Gérer et mettre à jour des capteurs Microsoft Defender pour Identity

Cet article explique comment configurer et gérer des capteurs Microsoft Defender pour Identity dans Microsoft 365 Defender.

Afficher les paramètres et l’état du capteur Defender pour Identity

1. Dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

   

2. Sélectionnez la page Capteurs , qui affiche tous vos capteurs Defender pour Identity. Pour chaque capteur, vous verrez son nom, son appartenance au domaine, le numéro de version, si les mises à jour doivent être retardées, l’état du service, l’état du capteur, l’état d’intégrité, le nombre de problèmes d’intégrité et la date de création du capteur. Pour plus d’informations sur chaque colonne, consultez Détails du capteur.

   

3. Si vous sélectionnez Filtres, vous pouvez choisir les filtres qui seront disponibles. Ensuite, avec chaque filtre, vous pouvez choisir les capteurs à afficher.

   

   

4. Si vous sélectionnez l’un des capteurs, un volet s’affiche avec des informations sur le capteur et son état d’intégrité.

   

5. Si vous sélectionnez l’un des problèmes d’intégrité, vous obtenez un volet contenant plus de détails à leur sujet. Si vous choisissez un problème fermé, vous pouvez le rouvrir à partir d’ici.

   

6. Si vous sélectionnez Gérer le capteur, un volet s’ouvre dans lequel vous pouvez configurer les détails du capteur.

   

   

7. Dans la page Capteurs , vous pouvez exporter votre liste de capteurs vers un fichier .csv en sélectionnant Exporter.

   

Détails du capteur

La page capteurs fournit les informations suivantes sur chaque capteur :

• Capteur : affiche le nom de l’ordinateur NetBIOS du capteur.

• Type : affiche le type du capteur. Les valeurs possibles sont les suivantes :

  • Capteur de contrôleur de domaine

  • Capteur AD FS

  • Capteur autonome

• Domaine : affiche le nom de domaine complet du domaine Active Directory où le capteur est installé.

• État du service : affiche l’état du service de capteur sur le serveur. Les valeurs possibles sont les suivantes :

  • En cours d’exécution : le service de capteur est en cours d’exécution

  • Démarrage : le service de capteur démarre

  • Désactivé : le service de capteur est désactivé

  • Arrêté : le service de capteur est arrêté

  • Inconnu : Le capteur est déconnecté ou inaccessible

• État du capteur : affiche l’état global du capteur. Les valeurs possibles sont les suivantes :

  • À jour : le capteur exécute une version actuelle du capteur.

  • Obsolète : le capteur exécute une version du logiciel qui se trouve au moins trois versions derrière la version actuelle.

  • Mise à jour : Le logiciel du capteur est en cours de mise à jour.

  • Échec de la mise à jour : la mise à jour du capteur vers une nouvelle version n’a pas pu être mise à jour.

  • Non configuré : le capteur nécessite davantage de configuration avant d’être entièrement opérationnel. Cela s’applique aux capteurs installés sur des serveurs AD FS ou des capteurs autonomes.

  • Échec du démarrage : le capteur n’a pas extrait la configuration pendant plus de 30 minutes.

  • Synchronisation : le capteur a des mises à jour de configuration en attente, mais il n’a pas encore extrait la nouvelle configuration.

  • Déconnecté : le service Defender pour Identity n’a pas vu de communication à partir de ce capteur depuis 10 minutes.

  • Inaccessible : le contrôleur de domaine a été supprimé d’Active Directory. Toutefois, l’installation du capteur n’a pas été désinstallée et supprimée du contrôleur de domaine avant sa désactivation. Vous pouvez supprimer cette entrée en toute sécurité.

• Version : affiche la version du capteur installée.

• Mise à jour différée : affiche l’état du mécanisme de mise à jour différée du capteur. Les valeurs possibles sont les suivantes :

  • activé

  • Désactivé

• État d’intégrité : affiche l’état d’intégrité global du capteur avec une icône colorée représentant l’alerte d’intégrité ouverte de gravité la plus élevée. Les valeurs possibles sont les suivantes :

  • Sain (icône verte) : aucun problème d’intégrité ouvert

  • Non sain (icône jaune) : le problème d’intégrité ouvert de gravité la plus élevée est faible

  • Non sain (icône orange) : le problème d’intégrité ouvert de gravité la plus élevée est moyen

  • Non sain (icône rouge) : le problème d’intégrité ouvert de gravité la plus élevée est élevé

• Problèmes d’intégrité : affiche le nombre de problèmes d’intégrité ouverts sur le capteur.

• Créé : affiche la date à laquelle le capteur a été installé

Mise à jour de vos capteurs

Maintenir vos capteurs de Microsoft Defender pour Identity à jour offre la meilleure protection possible pour votre organisation.

Le service Microsoft Defender pour Identity est généralement mis à jour plusieurs fois par mois avec de nouvelles détections, fonctionnalités et améliorations des performances. Elles s’accompagnent souvent d’une mise à jour mineure des capteurs. Les capteurs Defender pour Identity et les mises à jour correspondantes n’ont jamais d’autorisations d’écriture sur vos contrôleurs de domaine. Les packages de mise à jour de capteur contrôlent uniquement les fonctionnalités de détection des capteurs et des capteurs Defender pour Identity.

Types de mises à jour des capteurs Defender pour Identity

Les capteurs Defender pour Identity prennent en charge deux types de mises à jour :

• Mises à jour des versions mineures :

  • Fréquentes
  • Sans installation MSI ni modification du Registre
  • Redémarré : services de capteur Defender pour Identity

• Mises à jour des versions majeures :

  • Rares
  • Modifications importantes
  • Redémarré : services de capteur Defender pour Identity

Notes

• Les capteurs Defender pour Identity réservent toujours au moins 15 % de la mémoire et du processeur disponibles sur le contrôleur de domaine où il est installé. Si le service Defender pour Identity consomme trop de mémoire, le service est automatiquement arrêté et redémarré par le service de mise à jour du capteur Defender pour Identity.

