Azure ATP hakkında sık sorulan sorularAzure ATP frequently asked questions

Bu makalede, Azure ATP hakkında sık sorulan soruların ve yanıtlarının bir listesi aşağıdaki kategorilere ayrılmıştır:This article provides a list of frequently asked questions and answers about Azure ATP divided into the following categories:

Azure ATP nedir?What is Azure ATP?

Azure ATP algılama nedir?What can Azure ATP detect?

Azure ATP, ağınıza karşı bilinen kötü amaçlı saldırıları ve teknikleri, güvenlik sorunlarını ve riskleri algılar.Azure ATP detects known malicious attacks and techniques, security issues, and risks against your network. Azure ATP algılamalarının tam listesi için bkz. Azure ATP hangi algılamaları gerçekleştirir?.For the full list of Azure ATP detections, see What detections does Azure ATP perform?.

Azure ATP hangi verileri toplar?What data does Azure ATP collect?

Azure ATP, yönetim, izleme ve raporlama amacıyla hizmete özgü bir veritabanında yapılandırılmış sunuculardan (etki alanı denetleyicileri, üye sunucular, vb.) bilgileri toplar ve depolar.Azure ATP collects and stores information from your configured servers (domain controllers, member servers, etc.) in a database specific to the service for administration, tracking, and reporting purposes. Toplanan bilgiler, etki alanı denetleyicilerine (Kerberos kimlik doğrulaması, NTLM kimlik doğrulaması, DNS sorguları), güvenlik günlükleri (örneğin, Windows güvenlik olayları), Active Directory bilgileri (yapı, alt ağlar, siteler), ve varlık bilgileri (adlar, e-posta adresleri ve telefon numaraları gibi).Information collected includes network traffic to and from domain controllers (such as Kerberos authentication, NTLM authentication, DNS queries), security logs (such as Windows security events), Active Directory information (structure, subnets, sites), and entity information (such as names, email addresses, and phone numbers).

Microsoft bu verileri şunlar için kullanır:Microsoft uses this data to:

  • Kuruluşunuzdaki saldırı göstergelerini (ıoas) önceden belirlemekProactively identify indicators of attack (IOAs) in your organization
  • Olası bir saldırı algılanırsa uyarı oluşturGenerate alerts if a possible attack was detected
  • Ağınızdaki tehdit sinyalleriyle ilgili varlıkların bulunduğu bir görünümle birlikte güvenlik işlemlerinizi, ağ üzerinde güvenlik tehditleri olup olmadığını araştırmanıza ve incelemenize olanak sağlar.Provide your security operations with a view into entities related to threat signals from your network, enabling you to investigate and explore the presence of security threats on the network.

Microsoft, verilerinizi reklam için veya size hizmet sağlamaktan başka bir amaçla mayın.Microsoft does not mine your data for advertising or for any other purpose other than providing you the service.

Azure ATP yalnızca Active Directory trafiği kullanıyor mu?Does Azure ATP only leverage traffic from Active Directory?

Derin paket İnceleme teknolojisini kullanarak Active Directory trafiği çözümlemenin yanı sıra, Azure ATP de etki alanı denetleyicinizden ilgili Windows olaylarını toplar ve Active Directory Domain Services bilgileri temel alan varlık profilleri oluşturur.In addition to analyzing Active Directory traffic using deep packet inspection technology, Azure ATP also collects relevant Windows Events from your domain controller and creates entity profiles based on information from Active Directory Domain Services. Azure ATP ayrıca çeşitli satıcıların (Microsoft, Cisco, F5 ve Checkpoint) VPN günlüklerinin RADIUS hesaplama almasını destekler.Azure ATP also supports receiving RADIUS accounting of VPN logs from various vendors (Microsoft, Cisco, F5, and Checkpoint).

Azure ATP yalnızca etki alanına katılmış cihazları mı izmidir?Does Azure ATP monitor only domain-joined devices?

