılavuzu.

Evet, verileriniz erişim kimlik doğrulaması ve müşteri tanımlayıcılarına göre mantıksal ayrıştırma yoluyla yalıtılır. Her müşteri yalnızca kendi kuruluşundan toplanan verilere ve Microsoft'un sağladığı genel verilere erişebilir.

Hayır. Kimlik için Defender çalışma alanınız oluşturulduğunda, otomatik olarak Microsoft Entra kiracınızın coğrafi konumuna en yakın Azure bölgesinde depolanır. Kimlik için Defender çalışma alanınız oluşturulduktan sonra, Kimlik için Defender verileri farklı bir bölgeye taşınamaz.

Microsoft geliştiricileri ve yöneticilerine, tasarımı gereği, hizmeti çalıştırmak ve geliştirmek için kendilerine atanan görevleri yerine getirmek için yeterli ayrıcalıklar verilmiştir. Microsoft, yetkisiz geliştirici ve/veya yönetim etkinliğine karşı korunmaya yardımcı olmak için aşağıdaki mekanizmalar da dahil olmak üzere önleyici, dedektif ve reaktif denetimlerin kombinasyonlarını dağıtır:

• Hassas verilere sıkı erişim denetimi
• Kötü amaçlı etkinliklerin bağımsız olarak algılanmasında büyük ölçüde geliştiren denetimlerin birleşimleri
• Birden çok izleme, günlüğe kaydetme ve raporlama düzeyi

Ayrıca Microsoft, belirli operasyon personeli üzerinde arka plan doğrulama denetimleri gerçekleştirir ve arka plan doğrulama düzeyiyle orantılı olarak uygulamalara, sistemlere ve ağ altyapısına erişimi sınırlar. Operasyon personeli, görevlerinin performansında müşterinin hesabına veya ilgili bilgilerine erişmeleri gerektiğinde resmi bir süreci izler.

Etki alanı denetleyicilerinizin her biri için bir Kimlik için Defender algılayıcınız veya tek başına algılayıcınız olmasını öneririz. Daha fazla bilgi için bkz. Kimlik için Defender algılayıcı boyutlandırma.

AtSvc ve WMI gibi şifrelenmiş trafiğe sahip ağ protokollerinin şifresi çözülmese de algılayıcılar trafiği analiz eder.

Kimlik için Defender, Esnek Kimlik Doğrulaması Güvenli Tüneli (FAST) olarak da bilinen Kerberos Koruması'nı destekler. Bu desteğin istisnası, Kerberos Koruması ile çalışmayan karma algılamayı aşırı geçirmedir.

Kimlik için Defender algılayıcısı çoğu sanal etki alanı denetleyicisini kapsayabilir. Daha fazla bilgi için bkz. Kimlik için Defender Kapasite Planlaması.

Kimlik için Defender algılayıcısı bir sanal etki alanı denetleyicisini kapsamazsa, bunun yerine sanal veya fiziksel bir Kimlik için Defender tek başına algılayıcısı kullanın. Daha fazla bilgi için bkz. Bağlantı noktası yansıtmayı yapılandırma.

En kolay yol, bir sanal etki alanı denetleyicisinin bulunduğu her konakta tek başına Kimlik için Sanal Defender algılayıcısı kullanmaktır.

Sanal etki alanı denetleyicileriniz konaklar arasında hareket ederse aşağıdaki adımlardan birini gerçekleştirmeniz gerekir:

• Sanal etki alanı denetleyicisi başka bir konağa taşındığında, yakın zamanda taşınan sanal etki alanı denetleyicisinden gelen trafiği almak için bu konaktaki Kimlik için Defender tek başına algılayıcısını önceden yapılandırın.

• Kimlik için Defender tek başına algılayıcısını sanal etki alanı denetleyicisiyle ilişkilendirdiğinizden emin olun; böylece taşınırsa, Kimlik için Defender tek başına algılayıcısı da bu algılayıcıyla birlikte taşınır.

• Konaklar arasında trafik gönderebilen bazı sanal anahtarlar vardır.

