Gérer et mettre à jour les capteurs de Microsoft Defender pour Identity

  • Article

Cet article explique comment configurer et gérer des capteurs Microsoft Defender pour Identity dans Microsoft Defender XDR.

Afficher les paramètres et l’état du capteur Defender pour Identity

  1. Dans Microsoft Defender XDR, accédez à Paramètres, puis à Identités.

    Go to Settings, then Identities.

  2. Sélectionnez la page Capteurs, qui affiche tous vos capteurs Defender pour Identity. Pour chaque capteur, vous verrez son nom, son appartenance au domaine, le numéro de version, si les mises à jour doivent être retardées, l’état du service, l’état du capteur, l’état d’intégrité, le nombre de problèmes d’intégrité et lors de la création du capteur. Pour plus d’informations sur chaque colonne, consultez les détails du capteur.

    Sensor page.

  3. Si vous sélectionnez Filtres, vous pouvez choisir les filtres qui seront disponibles. Ensuite, avec chaque filtre, vous pouvez choisir les capteurs à afficher.

    Sensor filters.

    Filtered sensor.

  4. Si vous sélectionnez l’un des capteurs, un volet s’affiche avec des informations sur le capteur et son état d’intégrité.

    Sensor details.

  5. Si vous sélectionnez l’un des problèmes d’intégrité, vous obtenez un volet contenant plus d’informations sur ces problèmes. Si vous choisissez un problème fermé, vous pouvez le rouvrir à partir d’ici.

    Issue details.

  6. Si vous sélectionnez Gérer le capteur, un volet s’ouvre dans lequel vous pouvez configurer les détails du capteur.

    Manage sensor.

    Configure sensor details.

  7. Dans la page Capteurs, vous pouvez exporter votre liste de capteurs vers un fichier .csv en sélectionnant Exporter.

    Export list of sensors.

Détails du capteur

La page des capteurs fournit les informations suivantes sur chaque capteur :

  • Capteur : affiche le nom de l’ordinateur NetBIOS du capteur.

  • Type : affiche le type du capteur. Les valeurs possibles sont les suivantes :

    • Contrôleur de domaine du capteur

    • Capteur AD FS (Active Directory Federation Services)

    • Capteur autonome

    • Capteur ADCS (Services de certificats Active Directory). Si votre capteur est installé sur un serveur de contrôleur de domaine avec AD CS configuré, par exemple dans un environnement de test, le type de capteur est affiché en tant que capteur de contrôleur de domaine à la place.

  • Domaine : affiche le nom de domaine complet du domaine Active Directory où le capteur est installé.

  • État du service : affiche l’état du service de capteur sur le serveur. Les valeurs possibles sont les suivantes :

    • Exécution : le service capteur est en cours d’exécution

    • Démarrage : le service capteur démarre

    • Désactivé : le service de capteur est désactivé

    • Arrêté : le service de capteur est arrêté

    • Inconnu : le capteur est déconnecté ou inaccessible

  • État du capteur : affiche l’état global du capteur. Les valeurs possibles sont les suivantes :

    • À jour : le capteur exécute une version actuelle du capteur.

    • Obsolète : le capteur exécute une version du logiciel qui est au moins trois versions derrière la version actuelle.

    • Mise à jour : le logiciel de capteur est mis à jour.

    • Échec de la mise à jour : le capteur n’a pas pu être mis à jour vers une nouvelle version.

    • Non configuré : le capteur nécessite davantage de configuration avant qu’il ne soit entièrement opérationnel. Cela s’applique aux capteurs installés sur des serveurs AD FS / AD CS ou des capteurs autonomes.

    • Échec du démarrage : le capteur n’a pas extrait la configuration pendant plus de 30 minutes.

    • Synchronisation : le capteur a des mises à jour de configuration en attente, mais elle n’a pas encore extrait la nouvelle configuration.

    • Déconnecté : le service Defender pour Identity n’a pas vu de communication de ce capteur en 10 minutes.

    • Inaccessible : le contrôleur de domaine a été supprimé d’Active Directory. Toutefois, l’installation du capteur n’a pas été désinstallée et supprimée du contrôleur de domaine avant sa mise hors service. Vous pouvez supprimer cette entrée en toute sécurité.

