Microsoft Defender'da cihaz varlığı sayfası
Microsoft Defender portalındaki cihaz varlığı sayfası, cihaz varlıkları araştırmanızda size yardımcı olur. Sayfa, belirli bir cihaz varlığıyla ilgili tüm önemli bilgileri içerir. Bir uyarı veya olay bir cihazın şüpheli davrandığını veya tehlikede olabileceğini gösteriyorsa, uyarı veya olayla ilgili olabilecek diğer davranışları veya olayları belirlemek için cihazın ayrıntılarını araştırın ve ihlalin olası kapsamını keşfedin. Ayrıca bazı yaygın güvenlik görevlerini gerçekleştirmek ve güvenlik tehditlerini azaltmak veya düzeltmek için bazı yanıt eylemleri gerçekleştirmek için cihaz varlık sayfasını da kullanabilirsiniz.
Önemli
Cihaz varlığı sayfasında görüntülenen içerik kümesi, cihazın Uç Nokta için Microsoft Defender ve Kimlik için Microsoft Defender'daki kaydına bağlı olarak biraz farklılık gösterebilir.
Kuruluşunuz Microsoft Sentinel'i Defender portalına eklerse ek bilgiler görüntülenir.
Microsoft Sentinel'de cihaz varlıkları ana bilgisayar varlıkları olarak da bilinir. Daha fazla bilgi edinin.
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunulmuştur. Daha fazla bilgi için Bkz. Microsoft Defender portalında Microsoft Sentinel.
Cihaz varlıkları aşağıdaki alanlarda bulunabilir:
- Cihazlar listesi, Varlıklar altında
- Uyarı sırası
- Her bir uyarı/olay
- Tek bir kullanıcı varlığı sayfası
- Tek tek dosya ayrıntıları görünümü
- Herhangi bir IP adresi veya etki alanı ayrıntıları görünümü
- Etkinlik günlüğü
- Gelişmiş tehdit avcılığı sorguları
- İşlem merkezi
Cihaz hakkında daha fazla ayrıntı görüntüleyen cihazın varlık sayfasını açmak için cihazları portalda her gördüğünüzde seçebilirsiniz. Örneğin, Microsoft Defender portalında bir olayın uyarılarında listelenen cihazların ayrıntılarını Olaylar & uyarılar > Olay Olay>> Varlıkları > Cihazları bölümünde görebilirsiniz.
Cihaz varlığı sayfası bilgilerini sekmeli biçimde sunar. Bu makalede, her sekmede kullanılabilen bilgi türleri ve belirli bir cihazda gerçekleştirebileceğiniz eylemler ele alınmaktadır.
Cihaz varlığı sayfasında aşağıdaki sekmeler görüntülenir:
- Genel Bakış
- Olaylar ve uyarılar
- Zaman çizelgesi
- Güvenlik önerileri
- Envanterleri
- Bulunan güvenlik açıkları
- Eksik KB'ler
- Güvenlik temelleri
- Güvenlik ilkeleri
- Sentinel olayları
Varlık sayfası üst bilgisi
Varlık sayfasının en üstteki bölümü aşağıdaki ayrıntıları içerir:
- Varlık adı
- Risk önem derecesi, kritiklik ve cihaz değeri göstergeleri
- Cihazın sınıflandırılabileceği etiketler. Uç Nokta için Defender, Kimlik için Defender veya kullanıcılar tarafından eklenebilir. Kimlik için Microsoft Defender etiketleri düzenlenemez.
- Yanıt eylemleri de burada bulunur. Bunlar hakkında daha fazla bilgiyi aşağıda bulabilirsiniz.
Genel Bakış sekmesi
Varsayılan sekme Genel Bakış'tır. Cihazla ilgili en önemli güvenlik bilgilerine hızlı bir bakış sağlar. Genel Bakış sekmesi, cihaz ayrıntıları kenar çubuğunu ve bazı kartların üst düzey bilgileri görüntülendiği bir pano içerir.
