Správa a aktualizace senzorů Microsoft Defenderu for Identity

Tento článek vysvětluje, jak nakonfigurovat a spravovat senzory Microsoft Defenderu for Identity v XDR v programu Microsoft Defender.

Zobrazení nastavení a stavu senzoru identity v Defenderu pro identity

1. V XDR v programu Microsoft Defender přejděte na Nastavení a pak identity.

   

2. Vyberte stránku Senzory, která zobrazuje všechny senzory defenderu pro identity. U každého senzoru uvidíte jeho název, členství v doméně, číslo verze, pokud by se aktualizace měly zpozdit, stav služby, stav senzoru, stav, počet problémů se stavem a kdy byl senzor vytvořen. Podrobnosti o jednotlivých sloupcích najdete v podrobnostech senzoru.

   

3. Pokud vyberete Filtry, můžete zvolit, které filtry budou k dispozici. Pak můžete s každým filtrem zvolit, které senzory se mají zobrazit.

   

   

4. Pokud vyberete některý ze senzorů, zobrazí se v podokně informace o senzoru a jeho stavu.

   

5. Pokud vyberete některý z problémů se stavem, zobrazí se podokno s dalšími podrobnostmi o nich. Pokud zvolíte uzavřený problém, můžete ho tady znovu otevřít.

   

6. Pokud vyberete Spravovat senzor, otevře se podokno, kde můžete nakonfigurovat podrobnosti o senzoru.

   

   

7. Na stránce Senzory můžete seznam senzorů exportovat do souboru .csv výběrem možnosti Exportovat.

   

Podrobnosti o senzoru

Stránka senzorů obsahuje následující informace o každém senzoru:

• Senzor: Zobrazí název počítače NetBIOS senzoru.

• Typ: Zobrazí typ senzoru. Možné hodnoty jsou:

  • Senzor řadiče domény

  • Senzor služby AD FS (Active Directory Federation Services (AD FS))

  • Samostatný senzor

  • Snímač ADCS (Active Directory Certificate Services). Pokud je senzor nainstalovaný na serveru řadiče domény s nakonfigurovanou službou AD CS, například v testovacím prostředí, zobrazí se místo toho jako senzor řadiče domény.

• Doména: Zobrazí plně kvalifikovaný název domény služby Active Directory, ve které je senzor nainstalovaný.

• Stav služby: Zobrazí stav senzorové služby na serveru. Možné hodnoty jsou:

  • Spuštěno: Služba senzoru je spuštěná.

  • Spuštění: Spouští se služba senzoru

  • Zakázáno: Služba senzoru je zakázaná.

  • Zastaveno: Služba senzoru je zastavená.

  • Neznámé: Senzor je odpojený nebo nedostupný

• Stav senzoru: Zobrazí celkový stav senzoru. Možné hodnoty jsou:

  • Aktuální: Senzor používá aktuální verzi senzoru.

  • Zastaralé: Senzor používá verzi softwaru, která je minimálně tři verze za aktuální verzí.

  • Aktualizace: Aktualizuje se software senzoru.

  • Aktualizace se nezdařila: Senzor se nepodařilo aktualizovat na novou verzi.

  • Nenakonfigurováno: Senzor vyžaduje ještě více konfigurace, než bude plně funkční. To platí pro senzory nainstalované na serverech AD FS / AD CS nebo samostatných snímačích.

  • Spuštění se nezdařilo: Senzor nevytáhl konfiguraci déle než 30 minut.

  • Synchronizace: Senzor má čekající aktualizace konfigurace, ale ještě novou konfiguraci nevytáhla.

  • Odpojeno: Během 10 minut se ve službě Defender for Identity nezoznala žádná komunikace z tohoto senzoru.

  • Nedostupný: Řadič domény byl odstraněn ze služby Active Directory. Instalace senzoru se ale neodinstalovala a neodinstalovala z řadiče domény před vyřazením z provozu. Tuto položku můžete bezpečně odstranit.

• Verze: Zobrazí nainstalovanou verzi senzoru.