NoNo. Azure ATP, Windows dışı ve mobil cihazlar dahil olmak üzere Active Directory karşı kimlik doğrulama ve yetkilendirme istekleri gerçekleştiren ağdaki tüm cihazları izler.Azure ATP monitors all devices in the network performing authentication and authorization requests against Active Directory, including non-Windows and mobile devices.

Azure ATP, bilgisayar hesaplarını da ve Kullanıcı hesaplarını izler mi?Does Azure ATP monitor computer accounts as well as user accounts?

Evet.Yes. Bilgisayar hesapları (diğer varlıkların yanı sıra diğer varlıklar) kötü amaçlı etkinlikler gerçekleştirmek için kullanılabilir olduğundan, Azure ATP tüm bilgisayar hesabı davranışlarını ve ortamdaki tüm diğer varlıkları izler.Since computer accounts (as well as any other entities) can be used to perform malicious activities, Azure ATP monitors all computer accounts behavior and all other entities in the environment.

Advanced Threat Analytics (ATA) ve Azure ATP arasındaki fark nedir?What is the difference between Advanced Threat Analytics (ATA) and Azure ATP?

ATA, şirket içinde yüklü olan tek başına bir çözümdür.ATA is a standalone solution, installed on-premises. Bulut bağlantısı ile Azure ATP, yeni algılamalar, UEBA özellikleri, güvenlik değerlendirmeleri ve Microsoft 365 güvenlik çözümleri arasında bir araştırma deneyimi dahil olmak üzere sürekli özellik güncelleştirmeleri içerir.Azure ATP with its cloud connectivity includes continuous feature updates including new detections, UEBA capabilities, security assessments, and an investigation experience across Microsoft 365 Security solutions.

Azure ATP 'nin ek özellikleri:Azure ATP’s additional capabilities:

  • Azure ATP, ATA 'dan daha fazla şirket içi şüpheli davranışı ve gelişmiş saldırıları algılar ve kimlik güvenliği değerlendirmesi raporları sağlar.Azure ATP detects more on-premises suspicious behavior and advanced attacks than ATA, and provides identity security assessment reports.
  • Ek veri kaynaklarıyla (örn. Windows Için olay izleme) yeniden tasarlanmış algılayıcı.Re-architected sensor with additional data sources (such as Event Tracing for Windows).
  • Azure ATP, çok ormanlı ortamları korur.Azure ATP protects multi-forest environments.

Azure ATP, karma kuruluşun güvenliğini sağlamaya yönelik Microsoft 365 güvenlik ile bir parçasıdır:Azure ATP is a part of Microsoft 365 Security – securing the hybrid organization:

  • Microsoft Cloud App Security (MCAS) ve Azure AD Kimlik Koruması ile birlikte Azure ATP, Kullanıcı etkinlikleri için şirket içinde ve bulutta birleştirilmiş bir araştırma deneyimi sağlar ve Gelişmiş Kullanıcı ve varlık davranış analizlerini (UEBA) sağlar durumunda.Azure ATP, together with Microsoft Cloud App Security (MCAS) and Azure AD Identity Protection, provides a unified investigation experience for user activities, on-premises and in the cloud, and provides enhanced User and Entity Behavior Analytics (UEBA) detections.
  • ATA 'nın diğer Microsoft online güvenlik çözümleriyle hiçbir tümleştirmesi yokturATA has no integration with other Microsoft online security solutions

Bulut gücünden yararlanarak ölçeklenebilir ve güvenli:Scalable and secure, leveraging the power of the cloud:

  • Azure ATP, müşterilerin, ölçekleme sınırlamaları ve sürekli güncelleştirmeler olmadan bulut tabanlı bir çözümün avantajlarından yararlanmanızı sağlar.Azure ATP allows customers to enjoy the benefits of a cloud based solution, with no scaling limitations and continuous updates.
  • ATA, merkezi yönetim merkezinin şirket içinde dağıtılması için adanmış donanım gerektiren şirket içi, merkezi yönetim sunucusunu temel alır ve genellikle yılda bir veya iki sürüm güncelleştirmesi alır.ATA is based on an on-premises, central management server that requires dedicated hardware for the central management center to be deployed on-premises, and typically receives one or two version updates annually.