Etki alanı denetleyicilerinizin bulut hizmetiyle iletişim kurabilmesi için güvenlik duvarınızda/ara sunucunuzda *.atp.azure.com bağlantı noktası 443'i açmanız gerekir. Daha fazla bilgi için bkz. Kimlik için Defender algılayıcılarıyla iletişimi etkinleştirmek için ara sunucunuzu veya güvenlik duvarınızı yapılandırma.

Evet, herhangi bir IaaS çözümündeki etki alanı denetleyicilerini izlemek için Kimlik için Defender algılayıcısını kullanabilirsiniz.

Kimlik için Defender, çok etki alanılı ortamları ve birden çok ormanı destekler. Daha fazla bilgi ve güven gereksinimleri için bkz . Çoklu orman desteği.

Evet, genel dağıtım durumunu ve yapılandırma, bağlantı vb. ile ilgili belirli sorunları görüntüleyebilirsiniz. Kimlik için Defender sistem durumu sorunlarıyla ilgili bu olaylar gerçekleştiğinde uyarı alırsınız.

Kimlik için Microsoft Defender, Microsoft Entra ID eşitlenmemiş olanlar da dahil olmak üzere tüm Active Directory hesapları için güvenlik değeri sağlar. Microsoft Entra ID ile eşitlenen kullanıcı hesapları, Microsoft Entra ID (lisans düzeyine göre) ve Araştırma Önceliği Puanlaması tarafından sağlanan güvenlik değerinden de yararlanacaktır.

Kimlik için Microsoft Defender ekibi, tüm müşterilerin WinPcap sürücüleri yerine Npcap sürücüsünü kullanmasını önerir. Kimlik için Defender sürüm 2.184'ten başlayarak, yükleme paketi WinPcap 4.1.3 sürücüleri yerine Npcap 1.0 OEM yükler.

WinPcap artık desteklenmiyor ve artık geliştirilmiyor olduğundan, sürücü artık Kimlik için Defender algılayıcısı için iyileştirilemiyor. Ayrıca, gelecekte WinPcap sürücüsüyle ilgili bir sorun varsa, düzeltme seçeneği yoktur.

Npcap desteklenirken WinPcap artık desteklenen bir ürün değildir.

MDI Algılayıcısı için Npcap 1.0 veya üzeri gerekir. Npcap'in başka bir sürümü yüklü değilse Algılayıcı yükleme paketi sürüm 1.0'ı yükler. Npcap zaten yüklüyse (diğer yazılım gereksinimleri veya başka bir nedenle) 1.0 veya sonraki bir sürüme sahip olduğundan ve MDI için gerekli ayarlarla yüklendiğinden emin olmak önemlidir.

Evet. WinPcap sürücülerini kaldırmak için Algılayıcıyı el ile kaldırmak gerekir. En son paketi kullanarak yeniden yükleme Npcap sürücülerini yükler.

'Npcap OEM' öğesinin Program Ekle/Kaldır (appwiz.cpl) aracılığıyla yüklendiğini ve bunun için açık bir sistem durumu sorunu varsa otomatik olarak kapatılacağını görebilirsiniz.

Hayır, Npcap'in normal beş yükleme sınırından muafiyeti vardır. Yalnızca Kimlik için Defender algılayıcısıyla kullanılan sınırsız sistemlere yükleyebilirsiniz.

Burada Npcap lisans sözleşmesine bakın ve Kimlik için Microsoft Defender arayın.

Hayır, yalnızca Kimlik için Microsoft Defender sensörü Npcap sürüm 1.00'ı destekler.

Hayır, OEM sürümünü satın almanız gerekmez. Npcap'in OEM sürümünü içeren Kimlik için Defender konsolundan algılayıcı yükleme paketi sürüm 2.156 ve üzerini indirin.

• Kimlik için Defender algılayıcısının en son dağıtım paketini indirerek Npcap yürütülebilirlerini edinebilirsiniz.

• Algılayıcıyı henüz yüklemediyseniz, 2.184 veya üzeri bir sürümü kullanarak algılayıcıyı yükleyin.

• Algılayıcıyı WinPcap ile zaten yüklediyseniz ve Npcap kullanmak için güncelleştirmeniz gerekiyorsa:

  1. Algılayıcıyı kaldırın. Windows denetim masasından program ekle/kaldır (appwiz.cpl) kullanın veya aşağıdaki kaldırma komutunu çalıştırın: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Gerekirse WinPcap'i kaldırın. Bu adım yalnızca algılayıcı yüklemeden önce WinPcap el ile yüklendiyse geçerlidir. Bu durumda WinPcap'i el ile kaldırmanız gerekir.

