Microsoft 365 Defender’daki Live Response özelliği

May 3, 2025
Cyber Security

Microsoft 365 Defender’daki Canlı Yanıt (Live Response) özelliği, Uç Nokta için Microsoft Defender (MDE) ve Microsoft Uç Nokta Veri Kaybı Önleme (MEIDP) tarafından işlenen ve izlenen olayları belirlemede kullanışlı bir araçtır. İşte bu olayları tespit etmek için Live Response kullanımı;

Canlı Yanıt ile İşlenen Olayları Belirleme Yöntemleri

a) İşlem Merkezi (Action Center) İncelemesi

  • M365 Defender Portal > İşlem Merkezi’nde denetlenmiş Canlı Yanıt komutlarını ve yürütülen işlemleri görüntüleyebilirsiniz.

  • Burada, MDE ve MEIDP’nin hangi olayları işlediğine dair geçmiş komut günlükleri ve eylemler listelenir.

b) MDE API Kullanımı

MDE API ile makine eylemlerini ve Canlı Yanıt isteklerini sorgulayarak işlenen olayların kapsamlı bir listesini alabilirsiniz.

Örneğin:

GET https://api.securitycenter.microsoft.com/api/machineactions

API yanıtları, hangi olayların işlendiğine dair detaylar içerir (örneğin, virüsten koruma taramaları, DLP ihlalleri).

Canlı Yanıt Komut Dosyaları ile Log Toplama

  • Canlı Yanıt oturumunda aşağıdaki komutlarla belirli olay günlüklerini toplayabilirsiniz:

    • Get-MpThreatDetection: Defender Virüsten Koruma tehdit kayıtlarını listeler.

    • Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational": Defender günlüklerini çeker.

    • Get-WinEvent -LogName "Microsoft-Windows-DLP/Operational": MEIDP olaylarını kontrol eder.

    • Get-NetEventPacketCapture: Ağ izleme verilerini görüntüler.

MDE ve MEIDP Tarafından İşlenen Olay Türleri

Aşağıdaki olaylar genellikle MDE ve MEIDP tarafından otomatik olarak işlenir ve Canlı Yanıt ile sorgulanabilir:

 Sensör & Cihaz Sağlığı Kayıtları

  • Cihazın MDE’ye bağlantı durumu, sinyal kayıpları, sensör hataları.

 Microsoft Defender Virüsten Koruma Günlükleri

  • Kötü amaçlı yazılım tespitleri, engellenen tehditler, tarama sonuçları.

 Veri Kaybı Önleme (DLP) Olayları

  • Hassas veri sızıntıları, politik ihlaller, şifrelenmemiş veri transferleri.

 Ağ ve Windows Filtre Platformu (WFP) Kayıtları

  • Şüpheli ağ bağlantıları, engellenen trafik, güvenlik duvarı kuralları ihlalleri.

 Diğer Windows Olayları

  • Process Creation (4688): Şüpheli işlem başlatmaları.

  • PowerShell Script Block Logging (4104): Kötü amaçlı komut dosyası çalıştırma girişimleri.

  • Registry Modifications: Kritik kayıt defteri değişiklikleri.

Microsoft Sentinel Entegrasyonu

  • Sentinel’de MDE ve MEIDP olaylarını SecurityAlert veya DeviceEvents tablolarından sorgulayarak merkezi izleme yapabilirsiniz.

SecurityAlert 
| where ProviderName contains "Microsoft Defender" 
| summarize count() by AlertName

Not: Günlük Saklama Süreleri: Canlı Yanıt ile toplanan verilerin saklama süresi, Microsoft 365 lisansınıza göre değişir (örneğin, E5’te 30 gün).Canlı Yanıt, MDE ve MEIDP’nin işlediği olayları gerçek zamanlı olarak incelemek için güçlü bir araçtır. İşlem Merkezi, API sorguları ve özel komut dosyaları ile kapsamlı bir izleme sağlayabilirsiniz. Kurulumunuza özgü detaylar için Microsoft Docs’u kontrol etmeniz önerilir.