WDATP Client Endpoint Management

Windows Defender ATP çalışmaları sırasında sıkça karşılaştığım bir soru, istemcilerin servise raporlamaya başlamaları için yapılabilecek konfigürasyonlarla ilgiliydi. Özellikle makine üzerinde çalıştırılarak onboarding işlemini yapan script ile Configuration Manager üzerinde çalıştırılabilecek olan scriptler arasındaki fark veya local scriptin  herhangi bir yazılım dağıtım aracı ile dağıtılıp dağıtılamayacağı konusuydu.

wdatp-endpoint management

Local Script ile SCCM 2012 R2 üzerinde çalıştırılabilecek olan scripti karşılaştırdığımızda temel farkın raporlama frekansından kaynaklandığını gözlemlemek mümkün.

“HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection” alanındaki "latency" değerini “Normal” veya “Expedite” olarak tanımlamak mümkün. Local Script üzerinde yer alan “Normal” değerini “Expedite” olarak değiştirerek yaygınlaştırma için kullanmak mümkün olacaktır.