Lisanslama ve GizlilikLicensing and privacy

Azure Gelişmiş tehdit koruması (ATP) için lisans nereden alabilirim?Where can I get a license for Azure Advanced Threat Protection (ATP)?

Azure ATP, Enterprise Mobility + Security 5 Suite 'in (EMS E5) ve tek başına lisansın bir parçası olarak kullanılabilir.Azure ATP is available as part of Enterprise Mobility + Security 5 suite (EMS E5), and as a standalone license. Doğrudan Microsoft 365 portalından veya bulut çözümü iş ortağı (CSP) lisans modelinden lisans edinebilirsiniz.You can acquire a license directly from the Microsoft 365 portal or through the Cloud Solution Partner (CSP) licensing model.

Azure ATP yalnızca tek bir lisansa ihtiyaç duyuyor veya korumak istediğim her kullanıcı için bir lisans gerektirsin mi?Does Azure ATP need only a single license or does it require a license for every user I want to protect?

Azure ATP, her kullanıcı için lisanslama gerektirir.Azure ATP requires licensing for every user.

Azure Active Directory’nin mi yoksa şirket içi Active Directory’nin mi parçası olacak?Is this going to be a part of Azure Active Directory or on-premises Active Directory?

Azure ATP çözümü Şu anda tek başına bir tekliftir.The Azure ATP solution is currently a standalone offering. Azure Active Directory veya şirket içi Active Directory bir parçası değildir.It is not a part of Azure Active Directory or on-premises Active Directory.

Verilerim diğer müşteri verilerinden yalıtılsın mı?Is my data isolated from other customer data?

Evet, verileriniz erişim kimlik doğrulaması ve müşteri tanımlayıcılarına göre mantıksal ayırma aracılığıyla yalıtılmıştır.Yes, your data is isolated through access authentication and logical segregation based on customer identifiers. Her müşteri, yalnızca kendi kuruluşlarından toplanan verilere ve Microsoft 'un sağladığı genel verilere erişebilir.Each customer can only access data collected from their own organization and generic data that Microsoft provides.

Verilerimi nerede depolayabileceğiniz seçin?Do I have the flexibility to select where to store my data?

NoNo. Azure ATP örneğiniz oluşturulduğunda, AAD kiracınızın coğrafi konumuna en yakın olan ülke veri merkezinde otomatik olarak depolanır.When your Azure ATP instance is created, it is stored automatically in the country data center closest to the geographical location of your AAD tenant. Azure ATP örneğiniz farklı bir veri merkezine oluşturulduktan sonra Azure ATP verileri taşınamaz.Azure ATP data cannot be moved once your Azure ATP instance is created to a different data center.

Microsoft, kötü amaçlı Insider etkinliklerini ve yüksek ayrıcalıklı rollerin kötüye kullanımını nasıl engeller?How does Microsoft prevent malicious insider activities and abuse of high privilege roles?

Microsoft geliştiricileri ve yöneticileri, tasarıma göre, atanan görevlerini çalıştırmak ve hizmeti geliştirmek için yeterli ayrıcalıklara sahiptir.Microsoft developers and administrators have, by design, been given sufficient privileges to carry out their assigned duties to operate and evolve the service. Microsoft, yetkisiz geliştirici ve/veya yönetim etkinliğine karşı korumaya yardımcı olmak için aşağıdaki mekanizmaların yanı sıra önleyici, detekklik ve reaktif denetimlerin birleşimlerini dağıtır:Microsoft deploys combinations of preventive, detective, and reactive controls including the following mechanisms to help protect against unauthorized developer and/or administrative activity:

  • Hassas verilere sıkı erişim denetimiTight access control to sensitive data
  • Kötü amaçlı etkinliğin bağımsız olarak algılanmasını büyük ölçüde geliştiren denetimlerin birleşimleriCombinations of controls that greatly enhance independent detection of malicious activity
  • Birden çok düzey izleme, günlüğe kaydetme ve raporlamaMultiple levels of monitoring, logging, and reporting

