Aracılığıyla paylaş

Microsoft Defender'de cihaz varlığı sayfası

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender portalındaki cihaz varlığı sayfası, cihaz varlıklarını araştırmanıza yardımcı olur. Sayfa, belirli bir cihaz varlığıyla ilgili tüm önemli bilgileri içerir. Bir uyarı veya olay bir cihazın şüpheli davrandığını veya tehlikede olabileceğini gösteriyorsa, uyarı veya olayla ilgili olabilecek diğer davranışları veya olayları belirlemek için cihazın ayrıntılarını araştırın ve ihlalin olası kapsamını keşfedin. Ayrıca bazı yaygın güvenlik görevlerini gerçekleştirmek ve güvenlik tehditlerini azaltmak veya düzeltmek için bazı yanıt eylemleri gerçekleştirmek için cihaz varlık sayfasını da kullanabilirsiniz.

Önemli

Cihaz varlığı sayfasında görüntülenen içerik kümesi, cihazın Uç Nokta için Microsoft Defender ve Kimlik için Microsoft Defender kaydına bağlı olarak biraz farklılık gösterebilir.

Kuruluşunuz Defender portalına Microsoft Sentinel eklendiyse ek bilgiler görüntülenir.

Microsoft Sentinel'de cihaz varlıkları ana bilgisayar varlıkları olarak da bilinir. Daha fazla bilgi edinin.

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için, Microsoft Sentinel Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için bkz. Microsoft Defender portalındaki Microsoft Sentinel.

Cihaz varlıkları aşağıdaki alanlarda bulunabilir:

  • Cihazlar listesi, Varlıklar altında
  • Uyarı sırası
  • Her bir uyarı/olay
  • Tek bir kullanıcı varlığı sayfası
  • Tek tek dosya ayrıntıları görünümü
  • Herhangi bir IP adresi veya etki alanı ayrıntıları görünümü
  • Etkinlik günlüğü
  • Gelişmiş tehdit avcılığı sorguları
  • İşlem merkezi

Cihaz hakkında daha fazla ayrıntı görüntüleyen cihazın varlık sayfasını açmak için cihazları portalda her gördüğünüzde seçebilirsiniz. Örneğin, Microsoft Defender portalındaki bir olayın uyarılarında listelenen cihazların ayrıntılarını Araştırma & yanıt > Olayları & Uyarıları > Olay >Olay> Varlıkları > Cihazları bölümünde görebilirsiniz.

Microsoft Defender portalındaki bir olayın Kullanıcılar sayfasının ekran görüntüsü.

Cihaz varlığı sayfası bilgilerini sekmeli biçimde sunar. Bu makalede, her sekmede kullanılabilen bilgi türleri ve belirli bir cihazda gerçekleştirebileceğiniz eylemler ele alınmaktadır.

Cihaz varlığı sayfasında aşağıdaki sekmeler görüntülenir:

Varlık sayfası üst bilgisi

Varlık sayfasının en üstteki bölümü aşağıdaki ayrıntıları içerir:

  • Varlık adı
  • Risk önem derecesi, kritiklik ve cihaz değeri göstergeleri
  • Cihazın sınıflandırılabileceği etiketler. Uç Nokta için Defender, Kimlik için Defender veya kullanıcılar tarafından eklenebilir. Kimlik için Microsoft Defender etiketleri düzenlenemez.
  • Yanıt eylemleri de burada bulunur. Bunlar hakkında daha fazla bilgiyi aşağıda bulabilirsiniz.

Genel Bakış sekmesi

Varsayılan sekme Genel Bakış'tır. Cihazla ilgili en önemli güvenlik bilgilerine hızlı bir bakış sağlar. Genel Bakış sekmesi, cihaz ayrıntıları kenar çubuğunu ve bazı kartların üst düzey bilgileri görüntülendiği bir pano içerir.

