A Microsoft Defender identitásérzékelő beállításainak konfigurálása

Ebből a cikkből megtudhatja, hogyan konfigurálhatja helyesen a Microsoft Defender for Identity érzékelő beállításait az adatok megtekintéséhez. További konfigurációt és integrációt kell végeznie, hogy kihasználhassa a Defender for Identity funkcióit.

Érzékelőbeállítások megtekintése és konfigurálása

Miután telepítette a Defender for Identity-érzékelőt, tegye a következőket a Defender for Identity érzékelő beállításainak megtekintéséhez és konfigurálásához:

1. A Microsoft Defender XDR-ben lépjen a Beállítások>identitásérzékelői> elemre. Példa:

   

   Az Érzékelők lapon megjelenik az identitáshoz készült Defender összes érzékelője, amely az alábbi adatokat jeleníti meg érzékelőnként:

   • Érzékelő neve
   • Érzékelőtartomány-tagság
   • Érzékelő verziószáma
   • A frissítések késleltetése
   • Érzékelőszolgáltatás állapota

   • Érzékelő állapota
   • Érzékelő állapota
   • Az állapotproblémák száma
   • Az érzékelő létrehozásakor

   További információ: Érzékelő részletei.

2. Válassza a Szűrők lehetőséget a látható szűrők kiválasztásához. Példa:

   

3. A megjelenített szűrőkkel meghatározhatja, hogy mely érzékelők jelenjenek meg. Példa:

   

4. Jelöljön ki egy érzékelőt, hogy megjelenítsen egy részletes panelt, amely további információkat tartalmaz az érzékelőről és állapotáról. Példa:

   

5. Görgessen le, és válassza az Érzékelő kezelése lehetőséget egy panel megjelenítéséhez, ahol konfigurálhatja az érzékelő részleteit. Példa:

   

6. Konfigurálja az alábbi érzékelőadatokat:

   Név	Leírás
   Leírás	Opcionális. Adja meg a Defender for Identity érzékelő leírását.
   Tartományvezérlők (FQDN)	Az AD FS/AD CS-kiszolgálókra telepített önálló Defender identitásérzékelőkhöz és érzékelőkhöz szükséges, és nem módosítható a Defender for Identity érzékelőhöz. Adja meg a tartományvezérlő teljes teljes tartománynevét, és válassza a pluszjelet a listához való hozzáadásához. Például: DC1.domain1.test.local. A Tartományvezérlők listában definiált kiszolgálók esetében: - Minden olyan tartományvezérlőt fel kell venni a tartományvezérlők listájára, amelyek forgalmát porttükrözéssel figyeli a Defender for Identity önálló érzékelője. Ha egy tartományvezérlő nem szerepel a tartományvezérlők listájában, előfordulhat, hogy a gyanús tevékenységek észlelése nem a várt módon működik. - A listában legalább egy tartományvezérlőnek globális katalógusnak kell lennie. Ez lehetővé teszi, hogy a Defender for Identity feloldja az erdő más tartományaiban lévő számítógép- és felhasználói objektumokat.
   Hálózati adapterek rögzítése	Szükséges. – Az identitásérzékelőkhöz készült Defender esetében az összes hálózati adapter, amelyet a szervezet más számítógépeivel való kommunikációhoz használnak. – A dedikált kiszolgálón a Defender for Identity önálló érzékelőjéhez válassza ki a céltükrportként konfigurált hálózati adaptereket. Ezek a hálózati adapterek a tükrözött tartományvezérlő forgalmát fogadják.

7. Az Érzékelők lapon válassza az Exportálás lehetőséget az érzékelők listájának exportálásához egy .csv fájlba. Példa:

   

Telepítések ellenőrzése

Az alábbi eljárásokkal ellenőrizheti a Defender for Identity-érzékelő telepítését.

Feljegyzés

Ha AD FS- vagy AD CS-kiszolgálóra telepít, akkor más érvényesítési halmazt fog használni. További információ: Sikeres üzembe helyezés ellenőrzése az AD FS/AD CS-kiszolgálókon.

Sikeres üzembe helyezés ellenőrzése

Annak ellenőrzése, hogy a Defender for Identity érzékelő sikeresen üzembe lett-e helyezve:

1. Ellenőrizze, hogy az Azure Advanced Threat Protection érzékelőszolgáltatás fut-e az érzékelőgépen. A Defender for Identity érzékelő beállításainak mentése után eltarthat néhány másodpercig, amíg a szolgáltatás elindul.

2. Ha a szolgáltatás nem indul el, tekintse át az alapértelmezett helyen %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logstalálható Microsoft.Tri.sensor-Errors.log fájlt, ahol <sensor version> az üzembe helyezett verzió található.

Biztonsági riasztások működésének ellenőrzése

Ez a szakasz azt ismerteti, hogyan ellenőrizheti, hogy a biztonsági riasztások a várt módon aktiválódnak-e.

A következő lépésekben szereplő példák használatakor mindenképpen cserélje le contosodc.contoso.azure a contoso.azure Defender for Identity-érzékelő teljes tartománynevét és tartománynevét.

1. Egy taghoz csatlakoztatott eszközön nyisson meg egy parancssort, és írja be a nslookup

2. Adja meg és adja meg server annak a tartományvezérlőnek a teljes tartománynevét vagy IP-címét, amelyben az identitásérzékelő telepítve van. Például: server contosodc.contoso.azure

3. Írja be a következő szöveget: ls -d contoso.azure

4. Ismételje meg az előző két lépést minden tesztelni kívánt érzékelő esetében.

5. A kapcsolati teszt futtatásához használt számítógép eszközadatok lapjának elérése, például az Eszközök lapról, az eszköz nevének megkeresésével vagy a Defender portál más részein.

6. Az eszköz részletei lapon válassza az Idősor lapot a következő tevékenység megtekintéséhez:

   • Események: Adott tartománynévre végrehajtott DNS-lekérdezések
   • Művelettípus : MdiDnsQuery

Ha a tesztelt tartományvezérlő vagy AD FS/AD CS az első üzembe helyezett érzékelő, várjon legalább 15 percet, mielőtt ellenőrizne bármilyen logikai tevékenységet a tartományvezérlőhöz, így az adatbázis háttérrendszere befejezheti a kezdeti mikroszolgáltatás-üzembe helyezéseket.

Az érzékelő legújabb elérhető verziójának ellenőrzése

A Defender for Identity verziója gyakran frissül. Keresse meg a legújabb verziót a Microsoft Defender XDR Settings>Identityes>About lapon.

Kapcsolódó tartalom

Most, hogy konfigurálta a kezdeti konfigurációs lépéseket, további beállításokat is konfigurálhat. További információért lépjen az alábbi oldalak bármelyikére:

• Entitáscímkék beállítása: bizalmas, honeytoken és Exchange-kiszolgáló
• Észlelési kizárások konfigurálása
• Értesítések konfigurálása: állapotproblémák, riasztások és Syslog

Következő lépés

Eseménygyűjtemény a Microsoft Defender for Identity szolgáltatással »