Ayrıca, Microsoft, arka plan doğrulama işlemini belirli işlemler personeli üzerinde denetler ve uygulamalar, sistemler ve ağ altyapısına erişimi, arka plan doğrulama düzeyiyle orantılı olarak kısıtlar.In addition, Microsoft conducts background verification checks on certain operations personnel, and limits access to applications, systems, and network infrastructure in proportion to the level of background verification. Operasyon personeli, bir müşterinin hesabına erişmesi gerektiğinde resmi bir işlem veya bunların görevlerini performansından ilgili bilgileri izler.Operations personnel follow a formal process when they are required to access a customer’s account or related information in the performance of their duties.

DağıtımDeployment

Kaç Azure ATP sensöri gerekiyor?How many Azure ATP sensors do I need?

Ortamdaki her etki alanı denetleyicisi bir ATP algılayıcısı veya tek başına algılayıcı kapsamında olmalıdır.Every domain controller in the environment should be covered by an ATP sensor or standalone sensor. Daha fazla bilgi için bkz. Azure ATP algılayıcı boyutlandırma.For more information, see Azure ATP sensor sizing.

Azure ATP şifreli trafikle birlikte çalışıyor mu?Does Azure ATP work with encrypted traffic?

Şifrelenmiş trafiğe (örneğin, AtSvc ve WMI) sahip ağ protokollerinin şifresi çözülür, ancak algılayıcılar tarafından çözümlenir.Network protocols with encrypted traffic (for example, AtSvc and WMI) are not decrypted, but are analyzed by the sensors.

Azure ATP, Kerberos koruması ile çalışıyor mu?Does Azure ATP work with Kerberos Armoring?

Esnek kimlik doğrulaması güvenli tünelleme (hızlı) olarak da bilinen Kerberos korumasını etkinleştirmek, karma algılama 'nın, Kerberos koruması ile çalışmayan karma algılama dışında, Azure ATP tarafından desteklenir.Enabling Kerberos Armoring, also known as Flexible Authentication Secure Tunneling (FAST), is supported by Azure ATP, with the exception of over-pass the hash detection, which does not work with Kerberos Armoring.

Azure ATP kullanarak bir sanal etki alanı denetleyicisini izlemek Nasıl yaparım? mi?How do I monitor a virtual domain controller using Azure ATP?

Azure ATP algılayıcısı ortamınız için uygun olup olmadığını öğrenmek için Azure ATP algılayıcısı 'nın çoğu sanal etki alanı denetleyicisi kapsamında olabilir, bkz. Azure ATP kapasite planlaması.Most virtual domain controllers can be covered by the Azure ATP sensor, to determine whether the Azure ATP sensor is appropriate for your environment, see Azure ATP Capacity Planning.

Bir sanal etki alanı denetleyicisi Azure ATP algılayıcısı tarafından ele alınmamasının ardından, bağlantı noktası yansıtmayı yapılandırmakonusunda açıklandığı gibi sanal veya fiziksel BIR Azure ATP bağımsız sensöre sahip olabilirsiniz.If a virtual domain controller can't be covered by the Azure ATP sensor, you can have either a virtual or physical Azure ATP standalone sensor as described in Configure port mirroring.
En kolay yol, bir sanal etki alanı denetleyicisinin bulunduğu her konakta sanal bir Azure ATP tek başına algılayıcısı kullanmaktır.The easiest way is to have a virtual Azure ATP standalone sensor on every host where a virtual domain controller exists.
Sanal etki alanı denetleyicileriniz konaklar arasında hareket ederseniz aşağıdaki adımlardan birini gerçekleştirmeniz gerekir:If your virtual domain controllers move between hosts, you need to perform one of the following steps:

