Uç Nokta için Microsoft Defender Cihazlar listesindeki cihazları araştırma

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 2
• Microsoft Defender XDR

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Uyarıyla veya ihlalin olası kapsamıyla ilgili olabilecek diğer davranışları veya olayları belirlemek için belirli bir cihazda tetiklenen uyarının ayrıntılarını araştırın.

Not

Araştırma veya yanıt sürecinin bir parçası olarak bir cihazdan araştırma paketi toplayabilirsiniz. Şu şekilde yapılır: Cihazlardan araştırma paketi toplayın.

Etkilenen cihazları portalda her gördüğünüzde seçerek ilgili cihazla ilgili ayrıntılı bir rapor açabilirsiniz. Etkilenen cihazlar aşağıdaki alanlarda tanımlanır:

• Cihazlar listesi
• Uyarı sırası
• Tek tek uyarılar
• Tek tek dosya ayrıntıları görünümü
• Herhangi bir IP adresi veya etki alanı ayrıntıları görünümü

Belirli bir cihazı araştırdığınızda şunları görürsünüz:

• Cihaz ayrıntıları
• Yanıt eylemleri
• Sekmeler (genel bakış, uyarılar, zaman çizelgesi, güvenlik önerileri, yazılım envanteri, bulunan güvenlik açıkları, eksik KB'ler)
• Kartlar (etkin uyarılar, oturum açmış kullanıcılar, güvenlik değerlendirmesi, cihaz sistem durumu)

Not

Ürün kısıtlamaları nedeniyle, cihaz profili 'Son Görülme' zaman çerçevesini belirlerken (cihaz sayfasında da görüldüğü gibi) tüm siber kanıtları dikkate almaz. Örneğin, makinenin zaman çizelgesinde daha yeni uyarılar veya veriler bulunsa bile Cihaz sayfasındaki 'Son görülme' değeri daha eski bir zaman dilimi gösterebilir.

Cihaz ayrıntıları

Cihaz ayrıntıları bölümünde cihazın etki alanı, işletim sistemi ve sistem durumu gibi bilgiler sağlanır. Cihazda bir araştırma paketi varsa paketi indirmenize olanak tanıyan bir bağlantı görürsünüz.

Yanıt eylemleri

Yanıt eylemleri belirli bir cihaz sayfasının üst kısmında çalışır ve şunları içerir:

• Haritada görüntüle
• Cihaz değeri
• Kritikliği ayarlama
• Etiketleri yönetin
• Cihazı yalıtma
• Uygulama yürütmeyi kısıtlayın
• Antivirüs taraması başlat
• Soruşturma paketini toplayın
• Canlı Yanıt Oturumu Başlat
• Otomatik araştırma başlatma
• Tehdit uzmanına danışın
• İşlem merkezi

yanıt eylemlerini İşlem merkezinde, belirli bir cihaz sayfasında veya belirli bir dosya sayfasında gerçekleştirebilirsiniz.

Cihazda eylem gerçekleştirme hakkında daha fazla bilgi için bkz. Cihazda yanıt eylemi gerçekleştirme.

Daha fazla bilgi için bkz . Kullanıcı varlıklarını araştırma.

Not

Haritada görüntüle ve kritikliği ayarla, şu anda genel önizleme aşamasında olan Microsoft Exposure Management'ın özellikleridir.

Sekme

Sekmeler, cihazla ilgili ilgili güvenlik ve tehdit önleme bilgilerini sağlar. Her sekmede, sütun üst bilgilerinin üstündeki çubuktan Sütunları özelleştir'i seçerek gösterilen sütunları özelleştirebilirsiniz.

Genel bakış

Genel Bakış sekmesinde etkin uyarıların, oturum açmış kullanıcıların ve güvenlik değerlendirmesinin kartları görüntülenir.

Olaylar ve uyarılar

Olaylar ve uyarılar sekmesi, cihazla ilişkili olayların ve uyarıların listesini sağlar. Bu liste Uyarılar kuyruğunun filtrelenmiş bir sürümüdür ve olayın kısa bir açıklamasını, uyarıyı, önem derecesini (yüksek, orta, düşük, bilgilendirici), kuyruktaki durumu (yeni, devam ediyor, çözüldü), sınıflandırmayı (ayarlanmamış, yanlış uyarı, doğru uyarı), araştırma durumunu, uyarı kategorisini, uyarıyı ele alan kişiyi ve son etkinliği gösterir. Uyarıları da filtreleyebilirsiniz.

Bir uyarı seçildiğinde, bir açılır öğe görüntülenir. Bu panelden uyarıyı yönetebilir ve olay numarası ve ilgili cihazlar gibi diğer ayrıntıları görüntüleyebilirsiniz. Aynı anda birden çok uyarı seçilebilir.

Uyarının tam sayfa görünümünü görmek için uyarının başlığını seçin.

Zaman çizelgesi

Zaman Çizelgesi sekmesi, cihazda gözlemlenen olayların ve ilişkili uyarıların kronolojik bir görünümünü sağlar. Bu, cihazla ilgili olarak tüm olayları, dosyaları ve IP adreslerini ilişkilendirmenize yardımcı olabilir.

