Configurar el sensor de Microsoft Defender for Identity
En este artículo, aprenderá a configurar correctamente la configuración del sensor de Microsoft Defender for Identity para empezar a ver los datos. Deberá realizar una configuración e integración adicionales para aprovechar las funcionalidades completas de Defender for Identity.
Visualización y configuración de los valores del sensor
Una vez instalado el sensor de Defender for Identity, haga lo siguiente para ver y configurar el sensor de Defender for Identity:
En Microsoft Defender XDR, vaya a Configuraciones>Identidades>Sensores. Por ejemplo:
En la página Sensores se muestran todos los sensores de Defender for Identity y se enumeran los detalles siguientes por sensor:
- Sensor name (Nombre del sensor)
- Pertenencia al dominio del sensor
- Número de versión del sensor
- Si se deben retrasar las actualizaciones
- Estado de servicio del sensor
- Estado del sensor
- Estado de mantenimiento del sensor
- Número de problemas de mantenimiento
- Cuando se creó el registro
Consulte los Detalles del sensor para obtener más información.
Seleccione Filtros para seleccionar los filtros que desea ver. Por ejemplo:
Use los filtros mostrados para determinar qué sensores se van a mostrar. Por ejemplo:
Seleccione un sensor para mostrar un panel de detalles con más información sobre el sensor y su estado de mantenimiento. Por ejemplo:
Desplácese hacia abajo y seleccione Administrar sensor para mostrar un panel donde puede configurar los detalles del sensor. Por ejemplo:
Configure los siguientes detalles del sensor:
Nombre Descripción Descripción Opcional. Escriba una descripción para el sensor de Defender for Identity. Controladores de dominio (FQDN) Necesario para los sensores independientes de Defender for Identity y los sensores instalados en los servidores de AD FS o AD CS, y no se puede modificar para el sensor de Defender for Identity.
Escriba el FQDN completo del controlador de dominio y seleccione el signo más para agregarlo a la lista. Por ejemplo, DC1.domain1.test.local.
Para los servidores que defina en la lista Controladores de dominio:
- Todos los controladores de dominio cuyo tráfico se supervisa mediante la creación de reflejo del sensor independiente de Defender for Identity deben aparecer en la lista Controladores de dominio. Si un controlador de dominio no aparece en la lista Controladores de dominio, es posible que la detección de actividades sospechosas no funcione según lo previsto.
- Al menos un controlador de dominio de la lista debe ser un catálogo global. Esto permite a Defender for Identity resolver objetos de proceso y usuario en otros dominios del bosque.Captura de adaptadores de red Necesario.
- Para los sensores de Defender for Identity, todos los adaptadores de red que se usan para la comunicación con otros equipos de la organización.
- Para un sensor independiente de Defender for Identity en un servidor dedicado, seleccione los adaptadores de red configurados como puerto reflejado de destino. Estos adaptadores de red reciben el tráfico del controlador de dominio reflejado.En la página Sensores, seleccione Exportar para exportar una lista de sus sensores a un archivo .csv. Por ejemplo:
Validar las instalaciones
Use los procedimientos siguientes para validar la instalación del sensor de Defender for Identity.
Nota:
Si va a instalar en un servidor de AD FS o AD CS, usará un conjunto diferente de validaciones. Para obtener más información, vea Validar la implementación correcta en servidores de AD FS/AD CS.
Validación correcta de la implementación
Para validar que el sensor de Defender for Identity se haya implementado correctamente:
Compruebe que el servicio de sensor Azure Advanced Threat Protection se está ejecutando en la máquina del sensor. Después de guardar la configuración del sensor de Defender for Identity, el servicio puede tardar unos segundos en iniciarse.
Si el servicio no se inicia, revise el archivo Microsoft.Tri.sensor-Errors.log, ubicado de forma predeterminada en
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs
, donde<sensor version>
es la versión que implementó.
Comprobación de la funcionalidad de alertas de seguridad
En esta sección se describe cómo puede comprobar que las alertas de seguridad se desencadenen según lo previsto.
Al usar los ejemplos de los pasos siguientes, asegúrese de reemplazar contosodc.contoso.azure
y contoso.azure
por el FQDN del sensor de Defender for Identity y el nombre de dominio respectivamente.
En un dispositivo unido a un miembro, abra un símbolo del sistema y escriba
nslookup
Escriba
server
y el FQDN o la dirección IP del controlador de dominio donde está instalado el sensor de Defender for Identity. Por ejemplo:server contosodc.contoso.azure
Escriba
ls -d contoso.azure
.Repita los dos pasos anteriores para cada sensor que quiera probar.
Acceda a la página de detalles del dispositivo para el equipo desde el que ejecutó la prueba de conectividad, por ejemplo, desde la página Dispositivos, buscando el nombre del dispositivo o desde cualquier otra parte del portal de Defender.
En la pestaña de detalles del dispositivo, seleccione la pestaña Escala de tiempo para ver la siguiente actividad:
- Eventos: consultas DNS realizadas en un nombre de dominio especificado
- Tipo de acción MdiDnsQuery
Si el controlador de dominio o AD FS / AD CS que está probando es el primer sensor que ha implementado, espere al menos 15 minutos antes de comprobar cualquier actividad lógica para ese controlador de dominio, lo que permite que el back-end de base de datos complete las implementaciones iniciales de microservicios.
Comprobación de la versión más reciente del sensor disponible
La versión de Defender for Identity se actualiza con frecuencia. Busque la versión más reciente en la página de Microsoft Defender XDR Configuraciones>Identidades>Acerca de.
Contenido relacionado
Ahora que ha configurado los pasos de configuración iniciales, puede configurar más opciones. Vaya a cualquiera de las páginas siguientes para obtener más información:
- Establecer etiquetas de entidad: confidencial, honeytoken y servidor Exchange
- Configuración de exclusiones de detección
- Configuración de notificaciones: problemas de mantenimiento, alertas y Syslog