  • Sanal etki alanı denetleyicisi başka bir ana bilgisayara taşındığında, son taşınan sanal etki alanı denetleyicisinden gelen trafiği almak için bu konaktaki Azure ATP tek başına algılayıcısı 'nı önceden yapılandırın.When the virtual domain controller moves to another host, preconfigure the Azure ATP standalone sensor in that host to receive the traffic from the recently moved virtual domain controller.
  • Sanal Azure ATP tek başına algılayıcısı 'nı sanal etki alanı denetleyicisiyle ilişkilendirdiğinizden emin olun. bu sayede, Azure ATP tek başına algılayıcısı onunla birlikte taşınır.Make sure that you affiliate the virtual Azure ATP standalone sensor with the virtual domain controller so that if it is moved, the Azure ATP standalone sensor moves with it.
  • Ana bilgisayarlar arasında trafik gönderebilen bazı sanal anahtarlar vardır.There are some virtual switches that can send traffic between hosts.

Azure ATP sensörlerinden Azure ATP bulut hizmeti ile iletişim kuracak şekilde yapılandırmak Nasıl yaparım?.How do I configure the Azure ATP sensors to communicate with Azure ATP cloud service when I have a proxy?

Etki alanı denetleyicilerinizin bulut hizmetiyle iletişim kurması için, güvenlik duvarınız/ara sunucunuzda: *. atp.azure.com bağlantı noktası 443 ' u açmanız gerekir.For your domain controllers to communicate with the cloud service, you must open: *.atp.azure.com port 443 in your firewall/proxy. Bunun nasıl yapılacağı hakkında yönergeler için bkz. Azure ATP sensörlerle iletişimi etkinleştirmek için proxy veya güvenlik duvarını yapılandırma.For instructions on how to do this, see Configure your proxy or firewall to enable communication with Azure ATP sensors.

Azure ATP izlenen etki alanı denetleyicileri IaaS çözümünüz üzerinde sanallaştırılabilir mi?Can Azure ATP monitored domain controllers be virtualized on your IaaS solution?

Evet, herhangi bir IaaS çözümünde bulunan etki alanı denetleyicilerini izlemek için Azure ATP algılayıcısı ' nı kullanabilirsiniz.Yes, you can use the Azure ATP sensor to monitor domain controllers that are in any IaaS solution.

Azure ATP birden çok etki alanı ve çok ormanla destek verebilir mi?Can Azure ATP support multi-domain and multi-forest?

Azure Gelişmiş tehdit koruması, birden çok etki alanı ortamlarını ve birden çok ormanı destekler.Azure Advanced Threat Protection supports multi-domain environments and multiple forests. Daha fazla bilgi ve güven gereksinimi için bkz. çoklu orman desteği.For more information and trust requirements, see Multi-forest support.

Dağıtımın bir bütün olarak durumunu görebilir misiniz?Can you see the overall health of the deployment?

Evet, dağıtımın genel durumunu ve yapılandırma, bağlantı vb. ile ilgili belirli sorunları ve Azure ATP sistem durumu uyarıları ile ilgili olarak size uyarı gönderilmesini sağlayabilirsiniz.Yes, you can view the overall health of the deployment as well as specific issues related to configuration, connectivity etc., and you are alerted as they occur with Azure ATP health alerts.

ÇalışmaOperation

Azure ATP ile Sıems arasında ne tür bir tümleştirme var?What kind of integration does Azure ATP have with SIEMs?

Azure ATP, sistem durumu uyarıları ve güvenlik uyarısı algılandığında, CEF biçimini kullanarak herhangi bir SıEM sunucusuna Syslog uyarısı gönderecek şekilde yapılandırılabilir.Azure ATP can be configured to send a Syslog alert, to any SIEM server using the CEF format, for health alerts and when a security alert is detected. Daha fazla bilgi için SIEM günlüğü başvurusuna bakın.See the SIEM log reference for more information .

Neden bazı hesaplar hassas kabul edilir?Why are certain accounts considered sensitive?

Bu durum, bir hesap hassas olarak belirlenmiş grupların üyesiyse oluşur (örneğin: "Domain Admins").This happens when an account is a member of groups that are designated as sensitive (for example: "Domain Admins").

