Administración y actualización de sensores de Microsoft Defender for Identity
En este artículo se explica cómo configurar y administrar sensores de Microsoft Defender for Identity en Microsoft Defender XDR.
Visualización de la configuración y el estado del sensor de Defender for Identity
En Microsoft Defender XDR, vaya a Configuraciones y, después a Identidades.
Seleccione la página Sensores, que muestra todos los sensores de Defender for Identity. Para cada sensor, verá su nombre, su pertenencia al dominio, el número de versión, si se deben retrasar las actualizaciones, el estado del servicio, el estado del sensor, el estado de mantenimiento, el número de problemas de mantenimiento y cuándo se creó el sensor. Para obtener más información sobre cada columna, consulte Detalles del sensor.
Si selecciona Filtros, puede elegir qué filtros estarán disponibles. A continuación, con cada filtro puede elegir qué sensores se van a mostrar.
Si selecciona uno de los sensores, se mostrará un panel con información sobre el sensor y su estado de mantenimiento.
Si selecciona cualquiera de los problemas de mantenimiento, obtendrá un panel con más detalles sobre ellos. Si elige un problema cerrado, puede volver a abrirlo desde aquí.
Si selecciona Administrar sensor, se abrirá un panel donde podrá configurar los detalles del sensor.
En la página Sensores, puede exportar la lista de sensores a un archivo .csv seleccionando Exportar.
Detalles del sensor
La página de sensores proporciona la información siguiente sobre cada sensor:
Sensor: muestra el nombre del equipo NetBIOS del sensor.
Tipo: muestra el tipo del sensor. Los valores posibles son:
Sensor del controlador de dominio
Sensor AD FS (Servicios de federación de Active Directory)
Sensor independiente
Sensor ADCS (Servicios de certificados de Active Directory). Si el sensor está instalado en un servidor de controlador de dominio con AD CS configurado, como en un entorno de prueba, el tipo de sensor se muestra como sensor de controlador de dominio en su lugar.
Dominio: muestra el nombre de dominio completo del dominio de Active Directory donde está instalado el sensor.
Estado del servicio: muestra el estado del servicio de sensor en el servidor. Los valores posibles son:
En ejecución: el servicio sensor se está ejecutando
Inicio: se está iniciando el servicio sensor
Deshabilitado: el servicio sensor está deshabilitado
Detenido: se detuvo el servicio del sensor
Desconocido: el sensor está desconectado o inaccesible
Estado del sensor: muestra el estado general del sensor. Los valores posibles son:
Actualizado: el sensor ejecuta una versión actual del sensor.
Obsoleto: el sensor ejecuta una versión del software que es al menos tres versiones detrás de la versión actual.
Actualización: se está actualizando el software del sensor.
Error de actualización: el sensor no pudo actualizar a una nueva versión.
No configurado: el sensor requiere más configuración antes de que esté totalmente operativa. Esto se aplica a los sensores instalados en servidores de AD FS/AD CS o sensores independientes.
Error de inicio: el sensor no extrajo la configuración durante más de 30 minutos.
Sincronización: el sensor tiene actualizaciones de configuración pendientes, pero aún no ha extraído la nueva configuración.
Desconectado: el servicio Defender for Identity no ha detectado ninguna comunicación de este sensor en 10 minutos.
Inaccesible: el controlador de dominio se eliminó de Active Directory. Sin embargo, la instalación del sensor no se desinstaló y quitó del controlador de dominio antes de que se retirara. Puede eliminar esta entrada de forma segura.
Versión: muestra la versión del sensor instalada.
Actualización retrasada: muestra el estado del mecanismo de actualización retrasado del sensor. Los valores posibles son:
habilitado
Disabled
Estado de mantenimiento: muestra el estado de mantenimiento general del sensor con un icono de color que representa la alerta de estado de mantenimiento abierta de gravedad más alta. Los valores posibles son:
Correcto (icono verde): no hay problemas de mantenimiento.
Incorrecto (icono amarillo): el problema de mantenimiento abierto de mayor gravedad es bajo.
Incorrecto (icono naranja): el problema de mantenimiento abierto de mayor gravedad es medio.
Incorrecto (icono rojo): el problema de mantenimiento abierto de mayor gravedad es alto.
Problemas de mantenimiento: muestra el recuento de problemas de mantenimiento abiertos en el sensor.
Creado: muestra la fecha en que se instaló el sensor
Actualización de los sensores
Mantener actualizados los sensores de Microsoft Defender for Identity proporciona la mejor protección posible para su organización.
El servicio Microsoft Defender for Identity se actualiza normalmente varias veces al mes con nuevas detecciones, características y mejoras de rendimiento. Normalmente, estas actualizaciones incluyen una actualización secundaria correspondiente a los sensores. Los sensores de Defender for Identity y las actualizaciones correspondientes nunca tienen permisos de escritura en los controladores de dominio. Los paquetes de actualización del sensor solo controlan el sensor de Defender for Identity y las funciones de detección de sensores.
Tipos de actualización del sensor de Defender for Identity
Los sensores de Defender for Identity admiten dos tipos de actualizaciones:
Actualizaciones de versiones secundarias:
- Frecuente
- No requiere ninguna instalación de MSI y no hay ningún cambio en el registro
- Reiniciado: servicios del sensor de Defender for Identity
Actualizaciones de la versión principal:
- poco frecuente
- Contiene cambios significativos
- Reiniciado: servicios del sensor de Defender for Identity
Nota:
- Los sensores de Defender for Identity siempre reservan al menos el 15% de la memoria disponible y la CPU disponible en el controlador de dominio donde está instalado. Si el servicio Defender for Identity consume demasiada memoria, el servicio se detiene y se reinicia automáticamente mediante el servicio del actualizador de sensores de Defender for Identity.