  3. Algılayıcıyı 2.184 veya üzeri bir sürümü kullanarak yeniden yükleyin.

• Npcap'i el ile yüklemek istiyorsanız: Aşağıdaki seçeneklerle Npcap'i yükleyin:

  • GUI yükleyicisini kullanıyorsanız geri döngü desteği seçeneğini temizleyin ve WinPcap modu'nu seçin. Npcap sürücüsünün Yalnızca Yöneticilere erişimini kısıtla seçeneğinin temizlendiğinden emin olun.
  • Komut satırını kullanıyorsanız şunu çalıştırın: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Npcap'i el ile yükseltmek istiyorsanız:

  1. Kimlik için Defender algılayıcı hizmetleri AATPSensorUpdater ve AATPSensor'ı durdurun. Koşmak: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Windows denetim masasındaki Program Ekle/Kaldır seçeneğini kullanarak Npcap'i kaldırın (appwiz.cpl).

  3. Npcap'i aşağıdaki seçeneklerle yükleyin:

     • GUI yükleyicisini kullanıyorsanız geri döngü desteği seçeneğini temizleyin ve WinPcap modu'nu seçin. Npcap sürücüsünün Yalnızca Yöneticilere erişimini kısıtla seçeneğinin temizlendiğinden emin olun.

     • Komut satırını kullanıyorsanız şunu çalıştırın: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Kimlik için Defender algılayıcı hizmetleri AATPSensorUpdater ve AATPSensor'ı başlatın. Koşmak: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Kimlik için Defender, sistem durumu sorunları ve bir güvenlik uyarısı algılandığında CEF biçimini kullanarak herhangi bir SIEM sunucusuna Syslog uyarısı gönderecek şekilde yapılandırılabilir. Daha fazla bilgi için bkz. SIEM günlük başvurusu.

Bir hesap, hassas olarak belirlenen grupların bir üyesi olduğunda hesaplar hassas olarak kabul edilir (örneğin: "Etki Alanı Yöneticileri").

Hesabın neden hassas olduğunu anlamak için grup üyeliğini gözden geçirerek hangi hassas gruplara ait olduğunu anlayabilirsiniz. Ait olduğu grup başka bir grup nedeniyle de hassas olabilir, bu nedenle en üst düzey hassas grubu bulana kadar aynı işlem gerçekleştirilmelidir. Alternatif olarak, hesapları hassas olarak el ile etiketleyin.

Kimlik için Defender ile kurallar, eşikler veya temeller oluşturmanıza ve ardından ince ayar yapmanıza gerek yoktur. Kimlik için Defender, kullanıcılar, cihazlar ve kaynaklar arasındaki davranışların yanı sıra birbiriyle ilişkilerini analiz eder ve şüpheli etkinlikleri ve bilinen saldırıları hızla algılayabilir. Dağıtımdan üç hafta sonra, Kimlik için Defender davranışsal şüpheli etkinlikleri algılamaya başlar. Öte yandan Kimlik için Defender, dağıtımdan hemen sonra bilinen kötü amaçlı saldırıları ve güvenlik sorunlarını algılamaya başlar.

Kimlik için Defender, üç senaryodan birinde etki alanı denetleyicilerinden kuruluştaki bilgisayarlara trafik oluşturur:

• Ağ Adı çözümlemesi Kimlik için Defender trafiği ve olayları yakalar, ağdaki kullanıcıları ve bilgisayar etkinliklerini öğrenir ve profil oluşturur. Kuruluştaki bilgisayarlara göre etkinlikleri öğrenmek ve profillerini almak için Kimlik için Defender'ın bilgisayar hesaplarına yönelik IP'leri çözümlemesi gerekir. Kimlik için Defender algılayıcıları bilgisayar adlarına YÖNELIK IP'leri çözmek için IP adresinin arkasındaki bilgisayar adının IP adresini isteyin.

