A Microsoft Defender identitásérzékelőinek kezelése és frissítése

Ez a cikk bemutatja, hogyan konfigurálhatja és kezelheti a Microsoft Defender for Identity érzékelőket a Microsoft Defender XDR-ben.

A Defender for Identity érzékelő beállításainak és állapotának megtekintése

1. A Microsoft Defender XDR-ben lépjen a Gépház, majd az Identitások elemre.

   

2. Válassza az Érzékelők lapot, amely megjeleníti az összes Identitáshoz készült Defender-érzékelőt. Minden érzékelő esetében látni fogja a nevét, a tartománytagságát, a verziószámot, ha a frissítéseket késleltetni kell, a szolgáltatás állapota, az érzékelő állapota, az állapot, az állapotproblémák száma és az érzékelő létrehozásakor. Az egyes oszlopokkal kapcsolatos részletekért tekintse meg az Érzékelő adatait.

   

3. Ha a Szűrők lehetőséget választja, kiválaszthatja, hogy mely szűrők lesznek elérhetők. Ezután minden szűrővel kiválaszthatja, hogy mely érzékelők jelenjenek meg.

   

   

4. Ha kiválaszt egy érzékelőt, egy panel jelenik meg az érzékelőről és állapotáról.

   

5. Ha kiválasztja valamelyik állapotproblémát, megjelenik egy panel, amelyen további részletek találhatók. Ha bezárt problémát választ, innen nyithatja meg újra.

   

6. Ha az Érzékelő kezelése lehetőséget választja, megnyílik egy panel, ahol konfigurálhatja az érzékelő részleteit.

   

   

7. Az Érzékelők lapon exportálhatja az érzékelők listáját egy .csv fájlba az Exportálás lehetőség kiválasztásával.

   

Érzékelő részletei

Az érzékelők oldal a következő információkat tartalmazza az egyes érzékelőkről:

• Érzékelő: Megjeleníti az érzékelő NetBIOS-számítógépnevét.

• Típus: Megjeleníti az érzékelő típusát. A lehetséges értékek a következők:

  • Tartományvezérlő érzékelője

  • AD FS-érzékelő (Active Directory összevonási szolgáltatások (AD FS))

  • Önálló érzékelő

  • ADCS-érzékelő (Active Directory Tanúsítványszolgáltatások). Ha az érzékelő egy AD CS-vel konfigurált tartományvezérlő-kiszolgálón van telepítve, például tesztelési környezetben, az érzékelő típusa tartományvezérlő-érzékelőként jelenik meg.

• Tartomány: Annak az Active Directory-tartománynak a teljes tartománynevét jeleníti meg, amelyben az érzékelő telepítve van.

• Szolgáltatás állapota: Megjeleníti az érzékelőszolgáltatás állapotát a kiszolgálón. A lehetséges értékek a következők:

  • Futtatás: Az érzékelőszolgáltatás fut

  • Indítás: Az érzékelőszolgáltatás elindul

  • Letiltva: Az érzékelőszolgáltatás le van tiltva

  • Leállítva: Az érzékelőszolgáltatás le van állítva

  • Ismeretlen: Az érzékelő le van választva vagy nem érhető el

• Érzékelő állapota: Megjeleníti az érzékelő általános állapotát. A lehetséges értékek a következők:

  • Naprakész: Az érzékelő az érzékelő aktuális verzióját futtatja.

  • Elavult: Az érzékelő a szoftver egy olyan verzióját futtatja, amely legalább három verzióval rendelkezik az aktuális verzió mögött.

  • Frissítés: Az érzékelőszoftver frissítése folyamatban van.

  • A frissítés nem sikerült: Az érzékelő nem tudott új verzióra frissíteni.

  • Nincs konfigurálva: Az érzékelő további konfigurációt igényel, mielőtt teljesen működőképes lenne. Ez az AD FS/AD CS-kiszolgálókon vagy önálló érzékelőkön telepített érzékelőkre vonatkozik.

  • A kezdés nem sikerült: Az érzékelő 30 percnél hosszabb ideig nem tudta lekérni a konfigurációt.