Actualización retrasada del sensor
Dada la velocidad rápida de las actualizaciones continuas de desarrollo y lanzamiento de Defender for Identity, puede decidir definir un grupo de subconjuntos de los sensores como un anillo de actualización retrasado, lo que permite un proceso de actualización gradual del sensor. Defender for Identity le permite elegir cómo se actualizan los sensores y establecer cada sensor como candidato de actualización retrasada.
Los sensores no seleccionados para la actualización retrasada se actualizan automáticamente, cada vez que se actualiza el servicio Defender for Identity. Los sensores establecidos en Actualización retrasada se actualizan en un retraso de 72 horas, después de la versión oficial de cada actualización del servicio.
La opción de actualización retrasada le permite seleccionar sensores específicos como anillo de actualización automática para que todas las actualizaciones se implementan automáticamente y establecer el resto de los sensores para que se actualicen con retraso, lo que le da tiempo para confirmar que los sensores actualizados automáticamente se realizaron correctamente.
Nota:
Si se produce un error y un sensor no se actualiza, abra una incidencia de soporte técnico. Para proteger aún más el proxy para que solo se comunique con el área de trabajo, consulte Configuración del proxy.
La autenticación entre los sensores y el servicio en la nube de Azure usa una autenticación mutua sólida basada en certificados. El certificado de cliente se crea en la instalación del sensor como un certificado autofirmado, válido durante 2 años. El servicio Sensor Updater es responsable de generar un nuevo certificado autofirmado antes de que expire el certificado existente. Los certificados se inscriben con un proceso de validación de 2 fases en el back-end para evitar una situación en la que un certificado gradual interrumpe la autenticación.
Cada actualización se prueba y valida en todos los sistemas operativos compatibles para provocar un impacto mínimo en la red y las operaciones.
Para establecer un sensor en actualización retrasada:
En la página Sensores, seleccione el sensor que desea establecer para las actualizaciones retrasadas.
Seleccione el botón Actualización retrasada habilitada.
Seleccione Habilitar en la ventana de confirmación.
Para deshabilitar las actualizaciones retrasadas, seleccione el sensor y, a continuación, seleccione el botón Actualización retrasada deshabilitada.
Proceso de actualización del sensor
Cada pocos minutos, los sensores de Defender for Identity comprueban si tienen la versión más reciente. Una vez actualizado el servicio en la nube de Defender for Identity a una versión más reciente, el servicio de sensor de Defender for Identity inicia el proceso de actualización:
El servicio en la nube de Defender for Identity se actualiza a la versión más reciente.
El servicio de actualización de sensores de Defender for Identity advierte que hay una versión actualizada.
Los sensores que no están configurados en Actualización retrasada inician el proceso de actualización en un sensor por sensor:
- El servicio de actualización del sensor de Defender for Identity extrae la versión actualizada del servicio en la nube (en formato de archivo cab).
- El actualizador del sensor de Defender for Identity valida la firma del archivo.
- El servicio de actualización del sensor de Defender for Identity extrae el archivo cab en una nueva carpeta de la carpeta de instalación del sensor. De forma predeterminada, se extrae en C:\Program Files\Azure Advanced Threat Protection Sensor<version number>
- El servicio del sensor de Defender for Identity apunta a los nuevos archivos extraídos del archivo cab.
- El servicio de actualizador de sensor de Defender for Identity reinicia el servicio sensor de Defender for Identity.
Nota:
Las actualizaciones secundarias del sensor no instalan MSI y no cambian ningún valor del registro ni ningún archivo del sistema. Incluso un reinicio pendiente no afecta a una actualización del sensor.
- Los sensores se ejecutan en función de la versión recién actualizada.
- El sensor recibe la autorización del servicio en la nube de Azure. Puede comprobar el estado del sensor en la página Sensores.
- El siguiente sensor inicia el proceso de actualización.
Los sensores seleccionados para la actualización retrasada inician su proceso 72 horas luego de actualización de Defender for Identity. Estos sensores usarán el mismo proceso de actualización que los sensores actualizados automáticamente.
Para cualquier sensor que no complete el proceso de actualización, se desencadena una alerta de mantenimiento pertinente y se envía como notificación.
Actualice en silencio el sensor de Defender for Identity
Use el siguiente comando para actualizar silenciosamente el sensor de Defender for Identity:
Sintaxis:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]
Opciones de instalación:
| Nombre | Sintaxis | Mandatory for silent installation? | Descripción |
|---|---|---|---|
| Silenciosa | /quiet | Sí | Ejecuta el instalador sin mostrar ninguna interfaz de usuario ni avisos. |
| Ayuda | /help | No | Provides help and quick reference. Muestra el uso correcto del comando de instalación, incluida una lista de todas las opciones y los comportamientos. |
| NetFrameworkCommandLineArguments="/q" | NetFrameworkCommandLineArguments="/q" | Sí | Especifica los parámetros de la instalación de .Net Framework. Debe establecerse para aplicar la instalación silenciosa de .Net Framework. |
Ejemplos:
Para actualizar en silencio el sensor de Defender for Identity:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"
Configuración de los valores de proxy
Le recomendamos que configure las opciones iniciales del proxy durante la instalación mediante modificadores de línea de comandos. Si necesita actualizar la configuración del proxy más adelante, utilice CLI or PowerShell.
Si ha configurado previamente su proxy a través de WinINet o de una clave de registro y necesita actualizarlos, tendrá que utilizar el mismo método que utilizó originalmente.
Para más información, consulte Configurar el proxy del punto de conexión y la conectividad de Internet.