Aracılığıyla paylaş

Microsoft Defender'da cihaz varlığı sayfası

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender portalındaki cihaz varlığı sayfası, cihaz varlıkları araştırmanızda size yardımcı olur. Sayfa, belirli bir cihaz varlığıyla ilgili tüm önemli bilgileri içerir. Bir uyarı veya olay bir cihazın şüpheli davrandığını veya tehlikede olabileceğini gösteriyorsa, uyarı veya olayla ilgili olabilecek diğer davranışları veya olayları belirlemek için cihazın ayrıntılarını araştırın ve ihlalin olası kapsamını keşfedin. Ayrıca bazı yaygın güvenlik görevlerini gerçekleştirmek ve güvenlik tehditlerini azaltmak veya düzeltmek için bazı yanıt eylemleri gerçekleştirmek için cihaz varlık sayfasını da kullanabilirsiniz.

Önemli

Cihaz varlığı sayfasında görüntülenen içerik kümesi, cihazın Uç Nokta için Microsoft Defender ve Kimlik için Microsoft Defender'daki kaydına bağlı olarak biraz farklılık gösterebilir.

Kuruluşunuz Microsoft Sentinel'i Defender portalına eklerse ek bilgiler görüntülenir.

Microsoft Sentinel'de cihaz varlıkları ana bilgisayar varlıkları olarak da bilinir. Daha fazla bilgi edinin.

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalında Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz. Microsoft Defender portalında Microsoft Sentinel.

Cihaz varlıkları aşağıdaki alanlarda bulunabilir:

  • Cihazlar listesi, Varlıklar altında
  • Uyarı sırası
  • Her bir uyarı/olay
  • Tek bir kullanıcı varlığı sayfası
  • Tek tek dosya ayrıntıları görünümü
  • Herhangi bir IP adresi veya etki alanı ayrıntıları görünümü
  • Etkinlik günlüğü
  • Gelişmiş tehdit avcılığı sorguları
  • İşlem merkezi

Cihaz hakkında daha fazla ayrıntı görüntüleyen cihazın varlık sayfasını açmak için cihazları portalda her gördüğünüzde seçebilirsiniz. Örneğin, Microsoft Defender portalında bir olayın uyarılarında listelenen cihazların ayrıntılarını Olaylar & uyarılar > Olay Olay>> Varlıkları > Cihazları bölümünde görebilirsiniz.

Microsoft Defender portalındaki bir olayın Kullanıcılar sayfasının ekran görüntüsü.

Cihaz varlığı sayfası bilgilerini sekmeli biçimde sunar. Bu makalede, her sekmede kullanılabilen bilgi türleri ve belirli bir cihazda gerçekleştirebileceğiniz eylemler ele alınmaktadır.

Cihaz varlığı sayfasında aşağıdaki sekmeler görüntülenir:

Varlık sayfası üst bilgisi

Varlık sayfasının en üstteki bölümü aşağıdaki ayrıntıları içerir:

  • Varlık adı
  • Risk önem derecesi, kritiklik ve cihaz değeri göstergeleri
  • Cihazın sınıflandırılabileceği etiketler. Uç Nokta için Defender, Kimlik için Defender veya kullanıcılar tarafından eklenebilir. Kimlik için Microsoft Defender etiketleri düzenlenemez.
  • Yanıt eylemleri de burada bulunur. Bunlar hakkında daha fazla bilgiyi aşağıda bulabilirsiniz.

Genel Bakış sekmesi

Varsayılan sekme Genel Bakış'tır. Cihazla ilgili en önemli güvenlik bilgilerine hızlı bir bakış sağlar. Genel Bakış sekmesi, cihaz ayrıntıları kenar çubuğunu ve bazı kartların üst düzey bilgileri görüntülendiği bir pano içerir.

