Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kimlik için Defender algılayıcısı v3.x'i desteklenen etki alanı denetleyicilerine dağıtın. Etkinleştirmeden önce önkoşul denetimlerini tamamlayın, ardından denetim ve kimlik ayarlarını yapılandırın.
Etkinleştirmeden önce
Algılayıcıyı etkinleştirmeden önce bu denetimleri tamamlayın.
Algılayıcı sürümü sınırlamaları
Kimlik için Defender algılayıcısı v3.x'i etkinleştirmeden önce v3.x'in:
- VPN tümleştirmeyi desteklemez.
- Syslog bildirimlerini desteklemez.
- Azure ExpressRoute ile çalışma sınırlamaları vardır. Daha fazla bilgi için bkz. Microsoft 365 için ExpressRoute'u Azure.
- Windows Server 2025 çalıştıran etki alanı denetleyicilerinin algılayıcı v2.x'ten v3.x algılayıcısına geçişini desteklemez. Daha fazla bilgi için Bilinen sınırlamalar. .
Sunucu gereksinimleri
Algılayıcıyı etkinleştirdiğiniz sunucunun emin olun:
- Sunucuda Uç Nokta için Defender dağıtıldı. Microsoft Defender Virüsten Koruma bileşeni etkin veya pasif modda olabilir. Uç Nokta için Defender algılayıcının çalıştığı sunucuda eklenmelidir; yalnızca uç nokta dağıtımı yeterli değildir.
- Kimlik için Defender algılayıcısı v2.x zaten dağıtılmış değildir.
- Windows Server 2019 veya üzerini çalıştırıyor.
- Mart 2026 veya üzeri toplu güncelleştirmeyi içerir.
Desteklenen sunucu türleri
v3.x algılayıcısı, şu kimlik rollerine sahip etki alanı denetleyicileri de dahil olmak üzere etki alanı denetleyicilerini destekler:
- Active Directory Federasyon Hizmetleri (AD FS) (AD FS)
- Active Directory Sertifika Hizmetleri (AD CS)
- Microsoft Entra Connect
Etki alanı denetleyicisi olmayan ve AD FS, AD CS veya Microsoft Entra Connect çalıştıran sunucular için Kimlik için Defender algılayıcısı v2.x'i kullanın.
Lisans gereksinimleri
Kimlik için Defender'ın dağıtılması için aşağıdaki Microsoft 365 lisanslarından biri gerekir:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Güvenlik
- Microsoft 365 F5 Güvenlik + Uyumluluk*
Her iki F5 lisansı da Microsoft 365 F1/F3 veya Office 365 F3 ve Enterprise Mobility + Security E3 gerektirir. Microsoft 365 portalında veya Bulut Çözümü İş Ortağı (CSP) lisanslama aracılığıyla lisans satın alın. Daha fazla bilgi için bkz . Lisanslama ve gizlilik hakkında SSS.
Roller ve İzinler
Kimlik için Defender çalışma alanınızı oluşturmak için bir Microsoft Entra ID kiracınız olmalıdır.
Güvenlik Yöneticisi olmanız veya aşağıdaki Birleşik RBAC izinlerine sahip olmanız gerekir:
System settings (Read and manage)Security settings (All permissions)
Ağ gereksinimleri
Kimlik için Defender algılayıcısı, Uç Nokta için Microsoft Defender ile aynı URI'leri kullanır. Gerekli hizmet uç noktalarının tam listesini bulmak için sisteminizin bağlantısına bağlı olarak Uç Nokta için Defender için aşağıdaki belgeleri gözden geçirin.
kolaylaştırılmış bağlantı URL'lerini Uç Nokta için Microsoft Defender
standart bağlantı URL'lerini Uç Nokta için Microsoft Defender
Bellek gereksinimleri
Aşağıdaki tabloda, kullandığınız sanallaştırma türüne bağlı olarak Kimlik için Defender algılayıcısı için kullanılan sunucudaki bellek gereksinimleri açıklanmaktadır:
| Vm üzerinde çalışıyor | Açıklama |
|---|---|
| Hyper-V | Vm için Dinamik Belleği Etkinleştir'in etkinleştirilmediğinden emin olun. |
| Vmware | Yapılandırılan bellek miktarının ve ayrılmış belleğin aynı olduğundan emin olun veya VM ayarlarında Tüm konuk belleğini ayır (Tümü kilitli) seçeneğini belirleyin. |
| Diğer sanallaştırma konağı | Belleğin her zaman VM'lere tamamen ayrıldığından emin olmak için satıcı tarafından sağlanan belgelere bakın. |
Önemli
Sanal makine olarak çalışırken her zaman tüm belleği sanal makineye ayırın.