  • Version : affiche la version du capteur installée.

  • Mise à jour différée : affiche l’état du mécanisme de mise à jour différé du capteur. Les valeurs possibles sont les suivantes :

    • Activé(e)

    • Disabled

  • État d’intégrité : affiche l’état d’intégrité global du capteur avec une icône colorée représentant l’alerte d’intégrité ouverte de gravité la plus élevée. Les valeurs possibles sont les suivantes :

    • Sain (icône verte) : aucun problème d’intégrité ouvert

    • Non sain (icône jaune) : le problème d’intégrité ouvert le plus élevé est faible

    • Non sain (icône orange) : le problème d’intégrité ouvert le plus élevé est moyen

    • Non sain (icône rouge) : le problème d’intégrité ouvert le plus élevé est élevé

  • Problèmes d’intégrité : affiche le nombre de problèmes d’intégrité ouverts sur le capteur.

  • Créé : affiche la date à laquelle le capteur a été installé

Mise à jour de vos capteurs

Maintenir vos capteurs Microsoft Defender pour Identity à jour offre la meilleure protection possible pour votre organisation.

Le service Microsoft Defender pour Identity est généralement mis à jour quelques fois par mois avec de nouvelles détections, fonctionnalités et améliorations des performances. En règle générale, ces mises à jour incluent une mise à jour mineure correspondante des capteurs. Les capteurs Defender pour Identity et les mises à jour correspondantes n’ont jamais d’autorisations d’écriture sur vos contrôleurs de domaine. Les packages de mise à jour de capteur contrôlent uniquement les fonctionnalités de détection du capteur Defender pour Identity et des capteurs.

Types de mise à jour du capteur Defender pour Identity

Les capteurs Defender pour Identity prennent en charge deux types de mises à jour :

  • Mises à jour de version mineures :

    • Fréquent
    • Nécessite aucune installation MSI et aucune modification du Registre
    • Redémarré : services de capteur Defender pour Identity

  • Mises à jour de version principales :

    • Rare
    • Contient des modifications significatives
    • Redémarré : services de capteur Defender pour Identity

Remarque

  • Les capteurs Defender pour Identity réservent toujours au moins 15 % de la mémoire disponible et du processeur disponibles sur le contrôleur de domaine où il est installé. Si le service Defender pour Identity consomme trop de mémoire, le service est automatiquement arrêté et redémarré par le service de mise à jour du capteur Defender pour Identity.

Mise à jour différée du capteur

Étant donné la rapidité de développement et de mise en production de Defender pour Identity en cours, vous pouvez décider de définir un groupe de sous-ensembles de vos capteurs en tant qu’anneau de mise à jour différé, ce qui permet un processus de mise à jour progressif des capteurs. Defender pour Identity vous permet de choisir la façon dont vos capteurs sont mis à jour et de définir chaque capteur comme candidat à la mise à jour différée.

Les capteurs non sélectionnés pour la mise à jour différée sont mis à jour automatiquement, chaque fois que le service Defender pour Identity est mis à jour. Les capteurs définis sur la mise à jour différée sont mis à jour sur un délai de 72 heures, après la publication officielle de chaque mise à jour de service.

L’option de mise à jour différée vous permet de sélectionner des capteurs spécifiques en tant qu’anneau de mise à jour automatique, sur lequel toutes les mises à jour sont déployées automatiquement, et de définir le reste de vos capteurs à mettre à jour dans un délai, ce qui vous donne le temps de confirmer que les capteurs mis à jour automatiquement ont réussi.

Remarque

Si une erreur se produit et qu’un capteur ne se met pas à jour, ouvrez un ticket de support. Pour renforcer davantage votre proxy pour communiquer uniquement avec votre espace de travail, consultez la configuration du proxy.

L’authentification entre vos capteurs et le service cloud Azure utilise une authentification mutuelle forte basée sur des certificats. Le certificat client est créé lors de l’installation du capteur en tant que certificat auto-signé, valide pendant 2 ans. Le service Sensor Updater est chargé de générer un nouveau certificat auto-signé avant l’expiration du certificat existant. Les certificats sont inscrits avec un processus de validation en 2 phases sur le back-end pour éviter une situation où un certificat propagé interrompt l’authentification.