  • Szinkronizálás: Az érzékelő konfigurációfrissítései függőben vannak, de még nem húzta le az új konfigurációt.

  • Leválasztva: A Defender for Identity szolgáltatás 10 perc alatt nem látott semmilyen kommunikációt erről az érzékelőről.

  • Nem érhető el: A tartományvezérlő törölve lett az Active Directoryból. Az érzékelő telepítése azonban nem lett eltávolítva és eltávolítva a tartományvezérlőről a leszerelés előtt. Ezt a bejegyzést biztonságosan törölheti.

• Verzió: Megjeleníti a telepített érzékelőverziót.

• Késleltetett frissítés: Megjeleníti az érzékelő késleltetett frissítési mechanizmusának állapotát. A lehetséges értékek a következők:

  • Engedélyezve

  • Disabled (Letiltva)

• Állapot: Az érzékelő általános állapotának megjelenítése színes ikonnal, amely a legmagasabb súlyosságú nyitott állapotriasztást jelöli. A lehetséges értékek a következők:

  • Kifogástalan (zöld ikon): Nincsenek megnyitott állapotproblémák

  • Nem kifogástalan (sárga ikon): A legnagyobb súlyosságú megnyitott állapot probléma alacsony

  • Nem kifogástalan (narancssárga ikon): A legnagyobb súlyosságú megnyitott állapottal kapcsolatos probléma közepes

  • Nem kifogástalan (piros ikon): A legnagyobb súlyosságú megnyitott állapotú probléma magas

• Állapotproblémák: Megjeleníti a megnyitott állapotproblémák számát az érzékelőn.

• Létrehozva: Megjeleníti az érzékelő telepítésének dátumát

Az érzékelők frissítése

A Microsoft Defender for Identity érzékelőinek naprakészen tartása a lehető legjobb védelmet nyújtja a szervezet számára.

A Microsoft Defender for Identity szolgáltatás általában havonta néhány alkalommal frissül új észlelésekkel, funkciókkal és teljesítménybeli fejlesztésekkel. Ezek a frissítések általában az érzékelők megfelelő kisebb frissítését tartalmazzák. Az identitásérzékelőkhöz és a kapcsolódó frissítésekhez készült Defender soha nem rendelkezik írási engedélyekkel a tartományvezérlőkhöz. Az érzékelőfrissítési csomagok csak a Defender for Identity érzékelőt és az érzékelőészlelési képességeket vezérli.

A Defender for Identity érzékelő frissítési típusai

A Defender for Identity-érzékelők kétféle frissítést támogatnak:

• Alverziófrissítések:

  • Gyakori
  • Nincs szükség MSI telepítésre, és nincs szükség beállításjegyzék-módosításokra
  • Újraindult: Defender for Identity sensor services

• Főverzió-frissítések:

  • Ritka
  • Jelentős változásokat tartalmaz
  • Újraindult: Defender for Identity sensor services

Feljegyzés

• Az identitásérzékelőkhöz készült Defender mindig a rendelkezésre álló memória és processzor legalább 15%-át lefoglalja azon a tartományvezérlőn, ahol telepítve van. Ha a Defender for Identity szolgáltatás túl sok memóriát használ fel, a defender for Identity érzékelő frissítő szolgáltatása automatikusan leállítja és újraindítja a szolgáltatást.

Késleltetett érzékelőfrissítés

A defender for Identity fejlesztésének és kiadásának gyors üteme miatt dönthet úgy, hogy késleltetett frissítési körként definiálja az érzékelők egy részhalmazcsoportját, amely lehetővé teszi a fokozatos érzékelőfrissítési folyamatot. A Defender for Identity lehetővé teszi az érzékelők frissítésének kiválasztását, és az egyes érzékelők késleltetett frissítési jelöltként való beállítását.

A késleltetett frissítéshez nem kiválasztott érzékelők automatikusan frissülnek, minden alkalommal, amikor a Defender for Identity szolgáltatás frissül. A Késleltetett frissítésre beállított érzékelők 72 órás késéssel frissülnek az egyes szolgáltatásfrissítések hivatalos kiadását követően.