Algılayıcının 3. sürümü, CPU kullanımını %30 ve bellek kullanımını 1,5 GB ile sınırlayarak algılayıcının CPU veya belleği fazla kullanmasını önler. Ancak, başka bir hizmet önemli sistem kaynakları kullanıyorsa, etki alanı denetleyicisi yine de performans baskısı yaşayabilir.
Etki alanı denetleyicisi sunucularınızın Kimlik için Microsoft Defender algılayıcısı için yeterli kaynağa sahip olup olmadığını belirlemek için Kimlik için Defender Kapasite Planlaması belgelerine bakın.
Hizmet hesabı gereksinimleri
v3.x algılayıcısı, Active Directory ve yanıt eylemleri için sunucunun yerel sistem kimliğini kullanır. Dizin Hizmeti Hesaplarını (DSA) veya grup Tarafından Yönetilen Hizmet Hesaplarını (gMSA) desteklemez. LocalSystem, v3.x için desteklenen tek kimliktir.
v2.x algılayıcısından geçiş gerçekleştiriyorsanız ve daha önce eylem hesapları için yapılandırılmış bir gMSA'nız varsa, bunu kaldırmanız gerekir. gMSA etkin kalırsa , saldırı kesintisi de dahil olmak üzere yanıt eylemleri çalışmaz.
Önemli
Hem v2 hem de v3 algılayıcıları kullanan ortamlarda, tüm algılayıcılarınız için yerel sistem hesaplarını kullanın.
Önkoşullarınızı test edin
Ortamınızın gerekli önkoşullara sahip olup olmadığını test etmek için Test-MdiReadiness.ps1 betiğini çalıştırın.
Test-MdiReadiness.ps1 betiği, kimlik > araçları sayfasında (Önizleme) Microsoft Defender XDR da kullanılabilir.
Algılayıcıyı etkinleştirme
Tüm önkoşulları onayladıktan sonra algılayıcıyı Microsoft Defender portalından etkinleştirin.
Etkinleştirdikten sonra
Algılayıcı etkinleştirilip çalıştırıldıktan sonra bu yapılandırma adımlarını tamamlayın.
Windows olay denetimini yapılandırma
Kimlik için Defender, birçok algılama için Windows olay günlüklerine dayanır. Etki alanı denetleyicilerindeki v3.x algılayıcıları için, tüm denetim ayarlarını el ile yapılandırma olmadan işleyen otomatik denetimi etkinleştirin.
Otomatik denetim kullanılamıyorsa veya geri çevirdiyseniz, denetimi el ile yapılandırın veya PowerShell'i kullanın.
RPC denetimini yapılandırma
Rpc denetim etiketlerinin bir cihaza uygulanması, güvenlik görünürlüğünü artırır ve daha fazla kimlik algılaması sağlar. Uygulandıktan sonra yapılandırma, kural ölçütlerine uyan mevcut ve gelecekteki tüm cihazlarda uygulanır. Etiketler, saydamlık ve denetim özellikleri için Cihaz Envanteri'nde görünür.
Aşağıdaki etiketler kullanılabilir:
- Birleşik Algılayıcı RPC Denetimi: Gelişmiş kimlik algılamaları için gelişmiş RPC denetimini etkinleştirir.
- Genişletilmiş Algılayıcı Denetimi (Önizleme): Ek gelişmiş kimlik algılamaları için genişletilmiş RPC denetim özelliklerini etkinleştirir. En son toplu güncelleştirmeyi gerektirir.
Etiket uygulamak için:
Microsoft Defender portalında şu sayfaya gidin: Sistem > Ayarları > Microsoft Defender XDR > Varlık Kuralı Yönetimi.
Yeni kural oluştur'u seçin.
Yan panelde:
- Kural adı ve Açıklama girin.
- İstenen makineleri hedeflemek için ,
DomainveyaDevice tagkullanarakDevice namekural koşullarını ayarlayın. v3.x algılayıcısının yüklü olduğu hedef etki alanı denetleyicileri. - Kimlik için Defender algılayıcısı v3.x'in seçili cihazlara zaten dağıtıldığından emin olun.
Seçili cihazlara istenen etiketi (Birleşik Algılayıcı RPC Denetimi veya Genişletilmiş Algılayıcı Denetimi) ekleyin.
Kuralı gözden geçirmek ve oluşturmayı tamamlamak için İleri'yi ve ardından Gönder'i seçin. Kuralın geçerli olması bir saat kadar sürebilir.
Varlık yönetimi kuralları hakkında daha fazla bilgi edinin.
Önerilen ayarlar
- Kimlik için Defender algılayıcısını çalıştıran makinenin Güç SeçeneğiniYüksek Performans olarak ayarlayın.
- Algılayıcıyı beş dakika içinde yüklediğiniz sunucularda ve etki alanı denetleyicilerinde saati eşitleyin.