Cihaz ayrıntıları

Kenar çubuğunda cihazın tam adı ve pozlama düzeyi listelenir. Ayrıca küçük alt bölümlerde genişletilebilir veya daraltılabilir bazı önemli temel bilgiler sağlar, örneğin:

Bölüm Dahil edilen bilgiler
VM ayrıntıları Makine ve etki alanı adları ve kimlikleri, sistem durumu ve ekleme durumları, ilk ve son görülenler için zaman damgaları, IP adresleri ve daha fazlası
DLP ilkesi eşitleme ayrıntıları Uygunsa
Yapılandırma durumu Uç Nokta için Microsoft Defender yapılandırmasıyla ilgili ayrıntılar
Bulut kaynağı ayrıntıları Bulut platformu, kaynak kimliği, abonelik bilgileri ve daha fazlası
Donanım ve üretici yazılımı VM, işlemci ve BIOS bilgileri ve daha fazlası
Cihaz yönetimi kayıt durumunu ve yönetim bilgilerini Uç Nokta için Microsoft Defender
Dizin verileri UAC bayrakları, SPN'ler ve grup üyelikleri.

Pano

Genel Bakış sekmesinin ana bölümünde pano türündeki çeşitli ekran kartları gösterilir:

  • Son altı ay içinde cihazı kapsayan etkin uyarılar ve risk düzeyi önem derecesine göre gruplandırılır
  • Cihazın güvenlik değerlendirmeleri ve maruz kalma düzeyi
  • Son 30 gün içinde cihazda oturum açan kullanıcılar
  • Cihaz sistem durumu ve cihazın en son taramalarıyla ilgili diğer bilgiler.

İpucu

Maruz kalma düzeyi, cihazın güvenlik önerilerine ne kadar uyduğuyla ilgilidir, risk düzeyi ise etkin uyarıların türleri ve önem derecesi de dahil olmak üzere bir dizi faktöre göre hesaplanır.

Microsoft Defender portalındaki cihaz varlığı sayfasının Genel Bakış sekmesinin ekran görüntüsü.

Olaylar ve uyarılar sekmesi

Olaylar ve uyarılar sekmesi, eklendiyse Microsoft Sentinel dahil olmak üzere bir dizi Microsoft Defender algılama kaynağından cihazda tetiklenen uyarıları içeren olayların listesini içerir. Bu liste , olay kuyruğunun filtrelenmiş bir sürümüdür ve olay veya uyarının kısa bir açıklamasını, önem derecesini (yüksek, orta, düşük, bilgilendirici), kuyruktaki durumunu (yeni, devam ediyor, çözüldü), sınıflandırmasını (ayarlanmamış, yanlış uyarı, doğru uyarı), araştırma durumunu, kategoriyi, bu durumu ele almak için atananları ve gözlemlenen son etkinliği gösterir.

Her öğe için hangi sütunların görüntüleneceğini özelleştirebilirsiniz. Uyarıları önem derecesine, durumuna veya görüntüdeki diğer herhangi bir sütuna göre de filtreleyebilirsiniz.

Etkilenen varlıklar sütunu, olay veya uyarıda başvuruda bulunan tüm cihaz ve kullanıcı varlıklarını ifade eder.

Bir olay veya uyarı seçildiğinde bir açılır öğe görüntülenir. Bu panelden olayı veya uyarıyı yönetebilir ve olay/uyarı numarası ve ilgili cihazlar gibi diğer ayrıntıları görüntüleyebilirsiniz. Aynı anda birden çok uyarı seçilebilir.

Bir olayın veya uyarının tam sayfa görünümünü görmek için başlığını seçin.

Microsoft Defender portalındaki cihaz varlığı sayfasının Olaylar ve uyarılar sekmesinin ekran görüntüsü.

Zaman Çizelgesi sekmesi

Zaman Çizelgesi sekmesinde, cihazda gözlemlenen tüm olayların kronolojik görünümü görüntülenir. Bu, cihazla ilgili olarak tüm olayları, dosyaları ve IP adreslerini ilişkilendirmenize yardımcı olabilir.

Listede görüntülenen sütunların seçimi de özelleştirilebilir. Varsayılan sütunlar olay zamanını, etkin kullanıcıyı, eylem türünü, ilişkili varlıkları (işlemler, dosyalar, IP adresleri) ve olay hakkında ek bilgileri listeler.