Cihaz ayrıntıları
Kenar çubuğunda cihazın tam adı ve pozlama düzeyi listelenir. Ayrıca küçük alt bölümlerde genişletilebilir veya daraltılabilir bazı önemli temel bilgiler sağlar, örneğin:
Bölüm | Dahil edilen bilgiler |
---|---|
VM ayrıntıları | Makine ve etki alanı adları ve kimlikleri, sistem durumu ve ekleme durumları, ilk ve son görülenler için zaman damgaları, IP adresleri ve daha fazlası |
DLP ilkesi eşitleme ayrıntıları | Uygunsa |
Yapılandırma durumu | Uç Nokta için Microsoft Defender yapılandırmasıyla ilgili ayrıntılar |
Bulut kaynağı ayrıntıları | Bulut platformu, kaynak kimliği, abonelik bilgileri ve daha fazlası |
Donanım ve üretici yazılımı | VM, işlemci ve BIOS bilgileri ve daha fazlası |
Cihaz yönetimi | Uç Nokta için Microsoft Defender kayıt durumu ve yönetim bilgileri |
Dizin verileri | UAC bayrakları, SPN'ler ve grup üyelikleri. |
Pano
Genel Bakış sekmesinin ana bölümünde pano türündeki çeşitli ekran kartları gösterilir:
- Son altı ay içinde cihazı kapsayan etkin uyarılar ve risk düzeyi önem derecesine göre gruplandırılır
- Cihazın güvenlik değerlendirmeleri ve maruz kalma düzeyi
- Son 30 gün içinde cihazda oturum açan kullanıcılar
- Cihaz sistem durumu ve cihazın en son taramalarıyla ilgili diğer bilgiler.
İpucu
Maruz kalma düzeyi, cihazın güvenlik önerilerine ne kadar uyduğuyla ilgilidir, risk düzeyi ise etkin uyarıların türleri ve önem derecesi de dahil olmak üzere bir dizi faktöre göre hesaplanır.
Olaylar ve uyarılar sekmesi
Olaylar ve uyarılar sekmesi, ekleniyorsa Microsoft Sentinel dahil olmak üzere çeşitli Microsoft Defender algılama kaynaklarından cihazda tetiklenen uyarıları içeren olayların listesini içerir. Bu liste , olay kuyruğunun filtrelenmiş bir sürümüdür ve olay veya uyarının kısa bir açıklamasını, önem derecesini (yüksek, orta, düşük, bilgilendirici), kuyruktaki durumunu (yeni, devam ediyor, çözüldü), sınıflandırmasını (ayarlanmamış, yanlış uyarı, doğru uyarı), araştırma durumunu, kategoriyi, bu durumu ele almak için atananları ve gözlemlenen son etkinliği gösterir.
Her öğe için hangi sütunların görüntüleneceğini özelleştirebilirsiniz. Uyarıları önem derecesine, durumuna veya görüntüdeki diğer herhangi bir sütuna göre de filtreleyebilirsiniz.
Etkilenen varlıklar sütunu, olay veya uyarıda başvuruda bulunan tüm cihaz ve kullanıcı varlıklarını ifade eder.
Bir olay veya uyarı seçildiğinde bir açılır öğe görüntülenir. Bu panelden olayı veya uyarıyı yönetebilir ve olay/uyarı numarası ve ilgili cihazlar gibi diğer ayrıntıları görüntüleyebilirsiniz. Aynı anda birden çok uyarı seçilebilir.
Bir olayın veya uyarının tam sayfa görünümünü görmek için başlığını seçin.
Zaman Çizelgesi sekmesi
Zaman Çizelgesi sekmesinde, cihazda gözlemlenen tüm olayların kronolojik görünümü görüntülenir. Bu, cihazla ilgili olarak tüm olayları, dosyaları ve IP adreslerini ilişkilendirmenize yardımcı olabilir.
Listede görüntülenen sütunların seçimi de özelleştirilebilir. Varsayılan sütunlar olay zamanını, etkin kullanıcıyı, eylem türünü, ilişkili varlıkları (işlemler, dosyalar, IP adresleri) ve olay hakkında ek bilgileri listeler.
