A Microsoft Defender identitásérzékelő beállításainak konfigurálása
Ebből a cikkből megtudhatja, hogyan konfigurálhatja helyesen a Microsoft Defender for Identity érzékelő beállításait az adatok megtekintéséhez. További konfigurációt és integrációt kell végeznie, hogy kihasználhassa a Defender for Identity funkcióit.
Az alábbi videó a Defender for Identity érzékelő beállításainak áttekintését mutatja be:
Érzékelőbeállítások megtekintése és konfigurálása
Miután telepítette a Defender for Identity-érzékelőt, tegye a következőket a Defender for Identity érzékelő beállításainak megtekintéséhez és konfigurálásához:
A Microsoft Defender XDR-ben nyissa meg a Gépház> Identitás-érzékelőket>. Példa:
Az Érzékelők lapon megjelenik az identitáshoz készült Defender összes érzékelője, amely az alábbi adatokat jeleníti meg érzékelőnként:
- Érzékelő állapota
- Érzékelő állapota
- Az állapotproblémák száma
- Az érzékelő létrehozásakor
További információ: Érzékelő részletei.
Válassza a Szűrők lehetőséget a látható szűrők kiválasztásához. Példa:
A megjelenített szűrőkkel meghatározhatja, hogy mely érzékelők jelenjenek meg. Példa:
Jelöljön ki egy érzékelőt, hogy megjelenítsen egy részletes panelt, amely további információkat tartalmaz az érzékelőről és állapotáról. Példa:
Görgessen le, és válassza az Érzékelő kezelése lehetőséget egy panel megjelenítéséhez, ahol konfigurálhatja az érzékelő részleteit. Példa:
Konfigurálja az alábbi érzékelőadatokat:
Név Leírás Leírás Opcionális. Adja meg a Defender for Identity érzékelő leírását. Tartományvezérlők (FQDN) Az AD FS/AD CS-kiszolgálókra telepített önálló Defender identitásérzékelőkhöz és érzékelőkhöz szükséges, és nem módosítható a Defender for Identity érzékelőhöz.
Adja meg a tartományvezérlő teljes teljes tartománynevét, és válassza a pluszjelet a listához való hozzáadásához. Például: DC1.domain1.test.local.
A Tartományvezérlők listában definiált kiszolgálók esetében:
- Minden olyan tartományvezérlőt fel kell venni a tartományvezérlők listájára, amelyek forgalmát porttükrözéssel figyeli a Defender for Identity önálló érzékelője. Ha egy tartományvezérlő nem szerepel a tartományvezérlők listájában, előfordulhat, hogy a gyanús tevékenységek észlelése nem a várt módon működik.
- A listában legalább egy tartományvezérlőnek globális katalógusnak kell lennie. Ez lehetővé teszi, hogy a Defender for Identity feloldja az erdő más tartományaiban lévő számítógép- és felhasználói objektumokat.Hálózati adapterek rögzítése Szükséges.
– Az identitásérzékelőkhöz készült Defender esetében az összes hálózati adapter, amelyet a szervezet más számítógépeivel való kommunikációhoz használnak.
– A dedikált kiszolgálón a Defender for Identity önálló érzékelőjéhez válassza ki a céltükrportként konfigurált hálózati adaptereket. Ezek a hálózati adapterek a tükrözött tartományvezérlő forgalmát fogadják.Az Érzékelők lapon válassza az Exportálás lehetőséget az érzékelők listájának exportálásához egy .csv fájlba. Példa:
Telepítések ellenőrzése
Az alábbi eljárásokkal ellenőrizheti a Defender for Identity-érzékelő telepítését.
Feljegyzés
Ha AD FS- vagy AD CS-kiszolgálóra telepít, akkor más érvényesítési halmazt fog használni. További információ: Sikeres üzembe helyezés ellenőrzése az AD FS/AD CS-kiszolgálókon.
Sikeres üzembe helyezés ellenőrzése
Annak ellenőrzése, hogy a Defender for Identity érzékelő sikeresen üzembe lett-e helyezve:
Ellenőrizze, hogy az Azure Advanced Threat Protection érzékelőszolgáltatás fut-e az érzékelőgépen. A Defender for Identity érzékelő beállításainak mentése után eltarthat néhány másodpercig, amíg a szolgáltatás elindul.
Ha a szolgáltatás nem indul el, tekintse át az alapértelmezett helyen
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logstalálható Microsoft.Tri.sensor-Errors.log fájlt, ahol<sensor version>az üzembe helyezett verzió található.
Biztonsági riasztások működésének ellenőrzése
Ez a szakasz azt ismerteti, hogyan ellenőrizheti, hogy a biztonsági riasztások a várt módon aktiválódnak-e.
A következő lépésekben szereplő példák használatakor mindenképpen cserélje le contosodc.contoso.azure a contoso.azure Defender for Identity-érzékelő teljes tartománynevét és tartománynevét.
Egy taghoz csatlakoztatott eszközön nyisson meg egy parancssort, és írja be a
nslookupAdja meg és adja meg
serverannak a tartományvezérlőnek a teljes tartománynevét vagy IP-címét, amelyben az identitásérzékelő telepítve van. Például:server contosodc.contoso.azureÍrja be a következő szöveget:
ls -d contoso.azureIsmételje meg az előző két lépést minden tesztelni kívánt érzékelő esetében.
A kapcsolati teszt futtatásához használt számítógép eszközadatok lapjának elérése, például az Eszközök lapról, az eszköz nevének megkeresésével vagy a Defender portál más részein.
Az eszköz részletei lapon válassza az Idősor lapot a következő tevékenység megtekintéséhez:
- Események: Adott tartománynévre végrehajtott DNS-lekérdezések
- Művelettípus : MdiDnsQuery
Ha a tesztelt tartományvezérlő vagy AD FS/AD CS az első üzembe helyezett érzékelő, várjon legalább 15 percet, mielőtt ellenőrizne bármilyen logikai tevékenységet a tartományvezérlőhöz, így az adatbázis háttérrendszere befejezheti a kezdeti mikroszolgáltatás-üzembe helyezéseket.
Az érzékelő legújabb elérhető verziójának ellenőrzése
A Defender for Identity verziója gyakran frissül. A Microsoft Defender XDR Gépház> Identities About lapon keresse meg a legújabb verziót.>
Kapcsolódó tartalom
Most, hogy konfigurálta a kezdeti konfigurációs lépéseket, további beállításokat is konfigurálhat. További információért lépjen az alábbi oldalak bármelyikére:
- Entitáscímkék beállítása: bizalmas, honeytoken és Exchange-kiszolgáló
- Észlelési kizárások konfigurálása
- Értesítések konfigurálása: állapotproblémák, riasztások és Syslog