virüsten koruma ve Intune tümleştirme Uç Nokta için Microsoft Defender

Önkoşullar

Desteklenen işletim sistemleri

• Windows
• macOS
• Android

Microsoft Defender portalında aşağıdaki adımları kullanarak tehdit algılamalarını görüntüleyebilir ve yönetebilirsiniz:

1. adresinden Microsoft Defender portalını https://security.microsoft.com ziyaret edin ve oturum açın.

   Giriş sayfasında, aşağıdaki bilgileri içeren Etkin kötü amaçlı yazılım içeren cihazlar kartını görürsünüz:

   • Görüntüleme metni: yönetilen Intune cihazlar için geçerlidir. Birden çok kötü amaçlı yazılım algılaması olan cihazlar birden çok kez sayılabilir.
   • Son güncelleştirme tarihi ve saati.
   • Etkin ve Kötü Amaçlı Yazılım bölümlerinin taramanıza göre düzeltilmiş olduğu bir çubuk.

   Daha fazla bilgi için Ayrıntıları Görüntüle'yi seçebilirsiniz.

2. Düzeltildikten sonra aşağıdaki metnin görüntülendiğini görürsünüz:

   Cihazlarınızda bulunan kötü amaçlı yazılımlar başarıyla düzeltildi.

Microsoft Intune tehdit algılamalarını yönetme

Aşağıdaki adımları kullanarak Microsoft Intune kayıtlı tüm cihazlar için tehdit algılamalarını yönetebilirsiniz:

1. intune.microsoft.com Microsoft Intune yönetim merkezine gidin ve oturum açın.

2. Gezinti bölmesinde Uç nokta güvenliği'ni seçin.

3. Yönet'in altında Virüsten Koruma'yı seçin. Özet, İyi durumda olmayan uç noktalar ve Etkin kötü amaçlı yazılım sekmelerini görürsünüz.

4. Kullanılabilir sekmelerdeki bilgileri gözden geçirin ve ardından gerekli işlemleri yapın.

   Örneğin, Etkin kötü amaçlı yazılım sekmesinde listelenen bir cihazı seçebildiğiniz zaman, sağlanan eylemler listesinden bir eylem seçebilirsiniz:

   • Yeniden başlatma
   • Hızlı Tarama
   • Tam Tarama
   • Eşitleme
   • İmzaları güncelleştirme

SSS

Microsoft Defender portalında > Etkin kötü amaçlı yazılım içeren cihazlar Kötü amaçlı yazılım > algılamalı cihazlar raporunda, Son güncelleştirme neden bugün gerçekleşiyor gibi görünüyor?

Kötü amaçlı yazılımın ne zaman algılandığını görmek için aşağıdaki adımları uygulayabilirsiniz:

1. Bu Intune ile tümleştirme olduğundan, Intune portalını ziyaret edin ve Virüsten Koruma'yı ve ardından Etkin kötü amaçlı yazılım sekmesini seçin.

2. Dışarı Aktar'ı seçin.

3. Cihazınızda İndirmeler'e gidin ve dosyayı ayıklayın Active malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip .

4. CSV dosyasını açın ve kötü amaçlı yazılımların ne zaman algılandığını görmek için LastStateChangeDateTime sütununu bulun.

Kötü amaçlı yazılım algılamaları olan cihazlarda, cihazda hangi kötü amaçlı yazılımların algılandığı hakkında neden herhangi bir bilgi göremiyorum.

Kötü amaçlı yazılım adını görmek için Intune ile tümleştirme olduğundan Intune portalını ziyaret edin, Virüsten Koruma'yı seçin ve Etkin kötü amaçlı yazılım sekmesi'ni seçip Kötü amaçlı yazılım adı adlı bir sütun görürsünüz.

Etkin kötü amaçlı yazılım raporu olan cihazlarda, Raporlar > Algılanan kötü amaçlı yazılım ve virüsten koruma > etkin kötü amaçlı yazılım Intune > kullanarak gördüğüm sayılarla karşılaştırıldığında, etkin kötü amaçlı yazılım için farklı bir sayı görüyorum.

Etkin kötü amaçlı yazılım içeren cihazlar raporu, son 1 gün içinde (24 saat) etkin olan ve son 15 gün içinde kötü amaçlı yazılım algılamaları olan cihazları temel alır.

Aşağıdaki Gelişmiş Tehdit Avcılığı sorgusunu kullanın:

DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus")
on DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp

Üst arama çubuğunda bilgisayar adını aradım ve aynı ada sahip iki cihaz aldım. Raporun bu iki cihazdan hangisine başvuracaklarını bilmiyorum.

Benzersiz DeviceID, Title, AlertID ve düzeltme işlemi gibi ayrıntılar için burada bahsedilen Gelişmiş Tehdit Avcılığı sorgusunu kullanın. Tanımladıktan sonra, cihazların benzersiz olarak adlandırıldığından emin olmak için BT yöneticinizle birlikte çalışın. Bir cihaz kullanımdan kaldırıldıysa, kullanımdan kaldırılacak etiketleri kullanın.

Intune ve Etkin kötü amaçlı yazılım içeren cihazlar raporunda kötü amaçlı yazılım algılamasını görüyorum, ancak bunu MDE Uyarılar kuyruğunda veya Olaylar kuyruğunda görmüyorum.

URL'nin Bulut Koruması'na şu anda güvenlik duvarınız veya ara sunucunuz üzerinden izin verilmiyor olabilir.

Cihazınızda çalıştırdığınızda %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection raporlamanın Tamam olduğundan emin olmanız gerekir.

180 günden daha uzun süredir etkin olmayan ancak 'Etkin kötü amaçlı yazılım içeren cihazlar' için raporda görünmeye devam eden bir cihaz görüyorum. Cihaz "Cihaz envanterinde" gösterilmez, açılamaz ve Uç Nokta için Microsoft Defender kapatılamaz.

Cihaz Intune kullanımdan kaldırılmamıştır.

İlgili makaleler

• Uç Nokta için Microsoft Defender'deki uyarılar
• Microsoft Defender XDR'da uyarılar kuyruğu