Mise à jour différée des capteurs

Étant donné la rapidité des mises à jour en cours de développement et de mise en production de Defender pour Identity, vous pouvez décider de définir un groupe de sous-ensembles de vos capteurs en tant qu’anneau de mise à jour différée, ce qui permet un processus de mise à jour progressive des capteurs. Defender pour Identity vous permet de choisir la façon dont vos capteurs sont mis à jour et de définir chaque capteur comme candidat à la mise à jour différée .

Les capteurs non sélectionnés pour la mise à jour différée sont mis à jour automatiquement, chaque fois que le service Defender pour Identity est mis à jour. Les capteurs définis sur Mise à jour différée sont mis à jour après un délai de 72 heures suivant la publication officielle de la mise à jour du service.

L’option Mise à jour différée permet de sélectionner certains capteurs comme boucle de mise à jour automatique, sur laquelle toutes les mises à jour sont déployées automatiquement, et de configurer le reste des capteurs pour une mise à jour différée. Cette méthode vous laisse le temps de vérifier que la mise à jour automatique des premiers capteurs a réussi.

Notes

Si une erreur se produit et qu’un capteur ne se met pas à jour, ouvrez un ticket de support. Pour renforcer votre proxy en ne communiquant qu’avec votre instance, consultez Configuration du proxy.

L’authentification entre vos capteurs et le service cloud Azure est mutuelle, forte et basée sur les certificats. Le certificat client est créé lors de l’installation du capteur sous la forme d’un certificat auto-signé, valide pendant 2 ans. Le service Sensor Updater est chargé de générer un nouveau certificat auto-signé avant l’expiration du certificat existant. Les certificats sont roulés avec un processus de validation en 2 phases sur le back-end pour éviter une situation où un certificat propagé interrompt l’authentification.

Chaque mise à jour est testée et validée sur tous les systèmes d’exploitation pris en charge pour minimiser l’impact sur votre réseau et vos opérations.

Pour définir un capteur sur une mise à jour différée :

1. Dans la page Capteurs , sélectionnez le capteur que vous souhaitez définir pour les mises à jour différées.

2. Sélectionnez le bouton Activer la mise à jour différée .

   

3. Dans la fenêtre de confirmation, sélectionnez Activer.

Pour désactiver les mises à jour différées, sélectionnez le capteur, puis sélectionnez le bouton Mise à jour différée désactivée .

Processus de mise à jour des capteurs

Toutes les quelques minutes, les capteurs Defender pour Identity vérifient s’ils disposent de la dernière version. Une fois le service cloud Defender pour Identity mis à jour vers une version plus récente, le service de capteur Defender pour Identity démarre le processus de mise à jour :

1. Mises à jour du service cloud Defender pour Identity vers la dernière version.

2. Le service de mise à jour du capteur Defender pour Identity apprend qu’il existe une version mise à jour.

3. Les capteurs qui ne sont pas définis sur Mise à jour différée démarrent le processus de mise à jour sur un capteur par capteur :

   1. Le service de mise à jour du capteur Defender pour Identity extrait la version mise à jour du service cloud (au format de fichier cab).
   2. La mise à jour du capteur Defender pour Identity valide la signature du fichier.
   3. Le service de mise à jour du capteur Defender pour Identity extrait le fichier cab dans un nouveau dossier dans le dossier d’installation du capteur. Par défaut, il est extrait dans le numéro> de version du capteur<C:\Program Files\Azure Advanced Threat Protection
   4. Le service de capteur Defender pour Identity pointe vers les nouveaux fichiers extraits du fichier cab.
   5. Le service de mise à jour du capteur Defender pour Identity redémarre le service de capteur Defender pour Identity.

      Notes

      Les mises à jour mineures du capteur n’installent aucune MSI, ne modifient aucune valeur de Registre ni aucun fichier système. Elles ne sont pas non plus affectées par les redémarrages en attente.

   6. Les capteurs s’exécutent en fonction de la version mise à jour.
   7. Le capteur reçoit l’autorisation du service cloud Azure. Vous pouvez vérifier l’état du capteur dans la page Capteurs .
   8. Le capteur suivant démarre le processus de mise à jour.

4. Les capteurs sélectionnés pour la mise à jour différée démarrent leur processus de mise à jour 72 heures après la mise à jour du service cloud Defender pour Identity. Ces capteurs utilisent ensuite le même processus de mise à jour que les capteurs mis à jour automatiquement.

Pour tout capteur qui ne parvient pas à terminer le processus de mise à jour, une alerte d’intégrité appropriée est déclenchée et est envoyée en tant que notification.

Mettre à jour silencieusement le capteur Defender pour Identity

Utilisez la commande suivante pour mettre à jour silencieusement le capteur Defender pour Identity :

Syntaxe :

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Options d’installation :

Nom	Syntaxe	Obligatoire pour une installation sans assistance ?	Description
Quiet	/quiet	Oui	Exécute le programme d’installation sans afficher d’interface utilisateur, ni d’invites.
Aide	/help	Non	Fournit une aide et une référence rapide. Affiche l’utilisation correcte de la commande d’installation, y compris la liste de tous les comportements et options.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Oui	Spécifie les paramètres d’installation de .Net Framework. Doit être définie de manière à effectuer l’installation sans assistance de .Net Framework.

Exemples :

Pour mettre à jour le capteur Defender pour Identity en mode silencieux :

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Voir aussi

• Configurer le transfert d’événements
• Prérequis de Defender pour Identity
• Consultez le Forum Defender pour Identity.