Zaman aralığının kenarlıklarını sayfanın en üstündeki genel zaman çizelgesi grafiği boyunca kaydırarak olayların görüntüleneceği zaman aralığını yönetebilirsiniz. Listenin en üstündeki açılan listeden bir zaman aralığı da seçebilirsiniz (varsayılan değer 30 gündür). Görünümünüzü daha fazla denetlemek için olay gruplarına göre filtreleyebilir veya sütunları özelleştirebilirsiniz.
İndirme için yedi güne kadar olan olayları csv dosyasına aktarabilirsiniz.
Seçip olay seçerek ve açılan panelde ayrıntılarını görüntüleyerek tek tek olayların ayrıntılarını detaya gidin. Aşağıdaki Olay ayrıntılarına bakın.
Not
Güvenlik duvarı olaylarının görüntülenmesi için denetim ilkesini etkinleştirmeniz gerekir. Bkz. Denetim Filtreleme Platformu bağlantısı.
Güvenlik duvarı aşağıdaki olayları kapsar:
Olay ayrıntıları
Bu olayla ilgili ayrıntıları görüntülemek için bir olay seçin. Etkinlik hakkında çok daha fazla bilgi göstermek için bir açılır panel görüntülenir. Görüntülenen bilgi türleri olayın türüne bağlıdır. Uygun olduğunda ve veriler kullanılabilir olduğunda, dosya veya işlem zinciri gibi ilgili varlıkları ve bunların ilişkilerini gösteren bir grafik görebilirsiniz. MiTRE ATT&CK taktiklerinin ve olay için geçerli tekniklerin özet açıklamasını da görebilirsiniz.
Olayı ve ilgili olayları daha fazla incelemek için, ilgili olayları avla'yı seçerek hızlı bir şekilde gelişmiş bir avcılık sorgusu çalıştırabilirsiniz. Sorgu, seçilen olayı ve aynı uç noktada aynı anda gerçekleşen diğer olayların listesini döndürür.
Güvenlik önerileri sekmesi
Güvenlik önerileri sekmesi, cihazı korumak için gerçekleştirebileceğiniz eylemleri listeler. Bu listeden bir öğe seçildiğinde, önerinin nasıl uygulanacağı hakkında yönergeler alabileceğiniz bir açılır liste açılır.
Önceki sekmelerde olduğu gibi, görüntülenen sütunların seçimi özelleştirilebilir.
Varsayılan görünüm, ele alınan güvenlik zayıflıklarını, ilişkili tehdidi, tehditten etkilenen ilgili bileşeni veya yazılımları ve daha fazlasını ayrıntılı olarak gösteren sütunları içerir. Öğeler önerinin durumuna göre filtrelenebilir.
Güvenlik önerileri hakkında daha fazla bilgi edinin.
Envanterler sekmesi
Bu sekmede dört tür bileşenin envanteri görüntülenir: Yazılım, güvenlik açığı bulunan bileşenler, tarayıcı uzantıları ve sertifikalar.
Yazılım envanteri
Bu kart, cihazda yüklü yazılımları listeler.
Varsayılan görünümde yazılım satıcısı, yüklü sürüm numarası, bilinen yazılım zayıflıklarının sayısı, tehdit içgörüleri, ürün kodu ve etiketler görüntülenir. Görüntülenen öğe sayısı ve hangi sütunların görüntülendiği özelleştirilebilir.
Bu listeden bir öğe seçildiğinde, seçilen yazılım hakkında daha fazla ayrıntı ve yazılımın son bulunduğu zamana ait yol ve zaman damgasını içeren bir açılır liste açılır.
Bu liste ürün koduna, zayıf noktalarına ve tehditlerin varlığına göre filtrelenebilir.
Güvenlik açığı olan bileşenler
Bu kart, güvenlik açıkları içeren yazılım bileşenlerini listeler.
Varsayılan görünüm ve filtreleme seçenekleri yazılımla aynıdır.
Açılır öğede daha fazla bilgi görüntülemek için bir öğe seçin.
Tarayıcı uzantıları
Bu kart, cihazda yüklü olan tarayıcı uzantılarını gösterir. Görüntülenen varsayılan alanlar uzantı adı, yüklendiği tarayıcı, sürüm, izin riski (uzantı tarafından istenen cihazlara veya sitelere erişim türüne göre) ve durumdur. İsteğe bağlı olarak, satıcı da görüntülenebilir.
