Configurer les paramètres de capteur Microsoft Defender pour Identity

Dans cet article, vous allez apprendre à configurer correctement les paramètres de capteur Microsoft Defender pour Identity pour commencer à voir les données. Vous devez effectuer une configuration et une intégration supplémentaires pour tirer parti des fonctionnalités complètes de Defender pour Identity.

Afficher et configurer les paramètres du capteur

Une fois le capteur Defender pour Identity installé, procédez comme suit pour afficher et configurer les paramètres du capteur Defender pour Identity.

  1. Dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

    Option Identités dans la page Paramètres

  2. Sélectionnez la page Capteurs , qui affiche tous vos capteurs Defender pour Identity. Pour chaque capteur, vous verrez son nom, son appartenance au domaine, le numéro de version, si les mises à jour doivent être retardées, l’état du service, l’état du capteur, l’état d’intégrité, le nombre de problèmes d’intégrité et lorsque le capteur a été créé. Pour plus d’informations sur chaque colonne, consultez les détails du capteur.

    Page Capteur.

    Notes

    Pour plus d’informations sur la configuration des mises à jour retardées, consultez Mise à jour différée du capteur.

  3. Si vous sélectionnez Filtres, vous pouvez choisir les filtres qui seront disponibles. Ensuite, avec chaque filtre, vous pouvez choisir les capteurs à afficher.

    Filtres de capteur.

    Capteur filtré

  4. Si vous sélectionnez l’un des capteurs, un volet s’affiche avec des informations sur le capteur et son état d’intégrité.

    Détails du capteur.

  5. Si vous sélectionnez Gérer le capteur, un volet s’ouvre dans lequel vous pouvez configurer les détails du capteur.

    Option Gérer le capteur

    Page sur laquelle vous configurez les paramètres du capteur

    Vous pouvez configurer les détails du capteur suivants :

    • Description : Entrez une description pour le capteur Defender pour Identity (facultatif).

    • Contrôleurs de domaine (FQDN) : cela est requis pour les capteurs Defender pour Identity autonomes et AD FS. (Il ne peut pas être modifié pour le capteur Defender pour Identity.) Entrez le nom de domaine complet de votre contrôleur de domaine et sélectionnez le signe plus pour l’ajouter à la liste. Par exemple, DC1.domain1.test.local.

      Ajouter un contrôleur de domaine.

    Les informations suivantes s’appliquent aux serveurs que vous entrez dans la liste Contrôleurs de domaine :

    • Tous les contrôleurs de domaine dont le trafic est surveillé via la mise en miroir de ports par le capteur autonome Defender pour Identity doivent être répertoriés dans la liste contrôleurs de domaine. Si un contrôleur de domaine ne figure pas dans la liste Contrôleurs de domaine, il est possible que la détection des activités suspectes ne fonctionne pas comme prévu.

    • Au moins un contrôleur de domaine figurant dans la liste doit être un catalogue général. Cela permet à Defender pour Identity de résoudre les objets d’ordinateur et d’utilisateur dans d’autres domaines de la forêt.

    • Adaptateurs de réseau de capture (obligatoire) :

    • Pour les capteurs Defender pour Identity, toutes les cartes réseau utilisées pour la communication avec d’autres ordinateurs de votre organisation.

    • Pour le capteur autonome Defender pour Identity sur un serveur dédié, sélectionnez les cartes réseau configurées en tant que port miroir de destination. Ces cartes réseau reçoivent le trafic du contrôleur de domaine mis en miroir.

  6. Dans la page Capteurs , vous pouvez exporter votre liste de capteurs vers un fichier .csv en sélectionnant Exporter.

    Liste d’exportation des capteurs

Valider les installations

Pour vérifier que le capteur Defender pour Identity a été correctement déployé, vérifiez les éléments suivants :

  1. Vérifiez que le service nommé Capteur Azure Advanced Threat Protection est en cours d’exécution. Une fois que vous avez enregistré les paramètres du capteur Defender pour Identity, il peut prendre quelques secondes pour que le service démarre.

  2. Si le service ne démarre pas, examinez le fichier « Microsoft.Tri.sensor-Errors.log » qui se trouve dans le dossier par défaut suivant : « %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs ».

    Notes

    La version de Defender pour Identity met à jour fréquemment, pour vérifier la dernière version, dans le portail Defender pour Identity, accédez à Configuration , puis à propos.

  3. Accédez à votre URL d’instance Defender pour Identity. Dans le portail Defender pour Identity, recherchez quelque chose dans la barre de recherche, par exemple un utilisateur ou un groupe sur votre domaine.

  4. Vérifiez la connectivité Defender pour Identity sur n’importe quel appareil de domaine en procédant comme suit :

    1. Ouvrez une invite de commandes
    2. Tapez nslookup
    3. Tapez le serveur et l’adresse IP du contrôleur de domaine où le capteur Defender pour Identity est installé. Par exemple : server contosodc.contoso.azure
    4. Saisissez ls -d contoso.azure
      • Veillez à remplacer contosodc.contoso.azure et contoso.azure par le nom de domaine complet de votre capteur Defender pour Identity et le nom de domaine respectivement.
    5. Répétez les étapes 3 et 4 pour chaque capteur que vous souhaitez tester.
    6. À partir de la console Defender pour Identity, ouvrez le profil d’entité de l’ordinateur à partir duquel vous avez exécuté le test de connectivité.
    7. Vérifiez l’activité logique associée et confirmez la.

    Notes

    Si le contrôleur de domaine que vous souhaitez tester est votre premier capteur déployé, attendez au moins 15 minutes pour autoriser la base de données principale à terminer le déploiement initial des microservices nécessaires avant d’essayer de vérifier l’activité logique associée pour ce contrôleur de domaine.

Étapes suivantes

Maintenant que vous avez configuré les étapes de configuration initiales, vous pouvez configurer d’autres paramètres. Accédez à l’une des pages ci-dessous pour plus d’informations :