Configurer les paramètres du capteur Microsoft Defender pour Identity

Dans cet article, vous allez apprendre à configurer correctement Microsoft Defender pour Identity paramètres de capteur pour commencer à voir les données. Vous devez effectuer une configuration et une intégration supplémentaires pour tirer parti des fonctionnalités complètes de Defender pour Identity.

Afficher et configurer les paramètres du capteur

Une fois le capteur Defender pour Identity installé, procédez comme suit pour afficher et configurer les paramètres du capteur Defender pour Identity.

  1. Dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

    Option Identités dans la page Paramètres

  2. Sélectionnez la page Capteurs , qui affiche tous vos capteurs Defender pour Identity. Pour chaque capteur, vous verrez son nom, son appartenance au domaine, le numéro de version, si les mises à jour doivent être retardées, l’état du service, l’état du capteur, l’état d’intégrité, le nombre de problèmes d’intégrité et la date de création du capteur. Pour plus d’informations sur chaque colonne, consultez Détails du capteur.

    Page Capteur.

    Notes

    Pour plus d’informations sur la configuration des mises à jour différées, consultez Mise à jour différée du capteur.

  3. Si vous sélectionnez Filtres, vous pouvez choisir les filtres qui seront disponibles. Ensuite, avec chaque filtre, vous pouvez choisir les capteurs à afficher.

    Filtres de capteur.

    Capteur filtré

  4. Si vous sélectionnez l’un des capteurs, un volet s’affiche avec des informations sur le capteur et son état d’intégrité.

    Détails du capteur.

  5. Si vous sélectionnez Gérer le capteur, un volet s’ouvre dans lequel vous pouvez configurer les détails du capteur.

    L’option Gérer le capteur

    Page sur laquelle vous configurez les paramètres du capteur

    Vous pouvez configurer les détails du capteur suivants :

    • Description : entrez une description pour le capteur Defender pour Identity (facultatif).

    • Contrôleurs de domaine (FQDN) : cela est requis pour les capteurs autonomes Defender pour Identity et AD FS. (Il ne peut pas être modifié pour le capteur Defender pour Identity.) Entrez le nom de domaine complet de votre contrôleur de domaine et sélectionnez le signe plus pour l’ajouter à la liste. Par exemple, DC1.domain1.test.local.

      Ajoutez un contrôleur de domaine.

    Les informations suivantes s’appliquent aux serveurs que vous entrez dans la liste Contrôleurs de domaine :

    • Tous les contrôleurs de domaine dont le trafic est surveillé via la mise en miroir de ports par le capteur autonome Defender pour Identity doivent être répertoriés dans la liste Contrôleurs de domaine . Si un contrôleur de domaine ne figure pas dans la liste Contrôleurs de domaine, il est possible que la détection des activités suspectes ne fonctionne pas comme prévu.

    • Au moins un contrôleur de domaine figurant dans la liste doit être un catalogue général. Cela permet à Defender pour Identity de résoudre les objets ordinateur et utilisateur dans d’autres domaines de la forêt.

    • Adaptateurs de réseau de capture (obligatoire) :

    • Pour les capteurs Defender pour Identity, toutes les cartes réseau utilisées pour la communication avec d’autres ordinateurs de votre organisation.

    • Pour le capteur autonome Defender pour Identity sur un serveur dédié, sélectionnez les cartes réseau configurées comme port miroir de destination. Ces cartes réseau reçoivent le trafic du contrôleur de domaine mis en miroir.

  6. Dans la page Capteurs , vous pouvez exporter votre liste de capteurs vers un fichier .csv en sélectionnant Exporter.

    Liste d’exportation des capteurs

Valider les installations

Pour vérifier que le capteur Defender pour Identity a été correctement déployé, vérifiez les points suivants :

  1. Vérifiez que le service nommé Capteur Azure Advanced Threat Protection est en cours d’exécution. Après avoir enregistré les paramètres du capteur Defender pour Identity, le démarrage du service peut prendre quelques secondes.

  2. Si le service ne démarre pas, examinez le fichier « Microsoft.Tri.sensor-Errors.log » qui se trouve dans le dossier par défaut suivant : « %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs ».

    Notes

    La version de Defender pour Identity est fréquemment mise à jour, pour vérifier la dernière version, dans le portail Defender pour Identity, accédez à Configuration , puis à À propos de.

  3. Vérifiez la connectivité de Defender pour Identity sur n’importe quel appareil de domaine en procédant comme suit :

    1. Ouvrez une invite de commandes
    2. Tapez nslookup
    3. Tapez serveur et le nom de domaine complet ou l’adresse IP du contrôleur de domaine où le capteur Defender pour Identity est installé. Par exemple : server contosodc.contoso.azure
    4. Saisissez ls -d contoso.azure
      • Veillez à remplacer contosodc.contoso.azure et contoso.azure par le nom de domaine et le nom de domaine de votre capteur Defender pour Identity, respectivement.
    5. Répétez les deux étapes précédentes pour chaque capteur que vous souhaitez tester.
    6. À partir de la console Defender pour Identity, ouvrez le profil d’entité de l’ordinateur à partir duquel vous avez exécuté le test de connectivité.
    7. Connectez-vous au portail Microsoft 365 Defender. Dans la zone de recherche du milieu supérieur, tapez le nom de l’utilisateur que vous avez utilisé pour exécuter les commandes détaillées ci-dessus, sélectionnez le nom dans les résultats pour afficher la page de l’utilisateur et toutes ses activités et alertes associées.

    Notes

    Si le contrôleur de domaine que vous souhaitez tester est votre premier capteur déployé, attendez au moins 15 minutes pour autoriser la base de données principale à terminer le déploiement initial des microservices nécessaires avant d’essayer de vérifier l’activité logique associée pour ce contrôleur de domaine.

Pour vérifier que le capteur Defender pour Identity a été correctement déployé sur un serveur AD FS, vérifiez les points suivants :

  1. Vérifiez que le service nommé Capteur Azure Advanced Threat Protection est en cours d’exécution. Après avoir enregistré les paramètres du capteur Defender pour Identity, le démarrage du service peut prendre quelques secondes.

  2. Si le service ne démarre pas, examinez le fichier « Microsoft.Tri.sensor-Errors.log » qui se trouve dans le dossier par défaut suivant : « %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs ».

    Notes

    La version de Defender pour Identity est fréquemment mise à jour, pour vérifier la dernière version, dans le portail Defender pour Identity, accédez à Configuration , puis à À propos de.

  3. Utilisez AD FS pour authentifier un utilisateur auprès de n’importe quelle application.

  4. Vérifiez que l’authentification AD FS a été observée par Defender pour Identity en procédant comme suit :

    1. Connectez-vous au portail Microsoft 365 Defender. Dans le menu de navigation, sélectionnez Chasse , puis Chasse avancée. Dans le volet Requête , tapez et exécutez la requête suivante :

      IdentityLogonEvents | where Protocol contains 'Adfs'
      
    2. Le volet de résultats doit inclure une liste d’événements avec un LogonType d’ouverture de session avec l’authentification ADFS. Vous pouvez sélectionner une ligne spécifique et afficher des détails supplémentaires dans le volet gauche Inspecter l’enregistrement .

    Consultez les résultats de la requête de chasse avancée d’ouverture de session ADFS.

Étapes suivantes

Maintenant que vous avez configuré les étapes de configuration initiales, vous pouvez configurer d’autres paramètres. Pour plus d’informations, accédez à l’une des pages ci-dessous :