Zaman çizelgesi ayrıca belirli bir süre içinde gerçekleşen olaylara seçmeli olarak detaya gitmenizi sağlar. Seçili bir zaman aralığında bir cihazda gerçekleşen olayların zamansal sırasını görüntüleyebilirsiniz. Görünümünüzü daha fazla denetlemek için olay gruplarına göre filtreleyebilir veya sütunları özelleştirebilirsiniz.

Not

Güvenlik duvarı olaylarının görüntülenmesi için denetim ilkesini etkinleştirmeniz gerekir. Bkz. Denetim Filtreleme Platformu bağlantısı.

Güvenlik duvarı aşağıdaki olayları kapsar:

• 5025 - Güvenlik duvarı hizmeti durduruldu
• 5031 - Uygulamanın ağda gelen bağlantıları kabul etme engeli
• 5157 - engellenen bağlantı

İşlevlerden bazıları şunlardır:

• Belirli olaylar için Arama
  • Belirli zaman çizelgesi olaylarını aramak için arama çubuğunu kullanın.
• Belirli bir tarihteki olayları filtreleme
  • Son gün, hafta, 30 gün veya özel aralıktaki etkinlikleri görüntülemek için tablonun sol üst kısmındaki takvim simgesini seçin. Varsayılan olarak, cihaz zaman çizelgesi son 30 güne ait olayları görüntüleyecek şekilde ayarlanır.
  • Bölümü vurgulayarak zaman çizelgesini kullanarak belirli bir ana atlayın. Zaman çizelgesindeki oklar otomatik araştırmalara işaret eder
• Ayrıntılı cihaz zaman çizelgesi olaylarını dışarı aktarma
  • Geçerli tarih veya belirtilen tarih aralığı için cihaz zaman çizelgesini yedi güne kadar dışarı aktarın.

Bazı olaylar hakkında daha fazla bilgi Ek bilgiler bölümünde verilmiştir. Bu ayrıntılar olayın türüne bağlı olarak değişiklik gösterir, örneğin:

• Application Guard tarafından kapsanan - web tarayıcısı olayı yalıtılmış bir kapsayıcı tarafından kısıtlandı
• Etkin tehdit algılandı - tehdit çalışırken tehdit algılama oluştu
• Düzeltme başarısız - algılanan tehdidi düzeltme girişimi çağrıldı ancak başarısız oldu
• Düzeltme başarılı - algılanan tehdit durduruldu ve temizlendi
• Uyarı kullanıcı tarafından atlandı - Windows Defender SmartScreen uyarısı bir kullanıcı tarafından kapatıldı ve geçersiz kılındı
• Şüpheli betik algılandı - çalışan kötü amaçlı olabilecek bir betik bulundu
• Uyarı kategorisi - olay bir uyarının oluşturulmasına yol açtıysa, uyarı kategorisi (örneğin, YanAl Hareket) sağlanır

Olay ayrıntıları

Bu olayla ilgili ayrıntıları görüntülemek için bir olay seçin. Genel olay bilgilerini göstermek için bir panel görüntülenir. Uygun olduğunda ve veriler kullanılabilir olduğunda, ilgili varlıkları ve ilişkilerini gösteren bir grafik de gösterilir.

Olayı ve ilgili olayları daha fazla incelemek için, ilgili olayları avla'yı seçerek hızlı bir şekilde gelişmiş bir avcılık sorgusu çalıştırabilirsiniz. Sorgu, seçilen olayı ve aynı uç noktada aynı anda gerçekleşen diğer olayların listesini döndürür.

Güvenlik önerileri

Güvenlik önerileri Uç Nokta için Microsoft Defender Güvenlik Açığı Yönetimi özelliğinden oluşturulur. Öneri seçildiğinde, önerinin açıklaması ve önerinin yapılmamasıyla ilişkili olası riskler gibi ilgili ayrıntıları görüntüleyebileceğiniz bir panel gösterilir. Ayrıntılar için bkz . Güvenlik önerisi .

Güvenlik ilkeleri

Güvenlik ilkeleri sekmesi, cihaza uygulanan uç nokta güvenlik ilkelerini gösterir. İlkelerin, türün, durumun ve son iade zamanının listesini görürsünüz. İlkenin adını seçtiğinizde ilke ayarları durumunu, uygulanan cihazları ve atanan grupları görebileceğiniz ilke ayrıntıları sayfasına gidebilirsiniz.

Yazılım envanteri

Yazılım envanteri sekmesi, cihazdaki yazılımları ve tüm zayıflıkları veya tehditleri görüntülemenizi sağlar. Yazılımın adını seçtiğinizde güvenlik önerilerini, bulunan güvenlik açıklarını, yüklü cihazları ve sürüm dağıtımını görüntüleyebileceğiniz yazılım ayrıntıları sayfasına yönlendirilirsiniz. Ayrıntılar için bkz . Yazılım envanteri .

Bulunan güvenlik açıkları

Bulunan güvenlik açıkları sekmesi cihazda bulunan güvenlik açıklarının adını, önem derecesini ve tehdit içgörülerini gösterir. Belirli bir güvenlik açığını seçerseniz bir açıklama ve ayrıntılar görürsünüz.