Zaman aralığının kenarlıklarını sayfanın en üstündeki genel zaman çizelgesi grafiği boyunca kaydırarak olayların görüntüleneceği zaman aralığını yönetebilirsiniz. Listenin en üstündeki açılan listeden bir zaman aralığı da seçebilirsiniz (varsayılan değer 30 gündür). Görünümünüzü daha fazla denetlemek için olay gruplarına göre filtreleyebilir veya sütunları özelleştirebilirsiniz.

İndirme için yedi güne kadar olan olayları csv dosyasına aktarabilirsiniz.

Seçip olay seçerek ve açılan panelde ayrıntılarını görüntüleyerek tek tek olayların ayrıntılarını detaya gidin. Aşağıdaki Olay ayrıntılarına bakın.

Birleşik zaman çizelgesi (Önizleme)

Ocak 2025 itibarıyla, Defender portalına Microsoft Sentinel eklediyseniz, Sentinel olayları sekmesindekiSentinel zaman çizelgesinde görünen cihaz etkinlikleri de burada ana Zaman Çizelgesi sekmesinde görüntülenir, böylece diğer kişiler tarafından kaydedilen olaylarla birlikte görüntülenebilir Hizmetleri tek bir bağlamda Microsoft Defender. Bu birleşik zaman çizelgesi, cihaz etkinliklerinin birleşik bir görünümünü sağlayarak, ekranlar arasında geçiş yapma gereksinimini ortadan kaldırarak ve daha hızlı karar alma olanağı sağlayarak araştırmaların basitleştirilmesine yardımcı olur.

Birleşik cihaz zaman çizelgesinin ekran görüntüsü.

Ana zaman çizelgesinde Microsoft Sentinel olayları göstermemeye ve bunun yerine bunları daha önce olduğu gibi görüntülemeye devam etmemeye Sentinel olaylar sekmesinden seçebilirsiniz. Bunu yapmak için Zaman Çizelgesi ayarları'nı seçin ve Microsoft Sentinel sorgulardan Stream olaylarınıKapalı konuma getirin. Ayarı kaydetmek için Uygula'yı seçin.

Varlık cihazı zaman çizelgesi ayarları iki durumlu düğmesinin ekran görüntüsü.

Bu etkinlik olayları hakkında daha fazla bilgi için bkz. Microsoft Sentinel varlık sayfaları.

Not

Güvenlik duvarı olaylarının görüntülenmesi için denetim ilkesini etkinleştirmeniz gerekir. Yönergeler için bkz. Filtre Platformu bağlantısını denetleme.

Güvenlik duvarı aşağıdaki olayları kapsar:

  • 5025 - Güvenlik duvarı hizmeti durduruldu
  • 5031 - Uygulamanın ağda gelen bağlantıları kabul etme engeli
  • 5157 - engellenen bağlantı

Microsoft Defender portalındaki cihaz varlığı sayfasının Zaman Çizelgesi sekmesinin ekran görüntüsü.

Olay ayrıntıları

Bu olayla ilgili ayrıntıları görüntülemek için bir olay seçin. Etkinlik hakkında çok daha fazla bilgi göstermek için bir açılır panel görüntülenir. Görüntülenen bilgi türleri olayın türüne bağlıdır. Uygun olduğunda ve veriler kullanılabilir olduğunda, dosya veya işlem zinciri gibi ilgili varlıkları ve bunların ilişkilerini gösteren bir grafik görebilirsiniz. MiTRE ATT&CK taktiklerinin ve olay için geçerli tekniklerin özet açıklamasını da görebilirsiniz.

Olayı ve ilgili olayları daha fazla incelemek için, ilgili olayları avla'yı seçerek hızlı bir şekilde gelişmiş bir avcılık sorgusu çalıştırabilirsiniz. Sorgu, seçilen olayı ve aynı uç noktada aynı anda gerçekleşen diğer olayların listesini döndürür.

Olay ayrıntıları panelinin ekran görüntüsü.