Cihaz ayrıntıları

Kenar çubuğunda cihazın tam adı ve pozlama düzeyi listelenir. Ayrıca küçük alt bölümlerde genişletilebilir veya daraltılabilir bazı önemli temel bilgiler sağlar, örneğin:

Bölüm Dahil edilen bilgiler
VM ayrıntıları Makine ve etki alanı adları ve kimlikleri, sistem durumu ve ekleme durumları, ilk ve son görülenler için zaman damgaları, IP adresleri ve daha fazlası
DLP ilkesi eşitleme ayrıntıları Uygunsa
Yapılandırma durumu Uç Nokta için Microsoft Defender yapılandırmasıyla ilgili ayrıntılar
Bulut kaynağı ayrıntıları Bulut platformu, kaynak kimliği, abonelik bilgileri ve daha fazlası
Donanım ve üretici yazılımı VM, işlemci ve BIOS bilgileri ve daha fazlası
Cihaz yönetimi Uç Nokta için Microsoft Defender kayıt durumu ve yönetim bilgileri
Dizin verileri UAC bayrakları, SPN'ler ve grup üyelikleri.

Pano

Genel Bakış sekmesinin ana bölümünde pano türündeki çeşitli ekran kartları gösterilir:

  • Son altı ay içinde cihazı kapsayan etkin uyarılar ve risk düzeyi önem derecesine göre gruplandırılır
  • Cihazın güvenlik değerlendirmeleri ve maruz kalma düzeyi
  • Son 30 gün içinde cihazda oturum açan kullanıcılar
  • Cihaz sistem durumu ve cihazın en son taramalarıyla ilgili diğer bilgiler.

İpucu

Maruz kalma düzeyi, cihazın güvenlik önerilerine ne kadar uyduğuyla ilgilidir, risk düzeyi ise etkin uyarıların türleri ve önem derecesi de dahil olmak üzere bir dizi faktöre göre hesaplanır.

Microsoft Defender portalındaki cihaz varlığı sayfasının Genel Bakış sekmesinin ekran görüntüsü.

Olaylar ve uyarılar sekmesi

Olaylar ve uyarılar sekmesi, ekleniyorsa Microsoft Sentinel dahil olmak üzere çeşitli Microsoft Defender algılama kaynaklarından cihazda tetiklenen uyarıları içeren olayların listesini içerir. Bu liste , olay kuyruğunun filtrelenmiş bir sürümüdür ve olay veya uyarının kısa bir açıklamasını, önem derecesini (yüksek, orta, düşük, bilgilendirici), kuyruktaki durumunu (yeni, devam ediyor, çözüldü), sınıflandırmasını (ayarlanmamış, yanlış uyarı, doğru uyarı), araştırma durumunu, kategoriyi, bu durumu ele almak için atananları ve gözlemlenen son etkinliği gösterir.

Her öğe için hangi sütunların görüntüleneceğini özelleştirebilirsiniz. Uyarıları önem derecesine, durumuna veya görüntüdeki diğer herhangi bir sütuna göre de filtreleyebilirsiniz.

Etkilenen varlıklar sütunu, olay veya uyarıda başvuruda bulunan tüm cihaz ve kullanıcı varlıklarını ifade eder.

Bir olay veya uyarı seçildiğinde bir açılır öğe görüntülenir. Bu panelden olayı veya uyarıyı yönetebilir ve olay/uyarı numarası ve ilgili cihazlar gibi diğer ayrıntıları görüntüleyebilirsiniz. Aynı anda birden çok uyarı seçilebilir.

Bir olayın veya uyarının tam sayfa görünümünü görmek için başlığını seçin.

Microsoft Defender portalındaki cihaz varlığı sayfasının Olaylar ve uyarılar sekmesinin ekran görüntüsü.

Zaman Çizelgesi sekmesi

Zaman Çizelgesi sekmesinde, cihazda gözlemlenen tüm olayların kronolojik görünümü görüntülenir. Bu, cihazla ilgili olarak tüm olayları, dosyaları ve IP adreslerini ilişkilendirmenize yardımcı olabilir.

Listede görüntülenen sütunların seçimi de özelleştirilebilir. Varsayılan sütunlar olay zamanını, etkin kullanıcıyı, eylem türünü, ilişkili varlıkları (işlemler, dosyalar, IP adresleri) ve olay hakkında ek bilgileri listeler.

Zaman aralığının kenarlıklarını sayfanın en üstündeki genel zaman çizelgesi grafiği boyunca kaydırarak olayların görüntüleneceği zaman aralığını yönetebilirsiniz. Listenin en üstündeki açılan listeden bir zaman aralığı da seçebilirsiniz (varsayılan değer 30 gündür). Görünümünüzü daha fazla denetlemek için olay gruplarına göre filtreleyebilir veya sütunları özelleştirebilirsiniz.

