Etki alanı denetleyicilerinde algılayıcı dağıtımlarını doğrulama

Algılayıcılarınızın çalışıp çalışmadığını denetlemek için aşağıdaki yordamları kullanın.

Not

Etki alanı denetleyicinizde algılayıcıyı ilk kez etkinleştirdiğinizde algılayıcının Algılayıcılar sayfasında Çalışıyor olarak görünmesi bir saat kadar sürebilir. Sonraki etkinleştirmeler beş dakika içinde gösterilir.

Kimlik Güvenliği panosunu denetleme

  1. Defender portalında Kimlikler>Panosu'nu seçin ve gösterilen ayrıntıları gözden geçirin. Ortamınızdan beklenen sonuçları denetleyin. Daha fazla bilgi için bkz. Kimlik Güvenliği panosu.

Defender portalında varlık verilerini onaylama

  1. Defender portalında Varlık > Cihazları'nı seçin ve yeni algılayıcınız için makineyi seçin. Cihaz zaman çizelgesinde Kimlik için Defender olaylarının göründüğünü onaylayın.

  2. Varlıklar > Kullanıcılar'ı seçin ve yeni eklenen etki alanından kullanıcıları denetleyin. Belirli kullanıcıları bulmak için genel arama de kullanabilirsiniz. Kullanıcı ayrıntıları sayfalarının Genel Bakış, Kuruluşta gözlemlenenler ve Zaman Çizelgesi verilerini içerdiğini onaylayın.

  3. Bir kullanıcı grubunu bulmak için genel arama kullanın veya grup ayrıntılarının gösterildiği bir kullanıcı veya cihaz ayrıntıları sayfasında özet yapın. Grup üyeliği ayrıntılarını, grup kullanıcılarını ve grup zaman çizelgesi verilerini onaylayın.

    Grup zaman çizelgesinde hiçbir olay verisi bulunmazsa, el ile oluşturmanız gerekebilir. Örneğin, Active Directory'de kullanıcıları gruba ekleyin ve gruptan kaldırın.

Daha fazla bilgi için bkz . Varlıkları araştırma.

Gelişmiş tehdit avcılığı tablolarındaki verileri doğrulama

  1. Defender portalının Gelişmiş tehdit avcılığı sayfasında, verilerin beklenen tablolarda göründüğünü doğrulamak için aşağıdaki sorguları çalıştırın:

    IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Daha fazla bilgi için bkz. Microsoft Defender portalında gelişmiş avcılık.

Kimlik Güvenliği Duruş Yönetimi (ISPM) önerilerini test edin

Desteklenen değerlendirmeleri tetikleyip beklendiği gibi göründüklerini doğrulamak için bir test ortamında riskli davranış simülasyonu oluşturmanızı öneririz. Örneğin:

  1. Active Directory yapılandırmanızı uyumsuz bir duruma ayarlayarak ve ardından uyumlu bir duruma döndürerek yeni güvenli olmayan etki alanı yapılandırmalarını çözümle önerisini tetikleyin. Örneğin, aşağıdaki komutları çalıştırın:

    Uyumlu olmayan bir durum ayarlamak için

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}

    Bunu uyumlu bir duruma döndürmek için:

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}

    Yerel yapılandırmanızı denetlemek için:

    Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

  2. Microsoft Güvenli Puan bölümünde Önerilen Eylemler'i seçerek güvenli olmayan etki alanı yapılandırmalarını çöz önerisini denetleyin. Önerileri Kimlik için Defender ürününe göre filtrelemek isteyebilirsiniz.

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender güvenlik duruşu değerlendirmeleri

Uyarı işlevselliğini test edin

Uyarıların beklendiği gibi tetiklendiğini doğrulamak için test ortamında riskli etkinliğin benzetimini yapın. Örneğin:

  1. Bir hesabı honeytoken hesabı olarak etiketleyin ve etkinleştirilmiş etki alanı denetleyicisinde honeytoken hesabında oturum açmayı deneyin.

  2. Etki alanı denetleyicinizde şüpheli bir hizmet oluşturun.

  3. İş istasyonunuzdan oturum açmış bir yönetici olarak etki alanı denetleyicinizde bir uzak komut çalıştırın.

  4. Beklenen uyarıların Defender portalında göründüğünü doğrulayın.

Daha fazla bilgi için bkz. Microsoft Defender XDR'da Kimlik için Defender güvenlik uyarılarını araştırma.

Düzeltme eylemlerini test etme

Test kullanıcısı üzerinde düzeltme eylemlerini test etme. Örneğin:

  1. Defender portalında, test kullanıcısının kullanıcı ayrıntıları sayfasına gidin.

  2. Seçenekler menüsünden kullanılabilir düzeltme eylemlerinden herhangi birini seçin.

  3. Beklenen etkinlik için Active Directory'yi denetleyin.

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender düzeltme eylemleri.

Sonraki adımlar

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender algılayıcılarını yönetme ve güncelleştirme.

  • Last updated on