Hesabın neden hassas olduğunu anlamak için, grup üyeliğini gözden geçirerek hangi hassas gruplara üye olduğunu anlayabilirsiniz (üyesi olduğu grup başka bir grup nedeniyle de hassas olabilir, dolayısıyla en yüksek düzeydeki hassas grubu belirleyene kadar aynı işlem yapılmalıdır).To understand why an account is sensitive you can review its group membership to understand which sensitive groups it belongs to (the group that it belongs to can also be sensitive due to another group, so the same process should be performed until you locate the highest level sensitive group). Ayrıca, hesapları gizli olarakel ile etiketleyebilirsiniz.You can also manually tag accounts as sensitive.

Kendi kurallarınızı yazmanız ve bir eşik/temel oluşturmanız gerekiyor mu?Do you have to write your own rules and create a threshold/baseline?

Azure Gelişmiş tehdit koruması ile kural, eşik veya taban çizgileri oluşturmanız ve ardından ince ayar yapmanız gerekmez.With Azure Advanced Threat Protection, there is no need to create rules, thresholds, or baselines and then fine-tune. Azure ATP, kullanıcılar, cihazlar ve kaynaklar arasındaki davranışları ve birbiriyle ilişkilerini analiz eder ve kuşkulu etkinlikleri ve bilinen saldırıları hızla tespit edebilir.Azure ATP analyzes the behaviors among users, devices, and resources, as well as their relationship to one another, and can detect suspicious activity and known attacks quickly. Dağıtımdan üç hafta sonra Azure ATP, davranış şüpheli etkinliklerini algılamaya başlar.Three weeks after deployment, Azure ATP starts to detect behavioral suspicious activities. Öte yandan Azure ATP, dağıtımdan sonra bilinen kötü amaçlı saldırıları ve güvenlik sorunlarını algılamaya başlar.On the other hand, Azure ATP will start detecting known malicious attacks and security issues immediately after deployment.

Azure ATP, etki alanı denetleyicilerinden ağda hangi trafiği oluşturur ve neden?Which traffic does Azure ATP generate in the network from domain controllers, and why?

Azure ATP, etki alanı denetleyicilerinden Şirket içindeki bilgisayarlara üç senaryodan birindeki trafik oluşturur:Azure ATP generates traffic from domain controllers to computers in the organization in one of three scenarios:

  1. Ağ adı çözümlemeNetwork Name resolution
    Azure ATP, trafiği ve olayları yakalar, ağdaki kullanıcıları ve bilgisayar etkinliklerini öğreniyor ve profilleme.Azure ATP captures traffic and events, learning and profiling users and computer activities in the network. Kuruluştaki bilgisayarlara göre etkinlik öğrenilmesi ve profili eklemek için, Azure ATP 'nin IP 'Leri bilgisayar hesaplarına çözümlemesi gerekir.To learn and profile activities according to computers in the organization, Azure ATP needs to resolve IPs to computer accounts. IP adreslerini bilgisayar adlarına çözümlemek için Azure ATP sensörleri IP adresinin arkasında BILGISAYAR adının IP adresini ister.To resolve IPs to computer names Azure ATP sensors request the IP address for the computer name behind the IP address.

    İstekler dört yöntemden biri kullanılarak yapılır:Requests are made using one of four methods:

    • RPC üzerinden NTLM (TCP Bağlantı Noktası 135)NTLM over RPC (TCP Port 135)
    • NetBIOS (UDP bağlantı noktası 137)NetBIOS (UDP port 137)
    • RDP (TCP bağlantı noktası 3389)RDP (TCP port 3389)
    • IP adresinin ters DNS aramasını kullanarak DNS sunucusunu sorgulama (UDP 53)Query the DNS server using reverse DNS lookup of the IP address (UDP 53)

    Bilgisayar adı alındıktan sonra, Azure ATP sensörlerinden aynı bilgisayar adına sahip bağıntılı bir bilgisayar nesnesi olup olmadığını görmek için Active Directory Ayrıntılar çapraz denetlenir.After getting the computer name, Azure ATP sensors cross check the details in Active Directory to see if there is a correlated computer object with the same computer name. Bir eşleşme bulunursa, IP adresi ile eşleşen bilgisayar nesnesi arasında bir ilişkilendirme yapılır.If a match is found, an association is made between the IP address and the matched computer object.