• Zpožděná aktualizace: Zobrazí stav mechanismu zpožděné aktualizace senzoru. Možné hodnoty jsou:

  • Povolený

  • Disabled

• Stav: Zobrazí celkový stav senzoru s barevnou ikonou představující nejvyšší závažnost otevřené upozornění na stav. Možné hodnoty jsou:

  • V pořádku (zelená ikona): Žádné otevřené problémy se stavem

  • Nezdravé (žlutá ikona):: Problém s nejvyšším otevřeným stavem je nízký.

  • Nezdravé (oranžová ikona):: Největší problém se stavem otevření závažnosti je střední.

  • Nezdravé (červená ikona):: Problém s nejvyšší závažností otevřeného stavu je vysoký.

• Problémy se stavem: Zobrazí počet otevřených problémů se stavem na senzoru.

• Vytvořeno: Zobrazí datum instalace senzoru.

Aktualizace senzorů

Udržování senzorů Microsoft Defenderu for Identity v aktualizovaném stavu poskytuje nejlepší možnou ochranu pro vaši organizaci.

Služba Microsoft Defender for Identity se obvykle několikrát měsíčně aktualizuje o nové detekce, funkce a vylepšení výkonu. Tyto aktualizace obvykle zahrnují odpovídající dílčí aktualizaci senzorů. Balíčky aktualizací snímačů řídí jenom funkce senzoru a detekce senzorů v defenderu for Identity.

Typy aktualizací senzoru služby Defender for Identity

Senzory defenderu for Identity podporují dva druhy aktualizací:

• Aktualizace podverze:

  • Častá
  • Nevyžaduje žádnou instalaci MSI a žádné změny registru.
  • Restarted: Defender for Identity sensor services

• Aktualizace hlavní verze:

  • Vzácný
  • Obsahuje významné změny.
  • Restarted: Defender for Identity sensor services

Poznámka:

• Senzory Defender for Identity si vždy vyhraďte alespoň 15 % dostupné paměti a procesoru na řadiči domény, na kterém je nainstalovaná. Pokud služba Defender for Identity využívá příliš mnoho paměti, služba se automaticky zastaví a restartuje aktualizační službou senzoru služby Defender for Identity.

Zpožděná aktualizace senzoru

Vzhledem k rychlé rychlosti průběžného vývoje a vydávání aktualizací Defenderu for Identity se můžete rozhodnout definovat skupinu podmnožina snímačů jako zpožděný aktualizační kanál, což umožňuje proces postupné aktualizace senzorů. Defender for Identity umožňuje zvolit, jak se senzory aktualizují, a nastavit je jako kandidáta na zpožděnou aktualizaci .

Senzory, které nejsou vybrány pro zpožděnou aktualizaci, se aktualizují automaticky při každé aktualizaci služby Defender for Identity. Senzory nastavené na zpožděnou aktualizaci se aktualizují na zpoždění 72 hodin po oficiálním vydání každé aktualizace služby.

Možnost zpožděné aktualizace umožňuje vybrat konkrétní senzory jako automatický aktualizační kanál, na kterém se všechny aktualizace automaticky nasazují, a nastavit zbývající senzory tak, aby se aktualizovaly na zpoždění. Získáte tak čas, abyste potvrdili, že automaticky aktualizované senzory byly úspěšné.

Poznámka:

Pokud dojde k chybě a senzor se neaktualizuje, otevřete lístek podpory. Další posílení zabezpečení proxy serveru kvůli komunikaci jenom s pracovním prostorem najdete v tématu Konfigurace proxy serveru.

Ověřování mezi vašimi senzory a cloudovou službou Azure využívá silné vzájemné ověřování založené na certifikátech. Klientský certifikát se vytvoří v instalaci senzoru jako certifikát podepsaný svým držitelem, platný po dobu 2 let. Služba Sensor Updater zodpovídá za generování nového certifikátu podepsaného svým držitelem před vypršením platnosti existujícího certifikátu. Certifikáty se zahrnou do 2fázového procesu ověřování proti back-endu, aby se zabránilo situaci, kdy se ověřování přeruší.

Každá aktualizace se testuje a ověřuje ve všech podporovaných operačních systémech, aby způsobila minimální dopad na vaši síť a provoz.