Açılır öğede daha fazla bilgi görüntülemek için bir öğe seçin.
Sertifika
Bu kart, cihazda yüklü olan tüm sertifikaları görüntüler.
Varsayılan olarak görüntülenen alanlar sertifika adı, verme tarihi, son kullanma tarihi, anahtar boyutu, veren, imza algoritması, anahtar kullanımı ve örnek sayısıdır.
Liste duruma, otomatik olarak imzalanan veya olmayan, anahtar boyutuna, imza karması ve anahtar kullanımına göre filtrelenebilir.
Açılır öğede daha fazla bilgi görüntülemek için bir sertifika seçin.
Bulunan güvenlik açıkları sekmesi
Bu sekmede, cihazı etkileyebilecek tüm Yaygın Güvenlik Açıkları ve Açıklardan Yararlanmalar (CVEs) listelenir.
Varsayılan görünümde CVE'nin önem derecesi, Ortak Güvenlik Açığı Puanı (CVSS), CVE ile ilgili yazılım, CVE yayımlandığında, CVE ilk algılandığında ve son güncelleştirildiğinde ve CVE ile ilişkili tehditler listelenir.
Önceki sekmelerde olduğu gibi, görüntülenecek sütunların seçimi özelleştirilebilir. Liste önem derecesine, tehdit durumuna, cihazın açığa alınmasına ve etiketlere göre filtrelenebilir.
Bu listeden bir öğe seçildiğinde CVE'yi açıklayan bir açılır liste açılır.
Eksik KB sekmesi
Eksik KB'ler sekmesi, cihaza henüz uygulanmamış microsoft güncelleştirmelerini listeler. Söz konusu "KB", bu güncelleştirmeleri açıklayan Bilgi Bankası makaleleridir; örneğin , KB4551762.
Varsayılan görünümde güncelleştirmeleri, işletim sistemi sürümünü, KB kimlik numarasını, etkilenen ürünleri, ele alınan CV'leri ve etiketleri içeren bülten listelenir.
Görüntülenecek sütun seçimi özelleştirilebilir.
Öğe seçildiğinde, güncelleştirmeye bağlanan bir açılır öğe açılır.
Sentinel olayları sekmesi
Kuruluşunuz Microsoft Sentinel'i Defender portalına eklerse, bu ek sekme cihaz varlığı sayfasındadır. Bu sekme , Microsoft Sentinel'den Konak varlık sayfasını içeri aktarır.
Sentinel zaman çizelgesi
Bu zaman çizelgesi, Microsoft Sentinel'de konak varlığı olarak bilinen cihaz varlığıyla ilişkili uyarıları gösterir. Bu uyarılar , Olaylar ve uyarılar sekmesinde görülenler ile Microsoft Sentinel tarafından microsoft olmayan üçüncü taraf veri kaynaklarından oluşturulanları içerir.
Bu zaman çizelgesi ayrıca bu kullanıcı varlığına başvuran diğer araştırmalardan yapılan yer işaretli avları , dış veri kaynaklarından gelen kullanıcı etkinliği olaylarını ve Microsoft Sentinel'in anomali kuralları tarafından algılanan olağan dışı davranışları gösterir.
Bilgi Edinme
Varlık içgörüleri, Daha verimli ve etkili bir şekilde araştırmanıza yardımcı olmak için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır. Bu içgörüler, tablosal veriler ve grafikler biçiminde değerli güvenlik bilgileri sağlayarak cihaz varlığınızla ilgili büyük soruları otomatik olarak sorar. İçgörüler oturum açma işlemleri, grup eklemeleri, işlem yürütmeleri, anormal olaylar ve daha fazlası ile ilgili verileri içerir ve anormal davranışları algılamak için gelişmiş makine öğrenmesi algoritmaları içerir.
Aşağıda gösterilen içgörülerden bazıları yer alır:
- Konakta alınan ekran görüntüsü.
- Microsoft tarafından imzalanmamış işlemler algılandı.
- Windows işlem yürütme bilgileri.