Chaque mise à jour est testée et validée sur tous les systèmes d’exploitation pris en charge afin d’avoir un impact minimal sur votre réseau et vos opérations.

Pour définir un capteur sur une mise à jour différée :

  1. Dans la page Capteurs , sélectionnez le capteur que vous souhaitez définir pour les mises à jour différées.

  2. Sélectionnez le bouton Activer la mise à jour différée.

    Enable delayed update.

  3. Dans la fenêtre de confirmation, sélectionnez Activer.

Pour désactiver les mises à jour différées, sélectionnez le capteur, puis sélectionnez le bouton Désactiver la mise à jour différée.

Processus de mise à jour du capteur

Toutes les quelques minutes, les capteurs Defender pour Identity vérifient s’ils disposent de la dernière version. Une fois le service cloud Defender pour Identity mis à jour vers une version plus récente, le service de capteur Defender pour Identity démarre le processus de mise à jour :

  1. Le service cloud Defender pour Identity est mis à jour vers la dernière version.

  2. Le service de mise à jour du capteur Defender pour Identity apprend qu’il existe une version mise à jour.

  3. Les capteurs qui ne sont pas définis sur La mise à jour différée démarrent le processus de mise à jour sur un capteur par capteur :

    1. Le service de mise à jour du capteur Defender pour Identity extrait la version mise à jour du service cloud (au format de fichier cab).
    2. Le générateur de mise à jour du capteur Defender pour Identity valide la signature du fichier.
    3. Le service de mise à jour du capteur Defender pour Identity extrait le fichier cab dans un nouveau dossier dans le dossier d’installation du capteur. Par défaut, il est extrait dans C :\Program Files\Capteur Azure Advanced Threat Protection< numéro de version>
    4. Le service de capteur Defender pour Identity pointe vers les nouveaux fichiers extraits du fichier cab.
    5. Le service de mise à jour du capteur Defender pour Identity redémarre le service du capteur Defender pour Identity.

      Remarque

      Les mises à jour mineures du capteur n’installent aucune MSI, ne modifient aucune valeur de Registre ni aucun fichier système. Même un redémarrage en attente n’a pas d’impact sur une mise à jour du capteur.

    6. Les capteurs s’exécutent en fonction de la nouvelle version mise à jour.
    7. Le capteur reçoit l’autorisation du service cloud Azure. Vous pouvez vérifier l’état du capteur dans la page Capteurs.
    8. Le capteur suivant démarre le processus de mise à jour.

  4. Les capteurs sélectionnés pour la mise à jour différée démarrent leur processus de mise à jour 72 heures après la mise à jour du service cloud Defender for Identity. Ces capteurs utilisent ensuite le même processus de mise à jour que les capteurs mis à jour automatiquement.

Pour tout capteur qui ne parvient pas à terminer le processus de mise à jour, une alerte d’intégrité pertinente est déclenchée et est envoyée en tant que notification.

Sensor update failure.

Installer sans assistance le capteur Defender pour Identity

Utilisez la commande suivante pour installer le capteur Defender pour Identity sans assistance :

Syntaxe :

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Options d’installation :

Nom Syntaxe Mandatory for silent installation? Description
Quiet /quiet Oui Exécute le programme d’installation sans afficher d’interface utilisateur ni d’invites.
Aide /help Non Provides help and quick reference. Affiche l’utilisation correcte de la commande d’installation, y compris la liste de tous les comportements et options.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Oui Spécifie les paramètres de l’installation de .Net Framework. Doit être défini pour appliquer l’installation sans assistance de .Net Framework.

Exemples :

Pour installer le capteur Defender pour Identity sans assistance :

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Configurer les paramètres de proxy

Nous vous recommandons de configurer les paramètres de proxy initiaux lors de l’installation à l’aide de commutateurs de ligne de commande. Si vous devez mettre à jour vos paramètres de proxy ultérieurement, utilisez l’interface CLI ou PowerShell.

Si vous avez précédemment configuré vos paramètres proxy via WinINet ou une clé de Registre et que vous devez les mettre à jour, vous devez utiliser la même méthode que celle utilisée à l’origine.

Pour plus d’informations, consultez Configurer les paramètres de connectivité Internet et de proxy du point de terminaison.

Étapes suivantes