Güvenlik önerileri sekmesi

Güvenlik önerileri sekmesi, cihazı korumak için gerçekleştirebileceğiniz eylemleri listeler. Bu listeden bir öğe seçildiğinde, önerinin nasıl uygulanacağı hakkında yönergeler alabileceğiniz bir açılır liste açılır.

Önceki sekmelerde olduğu gibi, görüntülenen sütunların seçimi özelleştirilebilir.

Varsayılan görünüm, ele alınan güvenlik zayıflıklarını, ilişkili tehdidi, tehditten etkilenen ilgili bileşeni veya yazılımları ve daha fazlasını ayrıntılı olarak gösteren sütunları içerir. Öğeler önerinin durumuna göre filtrelenebilir.

Güvenlik önerileri hakkında daha fazla bilgi edinin.

Cihaz varlığı sayfasının Güvenlik önerileri sekmesinin ekran görüntüsü.

Envanterler sekmesi

Bu sekmede dört tür bileşenin envanteri görüntülenir: Yazılım, güvenlik açığı bulunan bileşenler, tarayıcı uzantıları ve sertifikalar.

Yazılım envanteri

Bu kart, cihazda yüklü yazılımları listeler.

Varsayılan görünümde yazılım satıcısı, yüklü sürüm numarası, bilinen yazılım zayıflıklarının sayısı, tehdit içgörüleri, ürün kodu ve etiketler görüntülenir. Görüntülenen öğe sayısı ve hangi sütunların görüntülendiği özelleştirilebilir.

Bu listeden bir öğe seçildiğinde, seçilen yazılım hakkında daha fazla ayrıntı ve yazılımın son bulunduğu zamana ait yol ve zaman damgasını içeren bir açılır liste açılır.

Bu liste ürün koduna, zayıf noktalarına ve tehditlerin varlığına göre filtrelenebilir.

Microsoft Defender portalında cihaz profili için Yazılım envanteri sekmesinin ekran görüntüsü

Güvenlik açığı olan bileşenler

Bu kart, güvenlik açıkları içeren yazılım bileşenlerini listeler.

Varsayılan görünüm ve filtreleme seçenekleri yazılımla aynıdır.

Açılır öğede daha fazla bilgi görüntülemek için bir öğe seçin.

Tarayıcı uzantıları

Bu kart, cihazda yüklü olan tarayıcı uzantılarını gösterir. Görüntülenen varsayılan alanlar uzantı adı, yüklendiği tarayıcı, sürüm, izin riski (uzantı tarafından istenen cihazlara veya sitelere erişim türüne göre) ve durumdur. İsteğe bağlı olarak, satıcı da görüntülenebilir.

Açılır öğede daha fazla bilgi görüntülemek için bir öğe seçin.

Sertifikalar

Bu kart, cihazda yüklü olan tüm sertifikaları görüntüler.

Varsayılan olarak görüntülenen alanlar sertifika adı, verme tarihi, son kullanma tarihi, anahtar boyutu, veren, imza algoritması, anahtar kullanımı ve örnek sayısıdır.

Liste duruma, otomatik olarak imzalanan veya olmayan, anahtar boyutuna, imza karması ve anahtar kullanımına göre filtrelenebilir.

Açılır öğede daha fazla bilgi görüntülemek için bir sertifika seçin.

Bulunan güvenlik açıkları sekmesi

Bu sekmede, cihazı etkileyebilecek tüm Yaygın Güvenlik Açıkları ve Açıklardan Yararlanmalar (CVEs) listelenir.

Varsayılan görünümde CVE'nin önem derecesi, Ortak Güvenlik Açığı Puanı (CVSS), CVE ile ilgili yazılım, CVE yayımlandığında, CVE ilk algılandığında ve son güncelleştirildiğinde ve CVE ile ilişkili tehditler listelenir.

Önceki sekmelerde olduğu gibi, görüntülenecek sütunların seçimi özelleştirilebilir. Liste önem derecesine, tehdit durumuna, cihazın açığa alınmasına ve etiketlere göre filtrelenebilir.