İndirme için yedi güne kadar olan olayları csv dosyasına aktarabilirsiniz.

Seçip olay seçerek ve açılan panelde ayrıntılarını görüntüleyerek tek tek olayların ayrıntılarını detaya gidin. Aşağıdaki Olay ayrıntılarına bakın.

Not

Güvenlik duvarı olaylarının görüntülenmesi için denetim ilkesini etkinleştirmeniz gerekir. Bkz. Denetim Filtreleme Platformu bağlantısı.

Güvenlik duvarı aşağıdaki olayları kapsar:

  • 5025 - Güvenlik duvarı hizmeti durduruldu
  • 5031 - Uygulamanın ağda gelen bağlantıları kabul etme engeli
  • 5157 - engellenen bağlantı

Microsoft Defender portalındaki cihaz varlığı sayfasının Zaman Çizelgesi sekmesinin ekran görüntüsü.

Olay ayrıntıları

Bu olayla ilgili ayrıntıları görüntülemek için bir olay seçin. Etkinlik hakkında çok daha fazla bilgi göstermek için bir açılır panel görüntülenir. Görüntülenen bilgi türleri olayın türüne bağlıdır. Uygun olduğunda ve veriler kullanılabilir olduğunda, dosya veya işlem zinciri gibi ilgili varlıkları ve bunların ilişkilerini gösteren bir grafik görebilirsiniz. MiTRE ATT&CK taktiklerinin ve olay için geçerli tekniklerin özet açıklamasını da görebilirsiniz.

Olayı ve ilgili olayları daha fazla incelemek için, ilgili olayları avla'yı seçerek hızlı bir şekilde gelişmiş bir avcılık sorgusu çalıştırabilirsiniz. Sorgu, seçilen olayı ve aynı uç noktada aynı anda gerçekleşen diğer olayların listesini döndürür.

Olay ayrıntıları panelinin ekran görüntüsü.

Güvenlik önerileri sekmesi

Güvenlik önerileri sekmesi, cihazı korumak için gerçekleştirebileceğiniz eylemleri listeler. Bu listeden bir öğe seçildiğinde, önerinin nasıl uygulanacağı hakkında yönergeler alabileceğiniz bir açılır liste açılır.

Önceki sekmelerde olduğu gibi, görüntülenen sütunların seçimi özelleştirilebilir.

Varsayılan görünüm, ele alınan güvenlik zayıflıklarını, ilişkili tehdidi, tehditten etkilenen ilgili bileşeni veya yazılımları ve daha fazlasını ayrıntılı olarak gösteren sütunları içerir. Öğeler önerinin durumuna göre filtrelenebilir.

Güvenlik önerileri hakkında daha fazla bilgi edinin.

Cihaz varlığı sayfasının Güvenlik önerileri sekmesinin ekran görüntüsü.

Envanterler sekmesi

Bu sekmede dört tür bileşenin envanteri görüntülenir: Yazılım, güvenlik açığı bulunan bileşenler, tarayıcı uzantıları ve sertifikalar.

Yazılım envanteri

Bu kart, cihazda yüklü yazılımları listeler.

Varsayılan görünümde yazılım satıcısı, yüklü sürüm numarası, bilinen yazılım zayıflıklarının sayısı, tehdit içgörüleri, ürün kodu ve etiketler görüntülenir. Görüntülenen öğe sayısı ve hangi sütunların görüntülendiği özelleştirilebilir.

Bu listeden bir öğe seçildiğinde, seçilen yazılım hakkında daha fazla ayrıntı ve yazılımın son bulunduğu zamana ait yol ve zaman damgasını içeren bir açılır liste açılır.

Bu liste ürün koduna, zayıf noktalarına ve tehditlerin varlığına göre filtrelenebilir.

Microsoft Defender portalında cihaz profili için Yazılım envanteri sekmesinin ekran görüntüsü

Güvenlik açığı olan bileşenler

Bu kart, güvenlik açıkları içeren yazılım bileşenlerini listeler.

Varsayılan görünüm ve filtreleme seçenekleri yazılımla aynıdır.

Açılır öğede daha fazla bilgi görüntülemek için bir öğe seçin.