Nastavení senzoru na zpožděnou aktualizaci:

1. Na stránce Senzory vyberte senzor, který chcete nastavit pro zpožděné aktualizace.

2. Vyberte tlačítko Povoleno zpožděné aktualizace.

   

3. V potvrzovací okně vyberte Povolit.

Pokud chcete zakázat zpožděné aktualizace, vyberte senzor a pak vyberte tlačítko Zakázáno zpožděné aktualizace .

Proces aktualizace snímačů

Senzory Defender for Identity kontrolují každých několik minut, jestli mají nejnovější verzi. Jakmile se cloudová služba Defender for Identity aktualizuje na novější verzi, spustí se proces aktualizace ve službě Defender for Identity sensor:

1. Aktualizace cloudové služby Defender for Identity na nejnovější verzi

2. Služba aktualizátoru senzoru služby Defender for Identity zjistí, že existuje aktualizovaná verze.

3. Senzory, které nejsou nastaveny na zpožděnou aktualizaci , spouští proces aktualizace senzorem podle senzorů:

   1. Služba aktualizátoru senzorů služby Defender for Identity načítá aktualizovanou verzi z cloudové služby (ve formátu souboru CAB).
   2. Aktualizátor senzoru služby Defender for Identity ověří podpis souboru.
   3. Služba aktualizátoru senzoru služby Defender for Identity extrahuje soubor CAB do nové složky v instalační složce senzoru. Ve výchozím nastavení se extrahuje do čísla verze C:\Program Files\Azure Advanced Threat Protection Sensor<.>
   4. Služba senzoru defenderu for Identity odkazuje na nové soubory extrahované ze souboru CAB.
   5. Služba aktualizátoru senzoru identity v programu Defender for Identity restartuje službu Senzor služby Defender for Identity.

      Poznámka:

      Dílčí aktualizace snímačů nenainstaluje žádnou MSI, nemění žádné hodnoty registru ani systémové soubory. I čekající restartování nemá vliv na aktualizaci senzoru.

   6. Senzory běží na základě nově aktualizované verze.
   7. Senzor přijímá volný prostor z cloudové služby Azure. Stav senzoru můžete ověřit na stránce Senzory .
   8. Další senzor spustí proces aktualizace.

4. Senzory vybrané pro zpožděnou aktualizaci spustí proces aktualizace 72 hodin po aktualizaci cloudové služby Defender for Identity. Tyto senzory pak budou používat stejný proces aktualizace jako automaticky aktualizované senzory.

Pro každý senzor, který nedokončí proces aktualizace, se aktivuje příslušná výstraha stavu a odešle se jako oznámení.

Bezobslužná aktualizace senzoru Defenderu for Identity

Pomocí následujícího příkazu můžete bezobslužně aktualizovat senzor defenderu pro identitu:

Syntaxe:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Možnosti instalace:

Název	Syntaxe	Mandatory for silent installation?	Popis
Quiet	/quiet	Ano	Spustí instalační program bez zobrazení uživatelského rozhraní a výzev.
Help	/help	No	Provides help and quick reference. Zobrazí správné použití příkazu instalace včetně seznamu všech možností a chování.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Ano	Určuje parametry pro instalaci rozhraní .Net Framework. Je nutné nastavit, aby se vynutil bezobslužná instalace rozhraní .Net Framework.

Příklady:

Aktualizace senzoru Defender for Identity tiše:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Konfigurace nastavení proxy serveru

Při instalaci doporučujeme nakonfigurovat počáteční nastavení proxy serveru pomocí přepínačů příkazového řádku. Pokud budete později potřebovat aktualizovat nastavení proxy serveru, použijte rozhraní příkazového řádku nebo PowerShell.

Pokud jste dříve nakonfigurovali nastavení proxy serveru přes WinINet nebo klíč registru a potřebujete je aktualizovat, budete muset použít stejnou metodu , kterou jste původně použili.

Další informace najdete v tématu Konfigurace proxy koncového bodu a nastavení připojení k internetu.

Další kroky

• Konfigurace předávání událostí
• Požadavky služby Defender for Identity
• Podívejte se na fórum Defender for Identity!