Bu listeden bir öğe seçildiğinde CVE'yi açıklayan bir açılır liste açılır.

Microsoft Defender portalında cihaz profili için Bulunan güvenlik açıkları sekmesinin ekran görüntüsü

Eksik KB sekmesi

Eksik KB'ler sekmesi, cihaza henüz uygulanmamış microsoft Güncelleştirmeler listeler. Söz konusu "KB", bu güncelleştirmeleri açıklayan Bilgi Bankası makaleleridir; örneğin , KB4551762.

Varsayılan görünümde güncelleştirmeleri, işletim sistemi sürümünü, KB kimlik numarasını, etkilenen ürünleri, ele alınan CV'leri ve etiketleri içeren bülten listelenir.

Görüntülenecek sütun seçimi özelleştirilebilir.

Öğe seçildiğinde, güncelleştirmeye bağlanan bir açılır öğe açılır.

olayları Sentinel sekmesi

Kuruluşunuz Defender portalına Microsoft Sentinel eklendiyse, bu ek sekme cihaz varlığı sayfasındadır. Bu sekme konak varlık sayfasını Microsoft Sentinel içeri aktarır ve aşağıdaki bölümleri görüntüler:

Sentinel zaman çizelgesi

Bu zaman çizelgesinde, Microsoft Sentinel'de konak varlığı olarak bilinen cihaz varlığıyla ilişkilendirilmiş dört tür ileti gösterilir ve bunlar cihazın Microsoft Sentinel varlık sayfasında bulunabilir. Dört ileti türü şunlardır:

  • Azure hizmetlerinden ve Microsoft dışı veri kaynaklarından Microsoft Sentinel analiz kurallarıtarafından oluşturulan uyarılar.

    Bu uyarılar ana Olaylar ve uyarılar sekmesinde de görüntülenir, böylece diğer Microsoft Defender hizmetleri tarafından oluşturulan uyarılarla birlikte tek bir bağlamda görüntülenebilir.

  • Bu cihaz varlığına başvuran diğer Microsoft Sentinel araştırmalardan av yer işaretleri.

  • Anomaliler, yani Microsoft Sentinel anomali kuralları tarafından algılanan olağan dışı davranışlar.

  • Azure hizmetlerinden ve Microsoft dışı veri kaynaklarından toplanan cihaz etkinlikleri. Etkinlikler, Microsoft güvenlik araştırma ekipleri tarafından geliştirilen sorgular tarafından toplanan önemli olayların toplamalarıdır. Kendi özel etkinliklerinizi de ekleyebilirsiniz.

    Ocak 2025 itibarıyla:

    • Cihaz etkinlikleri, endüstri lideri ağ cihaz günlüklerinden toplanan verilere bağlı olarak belirli bir cihazdan kaynaklanan bırakılan, engellenen veya reddedilen ağ trafiğini içerir. Bu günlükler, güvenlik ekiplerinize olası tehditleri hızla belirlemek ve ele almak için kritik bilgiler sağlar.

    • Cihaz etkinlikleri artık diğer Defender portalı kaynaklarından gelen cihaz olaylarıyla birlikte birleşik cihaz zaman çizelgesinde görüntülenir. Daha fazla bilgi için bkz. Birleşik zaman çizelgesi (Önizleme).

Bilgi Edinme

Varlık içgörüleri, Daha verimli ve etkili bir şekilde araştırmanıza yardımcı olmak için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır. Bu içgörüler, tablosal veriler ve grafikler biçiminde değerli güvenlik bilgileri sağlayarak cihaz varlığınızla ilgili büyük soruları otomatik olarak sorar. İçgörüler oturum açma işlemleri, grup eklemeleri, işlem yürütmeleri, anormal olaylar ve daha fazlası ile ilgili verileri içerir ve anormal davranışları algılamak için gelişmiş makine öğrenmesi algoritmaları içerir.