Tarayıcı uzantıları

Bu kart, cihazda yüklü olan tarayıcı uzantılarını gösterir. Görüntülenen varsayılan alanlar uzantı adı, yüklendiği tarayıcı, sürüm, izin riski (uzantı tarafından istenen cihazlara veya sitelere erişim türüne göre) ve durumdur. İsteğe bağlı olarak, satıcı da görüntülenebilir.

Açılır öğede daha fazla bilgi görüntülemek için bir öğe seçin.

Sertifika

Bu kart, cihazda yüklü olan tüm sertifikaları görüntüler.

Varsayılan olarak görüntülenen alanlar sertifika adı, verme tarihi, son kullanma tarihi, anahtar boyutu, veren, imza algoritması, anahtar kullanımı ve örnek sayısıdır.

Liste duruma, otomatik olarak imzalanan veya olmayan, anahtar boyutuna, imza karması ve anahtar kullanımına göre filtrelenebilir.

Açılır öğede daha fazla bilgi görüntülemek için bir sertifika seçin.

Bulunan güvenlik açıkları sekmesi

Bu sekmede, cihazı etkileyebilecek tüm Yaygın Güvenlik Açıkları ve Açıklardan Yararlanmalar (CVEs) listelenir.

Varsayılan görünümde CVE'nin önem derecesi, Ortak Güvenlik Açığı Puanı (CVSS), CVE ile ilgili yazılım, CVE yayımlandığında, CVE ilk algılandığında ve son güncelleştirildiğinde ve CVE ile ilişkili tehditler listelenir.

Önceki sekmelerde olduğu gibi, görüntülenecek sütunların seçimi özelleştirilebilir. Liste önem derecesine, tehdit durumuna, cihazın açığa alınmasına ve etiketlere göre filtrelenebilir.

Bu listeden bir öğe seçildiğinde CVE'yi açıklayan bir açılır liste açılır.

Microsoft Defender portalında cihaz profili için Bulunan güvenlik açıkları sekmesinin ekran görüntüsü

Eksik KB sekmesi

Eksik KB'ler sekmesi, cihaza henüz uygulanmamış microsoft güncelleştirmelerini listeler. Söz konusu "KB", bu güncelleştirmeleri açıklayan Bilgi Bankası makaleleridir; örneğin , KB4551762.

Varsayılan görünümde güncelleştirmeleri, işletim sistemi sürümünü, KB kimlik numarasını, etkilenen ürünleri, ele alınan CV'leri ve etiketleri içeren bülten listelenir.

Görüntülenecek sütun seçimi özelleştirilebilir.

Öğe seçildiğinde, güncelleştirmeye bağlanan bir açılır öğe açılır.

Sentinel olayları sekmesi

Kuruluşunuz Microsoft Sentinel'i Defender portalına eklerse, bu ek sekme cihaz varlığı sayfasındadır. Bu sekme , Microsoft Sentinel'den Konak varlık sayfasını içeri aktarır.

Sentinel zaman çizelgesi

Bu zaman çizelgesi, Microsoft Sentinel'de konak varlığı olarak bilinen cihaz varlığıyla ilişkili uyarıları gösterir. Bu uyarılar , Olaylar ve uyarılar sekmesinde görülenler ile Microsoft Sentinel tarafından microsoft olmayan üçüncü taraf veri kaynaklarından oluşturulanları içerir.

Bu zaman çizelgesi ayrıca bu kullanıcı varlığına başvuran diğer araştırmalardan yapılan yer işaretli avları , dış veri kaynaklarından gelen kullanıcı etkinliği olaylarını ve Microsoft Sentinel'in anomali kuralları tarafından algılanan olağan dışı davranışları gösterir.

Bilgi Edinme

Varlık içgörüleri, Daha verimli ve etkili bir şekilde araştırmanıza yardımcı olmak için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır. Bu içgörüler, tablosal veriler ve grafikler biçiminde değerli güvenlik bilgileri sağlayarak cihaz varlığınızla ilgili büyük soruları otomatik olarak sorar. İçgörüler oturum açma işlemleri, grup eklemeleri, işlem yürütmeleri, anormal olaylar ve daha fazlası ile ilgili verileri içerir ve anormal davranışları algılamak için gelişmiş makine öğrenmesi algoritmaları içerir.