- Windows oturum açma etkinliği.
- Hesaplardaki eylemler.
- Konakta olay günlükleri temizlendi.
- Grup eklemeleri.
- Konakların, kullanıcıların, konak üzerindeki grupların sabit listesi.
- Microsoft Defender Uygulama Denetimi.
- Entropi hesaplaması ile seyrini işleme.
- Anormal derecede yüksek sayıda güvenlik olayı.
- İzleme listesi içgörüleri (Önizleme).
- Windows Defender Virüsten Koruma olayları.
İçgörüler aşağıdaki veri kaynaklarını temel alır:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Sinyal (Azure İzleyici Aracısı)
- CommonSecurityLog (Microsoft Sentinel)
Bu paneldeki içgörülerden herhangi birini daha fazla keşfetmek istiyorsanız içgörüye eşlik eden bağlantıyı seçin. Bağlantı sizi Gelişmiş tehdit avcılığı sayfasına götürür ve burada içgörüye bağlı sorguyu ve ham sonuçlarını görüntüler. Araştırmanızı genişletmek veya merakınızı gidermek için sorguyu değiştirebilir veya sonuçlarda detaya gidebilirsiniz.
Yanıt eylemleri
Yanıt eylemleri tehditleri analiz etmek, araştırmak ve tehditlere karşı savunmak için kısayollar sunar.
Önemli
- Yanıt eylemleri yalnızca cihaz Uç Nokta için Microsoft Defender'a kayıtlıysa kullanılabilir.
- Uç Nokta için Microsoft Defender'a kaydedilen cihazlar, cihazın işletim sistemine ve sürüm numarasına göre farklı sayıda yanıt eylemi görüntüleyebilir.
Yanıt eylemleri belirli bir cihaz sayfasının üst kısmında çalışır ve şunları içerir:
Eylem | Açıklama |
---|---|
Cihaz değeri | |
Kritikliği ayarlama | |
Etiketleri yönetin | Bu cihaza uyguladığınız özel etiketleri güncelleştirir. |
Cihaz yanlışlığını bildirme | |
Virüsten Koruma Taraması Çalıştırma | Microsoft Defender Virüsten Koruma tanımlarını güncelleştirir ve hemen bir virüsten koruma taraması çalıştırır. Hızlı tarama veya Tam tarama arasında seçim yapın. |
Araştırma Paketini Topla | Cihaz hakkında bilgi toplar. Araştırma tamamlandığında indirebilirsiniz. |
Uygulama yürütmeyi kısıtlayın | Microsoft tarafından imzalanmayan uygulamaların çalışmasını engeller. |
Otomatik araştırma başlatma | Tehditleri otomatik olarak araştırır ve düzelter. Otomatik araştırmaların bu sayfadan çalıştırılmasını el ile tetikleyebilmenize rağmen, bazı uyarı ilkeleri otomatik araştırmaları kendi başlarına tetikler. |
Canlı Yanıt Oturumu Başlat | Ayrıntılı güvenlik araştırmaları için cihaza bir uzak kabuk yükler. |
Cihazı yalıtma | Cihazı kuruluşunuzun ağından yalıtırken Microsoft Defender'a bağlı kalmasını sağlar. İletişim amacıyla cihaz yalıtılmış durumdayken Outlook, Teams ve Skype Kurumsal'ın çalışmasına izin vermeyi seçebilirsiniz. |
Defender Uzmanları’na Sorun | |
İşlem Merkezi | Çalışmakta olan tüm yanıt eylemleriyle ilgili bilgileri görüntüler. Yalnızca başka bir eylem seçilmişse kullanılabilir. |
Yalıtım betiğinden zorla yayın indirme | |
Dışlamak | |
Git avla | |
Sorun giderme modunu açma | |
İlke eşitleme |
İlgili konular
- Microsoft Defender XDR'ye genel bakış
- Microsoft Defender XDR'ı açma
- Microsoft Defender'da kullanıcı varlığı sayfası
- Microsoft Defender'da IP adresi varlık sayfası
- Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi
- Microsoft Sentinel'i Microsoft Defender XDR'ye bağlama
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.