Aşağıda gösterilen içgörülerden bazıları yer alır:

  • Konakta alınan ekran görüntüsü.
  • Microsoft tarafından imzalanmamış işlemler algılandı.
  • Windows işlem yürütme bilgileri.
  • Windows oturum açma etkinliği.
  • Hesaplardaki eylemler.
  • Konakta olay günlükleri temizlendi.
  • Grup eklemeleri.
  • Konakların, kullanıcıların, konak üzerindeki grupların sabit listesi.
  • Uygulama Denetimi'ne Microsoft Defender.
  • Entropi hesaplaması ile seyrini işleme.
  • Anormal derecede yüksek sayıda güvenlik olayı.
  • İzleme listesi içgörüleri (Önizleme).
  • Windows Defender Virüsten Koruma olayları.

İçgörüler aşağıdaki veri kaynaklarını temel alır:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (UEBA Microsoft Sentinel)
  • Sinyal (Azure İzleyici Aracısı)
  • CommonSecurityLog (Microsoft Sentinel)

Kullanıcı varlığı sayfasındaki Sentinel olayları sekmesinin ekran görüntüsü.

Bu paneldeki içgörülerden herhangi birini daha fazla keşfetmek istiyorsanız içgörüye eşlik eden bağlantıyı seçin. Bağlantı sizi Gelişmiş tehdit avcılığı sayfasına götürür ve burada içgörüye bağlı sorguyu ve ham sonuçlarını görüntüler. Araştırmanızı genişletmek veya merakınızı gidermek için sorguyu değiştirebilir veya sonuçlarda detaya gidebilirsiniz.

İçgörü sorgusuyla Gelişmiş tehdit avcılığı ekranının ekran görüntüsü.

Yanıt eylemleri

Yanıt eylemleri tehditleri analiz etmek, araştırmak ve tehditlere karşı savunmak için kısayollar sunar.

Microsoft Defender portalındaki cihaz varlığı sayfasının Eylem çubuğunun ekran görüntüsü.

Önemli

  • Yanıt eylemleri yalnızca cihaz Uç Nokta için Microsoft Defender kayıtlıysa kullanılabilir.
  • Uç Nokta için Microsoft Defender kaydedilen cihazlar, cihazın işletim sistemi ve sürüm numarasına göre farklı sayıda yanıt eylemi görüntüleyebilir.

Yanıt eylemleri belirli bir cihaz sayfasının üst kısmında çalışır ve şunları içerir:

Eylem Açıklama
Cihaz değeri
Kritikliği ayarlama
Etiketleri yönetin Bu cihaza uyguladığınız özel etiketleri Güncelleştirmeler.
Cihaz yanlışlığını bildirme
Virüsten Koruma Taraması Çalıştırma Virüsten koruma tanımlarını Güncelleştirmeler Microsoft Defender ve hemen bir virüsten koruma taraması çalıştırır. Hızlı tarama veya Tam tarama arasında seçim yapın.
Araştırma Paketini Topla Cihaz hakkında bilgi toplar. Araştırma tamamlandığında indirebilirsiniz.
Uygulama yürütmeyi kısıtlayın Microsoft tarafından imzalanmayan uygulamaların çalışmasını engeller.
Otomatik araştırma başlatma Tehditleri otomatik olarak araştırır ve düzelter. Otomatik araştırmaların bu sayfadan çalıştırılmasını el ile tetikleyebilmenize rağmen, bazı uyarı ilkeleri otomatik araştırmaları kendi başlarına tetikler.
Canlı Yanıt Oturumu Başlat Ayrıntılı güvenlik araştırmaları için cihaza bir uzak kabuk yükler.
Cihazı yalıtma Cihazı kuruluşunuzun ağından yalıtırken Microsoft Defender bağlı tutar. İletişim amacıyla cihaz yalıtılmış durumdayken Outlook, Teams ve Skype Kurumsal çalışmasına izin vermeyi seçebilirsiniz.
Defender Uzmanları’na Sorun
İşlem Merkezi Çalışmakta olan tüm yanıt eylemleriyle ilgili bilgileri görüntüler. Yalnızca başka bir eylem seçilmişse kullanılabilir.
Yalıtım betiğinden zorla yayın indirme
Dışlamak
Git avla
Sorun giderme modunu açma
İlke eşitleme

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.