Aşağıda gösterilen içgörülerden bazıları yer alır:

  • Konakta alınan ekran görüntüsü.
  • Microsoft tarafından imzalanmamış işlemler algılandı.
  • Windows işlem yürütme bilgileri.
  • Windows oturum açma etkinliği.
  • Hesaplardaki eylemler.
  • Konakta olay günlükleri temizlendi.
  • Grup eklemeleri.
  • Konakların, kullanıcıların, konak üzerindeki grupların sabit listesi.
  • Microsoft Defender Uygulama Denetimi.
  • Entropi hesaplaması ile seyrini işleme.
  • Anormal derecede yüksek sayıda güvenlik olayı.
  • İzleme listesi içgörüleri (Önizleme).
  • Windows Defender Virüsten Koruma olayları.

İçgörüler aşağıdaki veri kaynaklarını temel alır:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Sinyal (Azure İzleyici Aracısı)
  • CommonSecurityLog (Microsoft Sentinel)

Kullanıcı varlığı sayfasındaki Sentinel olayları sekmesinin ekran görüntüsü.

Bu paneldeki içgörülerden herhangi birini daha fazla keşfetmek istiyorsanız içgörüye eşlik eden bağlantıyı seçin. Bağlantı sizi Gelişmiş tehdit avcılığı sayfasına götürür ve burada içgörüye bağlı sorguyu ve ham sonuçlarını görüntüler. Araştırmanızı genişletmek veya merakınızı gidermek için sorguyu değiştirebilir veya sonuçlarda detaya gidebilirsiniz.

İçgörü sorgusuyla Gelişmiş tehdit avcılığı ekranının ekran görüntüsü.

Yanıt eylemleri

Yanıt eylemleri tehditleri analiz etmek, araştırmak ve tehditlere karşı savunmak için kısayollar sunar.

Microsoft Defender portalındaki cihaz varlığı sayfasının Eylem çubuğunun ekran görüntüsü.

Önemli

  • Yanıt eylemleri yalnızca cihaz Uç Nokta için Microsoft Defender'a kayıtlıysa kullanılabilir.
  • Uç Nokta için Microsoft Defender'a kaydedilen cihazlar, cihazın işletim sistemine ve sürüm numarasına göre farklı sayıda yanıt eylemi görüntüleyebilir.

Yanıt eylemleri belirli bir cihaz sayfasının üst kısmında çalışır ve şunları içerir:

Eylem Açıklama
Cihaz değeri
Kritikliği ayarlama
Etiketleri yönetin Bu cihaza uyguladığınız özel etiketleri güncelleştirir.
Cihaz yanlışlığını bildirme
Virüsten Koruma Taraması Çalıştırma Microsoft Defender Virüsten Koruma tanımlarını güncelleştirir ve hemen bir virüsten koruma taraması çalıştırır. Hızlı tarama veya Tam tarama arasında seçim yapın.
Araştırma Paketini Topla Cihaz hakkında bilgi toplar. Araştırma tamamlandığında indirebilirsiniz.
Uygulama yürütmeyi kısıtlayın Microsoft tarafından imzalanmayan uygulamaların çalışmasını engeller.
Otomatik araştırma başlatma Tehditleri otomatik olarak araştırır ve düzelter. Otomatik araştırmaların bu sayfadan çalıştırılmasını el ile tetikleyebilmenize rağmen, bazı uyarı ilkeleri otomatik araştırmaları kendi başlarına tetikler.
Canlı Yanıt Oturumu Başlat Ayrıntılı güvenlik araştırmaları için cihaza bir uzak kabuk yükler.
Cihazı yalıtma Cihazı kuruluşunuzun ağından yalıtırken Microsoft Defender'a bağlı kalmasını sağlar. İletişim amacıyla cihaz yalıtılmış durumdayken Outlook, Teams ve Skype Kurumsal'ın çalışmasına izin vermeyi seçebilirsiniz.
Defender Uzmanları’na Sorun
İşlem Merkezi Çalışmakta olan tüm yanıt eylemleriyle ilgili bilgileri görüntüler. Yalnızca başka bir eylem seçilmişse kullanılabilir.
Yalıtım betiğinden zorla yayın indirme
Dışlamak
Git avla
Sorun giderme modunu açma
İlke eşitleme

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.