  2. Yan yana hareket yolu (LMP)Lateral Movement Path (LMP)
    Hassas kullanıcılara potansiyel LMPs 'lar oluşturmak için, Azure ATP, bilgisayarlardaki yerel Yöneticiler hakkında bilgi gerektirir.To build potential LMPs to sensitive users, Azure ATP requires information about the local administrators on computers. Bu senaryoda, Azure ATP algılayıcısı, bilgisayarın yerel yöneticilerini belirleyebilmek üzere ağ trafiğinde tanımlanan IP adresini sorgulamak için SAM-R (TCP 445) kullanır.In this scenario, the Azure ATP sensor uses SAM-R (TCP 445) to query the IP address identified in the network traffic, in order to determine the local administrators of the computer. Azure ATP ve SAM-R hakkında daha fazla bilgi edinmek için bkz. Sam-r gerekli Izinleri yapılandırma.To learn more about Azure ATP and SAM-R, See Configure SAM-R required permissions.

  3. Varlık verileri için LDAP kullanarak Active Directory sorgulamaQuerying Active Directory using LDAP for entity data
    Azure ATP sensörleri, etki alanı denetleyicisini varlığın ait olduğu etki alanından sorgular.Azure ATP sensors query the domain controller from the domain where the entity belongs. Aynı algılayıcı veya bu etki alanındaki başka bir etki alanı denetleyicisi olabilir.It can be the same sensor, or another domain controller from that domain.

ProtokolProtocol HizmetService Bağlantı NoktasıPort KaynakSource YönDirection
LDAPLDAP TCP ve UDPTCP and UDP 389389 Etki alanı denetleyicileriDomain controllers GidenOutbound
Güvenli LDAP (LDAPS)Secure LDAP (LDAPS) TCPTCP 636636 Etki alanı denetleyicileriDomain controllers GidenOutbound
LDAP - Genel KatalogLDAP to Global Catalog TCPTCP 32683268 Etki alanı denetleyicileriDomain controllers GidenOutbound
LDAPS - Genel KatalogLDAPS to Global Catalog TCPTCP 32693269 Etki alanı denetleyicileriDomain controllers GidenOutbound

Etkinlikler her zaman hem kaynak kullanıcıyı hem de bilgisayarı göstersin mi?Why don't activities always show both the source user and computer?

Azure ATP birçok farklı protokolde etkinlikleri yakalar.Azure ATP captures activities over many different protocols. Bazı durumlarda, Azure ATP, kaynak kullanıcının verilerini trafikte almaz.In some cases, Azure ATP doesn't receive the data of the source user in the traffic. Azure ATP Kullanıcı oturumunu etkinliğe ilişkilendirmeyi dener ve deneme başarılı olduğunda etkinliğin kaynak kullanıcısı görüntülenir.Azure ATP attempts to correlate the session of the user to the activity, and when the attempt is successful, the source user of the activity is displayed. Kullanıcı bağıntısı başarısız olduğunda, yalnızca kaynak bilgisayar görüntülenir.When user correlation attempts fail, only the source computer is displayed.

Sorun gidermeTroubleshooting

Azure ATP algılayıcısı veya tek başına algılayıcı başlamazsa ne yapmam gerekir?What should I do if the Azure ATP sensor or standalone sensor doesn't start?

Geçerli hata günlüğünde en son hataya bakın (Azure ATP 'Nin "Logs" klasörü altında yüklü olduğu yer).Look at the most recent error in the current error log (Where Azure ATP is installed under the "Logs" folder).

Ayrıca bkz:See Also