  İstekler dört yöntemden biri kullanılarak yapılır:

  • RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
  • NetBIOS (UDP bağlantı noktası 137)
  • RDP (TCP bağlantı noktası 3389)
  • IP adresinin ters DNS aramasını kullanarak DNS sunucusunu sorgulama (UDP 53)

  Bilgisayar adını aldıktan sonra, Kimlik için Defender algılayıcıları Active Directory'deki ayrıntıları inceler ve aynı bilgisayar adına sahip bağıntılı bir bilgisayar nesnesi olup olmadığını denetler. Eşleşme bulunursa, IP adresi ile eşleşen bilgisayar nesnesi arasında bir ilişkilendirme yapılır.

• YanAl Hareket Yolu (LMP) Hassas kullanıcılar için olası LMP'ler oluşturmak için, Kimlik için Defender bilgisayarlardaki yerel yöneticiler hakkında bilgi gerektirir. Bu senaryoda, Kimlik için Defender algılayıcısı, bilgisayarın yerel yöneticilerini belirlemek amacıyla ağ trafiğinde tanımlanan IP adresini sorgulamak için SAM-R (TCP 445) kullanır. Kimlik için Defender ve SAM-R hakkında daha fazla bilgi edinmek için bkz. SAM-R gerekli izinlerini yapılandırma.

• Varlık verileri için LDAP kullanarak Active Directory'yi sorgulama Kimlik algılayıcıları için Defender, varlığın ait olduğu etki alanından etki alanı denetleyicisini sorgular. Aynı algılayıcı veya bu etki alanındaki başka bir etki alanı denetleyicisi olabilir.

Kimlik için Defender birçok farklı protokol üzerindeki etkinlikleri yakalar. Bazı durumlarda, Kimlik için Defender trafikteki kaynak kullanıcının verilerini almaz. Kimlik için Defender kullanıcının oturumunu etkinlikle ilişkilendirmeye çalışır ve deneme başarılı olduğunda etkinliğin kaynak kullanıcısı görüntülenir. Kullanıcı bağıntı girişimleri başarısız olduğunda, yalnızca kaynak bilgisayar görüntülenir.

Kimlik için Defender algılayıcısı, MDI izlenen makinesine gelen bazı DNS etkinliklerine yanıt olarak "aatp.dns.detection.local" dns çağrısını tetikleyebilir.

Kimlik için Defender'daki kişisel kullanıcı verileri, kuruluşun Active Directory'sindeki kullanıcının nesnesinden türetilir ve doğrudan Kimlik için Defender'da güncelleştirilemez.

Güvenlik uyarısı bilgilerini dışarı aktarmayla aynı yöntemi kullanarak Kimlik için Defender'dan kişisel verileri dışarı aktarabilirsiniz. Daha fazla bilgi için bkz. Güvenlik uyarılarını gözden geçirme.

Belirli bir kullanıcı veya bilgisayar gibi tanımlanabilir kişisel verileri aramak için Microsoft Defender portalı arama çubuğunu kullanın. Daha fazla bilgi için bkz . Varlıkları araştırma.

Kimlik için Defender, kişisel veri kayıtlarını silme ve dışarı aktarma dahil olmak üzere kişisel veri değişikliklerinin denetimini uygular. Denetim kaydı saklama süresi 90 gündür. Kimlik için Defender'da denetim bir arka uç özelliğidir ve müşterilere erişilemez.

Bir kullanıcı kuruluşun Active Directory'sinden silindikten sonra, veriler etkin bir olayın parçası olmadığı sürece, Kimlik için Defender kullanıcı profilini ve ilgili ağ etkinliklerini Kimlik için Defender'ın genel veri saklama ilkesiyle uyumlu olarak otomatik olarak siler. Silinmiş Nesneler kapsayıcısı üzerinde Salt okunur izinler eklemenizi öneririz. Daha fazla bilgi için bkz . Gerekli DSA izinlerini verme.

Geçerli hata günlüğündeki en son hataya bakın (Kimlik için Defender "Günlükler" klasörünün altına yüklenir).

İlgili içerik

• Kimlik için Defender önkoşulları
• Kimlik için Defender kapasite planlaması
• Olay koleksiyonunu yapılandırma
• Windows olay iletmeyi yapılandırma
• Sorun giderme
• Kimlik için Defender forumunu inceleyin!