Eksik KB'ler

Eksik KB'ler sekmesinde cihaz için eksik güvenlik güncelleştirmeleri listelenir.

Kart

Etkin uyarılar

Azure Gelişmiş Tehdit Koruması kartı, Kimlik için Microsoft Defender özelliğini kullanıyorsanız ve etkin uyarılar varsa cihazla ve bunların risk düzeyiyle ilgili uyarılara üst düzey bir genel bakış görüntüler. Uyarılar detayına gitme bölümünde daha fazla bilgi bulabilirsiniz.

Not

Bu özelliği kullanmak için hem Kimlik için Microsoft Defender hem de Uç Nokta için Defender'da tümleştirmeyi etkinleştirmeniz gerekir. Uç Nokta için Defender'da bu özelliği gelişmiş özelliklerde etkinleştirebilirsiniz. Gelişmiş özellikleri etkinleştirme hakkında daha fazla bilgi için bkz. Gelişmiş özellikleri etkinleştirme.

Oturum açan kullanıcılar

Oturum açan kullanıcılar kartı, son 30 gün içinde en sık ve en az sıklıkta oturum açan kullanıcı sayısını gösterir. Tüm kullanıcıları görüntüle bağlantısının seçilmesi, kullanıcı türü, oturum açma türü ve kullanıcının ilk ve son görüldüğü zaman gibi bilgileri görüntüleyen ayrıntılar bölmesini açar. Daha fazla bilgi için bkz . Kullanıcı varlıklarını araştırma.

Not

'En sık' kullanıcı değeri yalnızca etkileşimli olarak başarıyla oturum açan kullanıcıların kanıtlarına göre hesaplanır. Ancak , Tüm kullanıcılar yan bölmesi her türlü kullanıcı oturum açma işlemini hesaplar, böylece bu kullanıcıların etkileşimli olmayabilecekleri göz önüne alındığında, yan bölmede daha sık kullanıcı görülmesi beklenir.

Güvenlik değerlendirmeleri

Güvenlik değerlendirmeleri kartı genel açığa çıkarma düzeyini, güvenlik önerilerini, yüklü yazılımları ve bulunan güvenlik açıklarını gösterir. Bir cihazın maruz kalma düzeyi, bekleyen güvenlik önerilerinin birikmeli etkisine göre belirlenir.

Cihaz durumu

Cihaz sistem durumu kartı, belirli bir cihaz için özetlenmiş bir sistem durumu raporu gösterir. Cihazın genel durumunu belirtmek için kartın üst kısmında aşağıdaki iletilerden biri görüntülenir (en yüksek ve en düşük önceliğe göre listelenir):

• Defender Virüsten Koruma etkin değil
• Güvenlik bilgileri güncel değil
• Altyapı güncel değil
• Hızlı tarama başarısız oldu
• Tam tarama başarısız oldu
• Platform güncel değil
• Güvenlik bilgileri güncelleştirme durumu bilinmiyor
• Altyapı güncelleştirme durumu bilinmiyor
• Hızlı tarama durumu bilinmiyor
• Tam tarama durumu bilinmiyor
• Platform güncelleştirme durumu bilinmiyor
• Cihaz güncel
• macOS & Linux için durum kullanılamıyor

Karttaki diğer bilgiler şunlardır: son tam tarama, son hızlı tarama, güvenlik bilgileri güncelleştirme sürümü, altyapı güncelleştirme sürümü, platform güncelleştirme sürümü ve Defender Virüsten Koruma modu.

Gri daire, verilerin bilinmediğini gösterir.

Not

macOS ve Linux cihazları için genel durum iletisi şu anda 'MacOS & Linux için durum kullanılamıyor' olarak görünüyor. Şu anda durum özeti yalnızca Windows cihazları için kullanılabilir. Tablodaki diğer tüm bilgiler, desteklenen tüm platformlar için her cihaz sistem durumu sinyalinin tek tek durumlarını göstermek için günceldir.

Cihaz sistem durumu raporunun ayrıntılı bir görünümünü elde etmek için Raporlar > Cihazları sistem durumu'na gidebilirsiniz. Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender'de cihaz durumu ve uyumluluk raporu.

Not

Defender Virüsten Koruma modunun tarih ve saati şu anda kullanılamıyor.

İlgili makaleler

• Uç Nokta için Microsoft Defender Uyarıları kuyruğu görüntüleme ve düzenleme
• Uç Nokta için Microsoft Defender uyarılarını yönetme
• Uç Nokta için Microsoft Defender uyarılarını araştırma
• Uç Nokta için Defender uyarısıyla ilişkilendirilmiş bir dosyayı araştırma
• Uç Nokta için Defender uyarısıyla ilişkilendirilmiş bir IP adresini araştırma
• Uç Nokta için Defender uyarısıyla ilişkilendirilmiş bir etki alanını araştırma
• Uç Nokta için Defender'da kullanıcı hesabını araştırma
• Güvenlik önerisi
• Yazılım envanteri

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.