A késleltetett frissítési lehetőség lehetővé teszi bizonyos érzékelők automatikus frissítési gyűrűként való kiválasztását, amelyeken az összes frissítés automatikusan megjelenik, és a többi érzékelőt késleltetésre állítja, így időt ad az automatikusan frissített érzékelők sikerességének megerősítésére.

Feljegyzés

Ha hiba történik, és az érzékelő nem frissül, nyisson meg egy támogatási jegyet. Ha tovább szeretné edzeni a proxyt, hogy csak a munkaterülettel kommunikáljon, tekintse meg a proxykonfigurációt.

Az érzékelők és az Azure cloud service közötti hitelesítés erős, tanúsítványalapú kölcsönös hitelesítést használ. Az ügyféltanúsítvány az érzékelő telepítésekor jön létre önaláírt tanúsítványként, amely 2 évig érvényes. A Sensor Updater szolgáltatás feladata egy új önaláírt tanúsítvány létrehozása a meglévő tanúsítvány lejárata előtt. A tanúsítványok 2 fázisú érvényesítési folyamattal kerülnek a háttérrendszerre, így elkerülhető, hogy egy gördülő tanúsítvány megszakítsa a hitelesítést.

A rendszer minden frissítést tesztel és érvényesít az összes támogatott operációs rendszeren, hogy minimális hatással legyen a hálózatra és a műveletekre.

Ha késleltetett frissítésre szeretne beállítani egy érzékelőt:

1. Az Érzékelők lapon válassza ki azt az érzékelőt, amelyet be szeretne állítani a késleltetett frissítésekhez.

2. Válassza az Engedélyezett késleltetett frissítés gombot.

   

3. A megerősítést kérő ablakban válassza az Engedélyezés lehetőséget.

A késleltetett frissítések letiltásához jelölje ki az érzékelőt, majd válassza a Letiltott késleltetett frissítés gombot.

Érzékelőfrissítési folyamat

A Defender for Identity érzékelői néhány percenként ellenőrzik, hogy a legújabb verzióval rendelkeznek-e. Miután a Defender for Identity felhőszolgáltatás egy újabb verzióra frissült, a Defender for Identity érzékelő szolgáltatás elindítja a frissítési folyamatot:

1. A Defender for Identity felhőszolgáltatás a legújabb verzióra frissül.

2. A Defender for Identity érzékelőfrissítési szolgáltatása megtudja, hogy van egy frissített verzió.

3. A késleltetett frissítésre beállított érzékelők érzékelő alapján indítják el a frissítési folyamatot:

   1. A Defender for Identity sensor updater szolgáltatás lekéri a frissített verziót a felhőszolgáltatásból (cab fájlformátumban).
   2. A Defender for Identity érzékelő frissítője ellenőrzi a fájlazonos aláírást.
   3. A Defender for Identity sensor updater szolgáltatás kinyeri a fülkefájlt az érzékelő telepítési mappájában lévő új mappába. Alapértelmezés szerint a rendszer kinyeri a C:\Program Files\Azure Advanced Threat Protection Sensor<verziószámba>
   4. A Defender for Identity sensor szolgáltatás a fülkefájlból kinyert új fájlokra mutat.
   5. A Defender for Identity sensor updater szolgáltatás újraindítja a Defender for Identity sensor szolgáltatást.

      Feljegyzés

      A kisebb érzékelőfrissítések nem telepítenek MSI-t, nem módosítanak beállításjegyzék-értékeket vagy rendszerfájlokat. Még a függőben lévő újraindítás sem befolyásolja az érzékelő frissítését.

   6. Az érzékelők az újonnan frissített verzió alapján futnak.
   7. Az érzékelő engedélyt kap az Azure cloud service-től. Az érzékelők állapotát az Érzékelők lapon ellenőrizheti.
   8. A következő érzékelő elindítja a frissítési folyamatot.

4. A Késleltetett frissítéshez kiválasztott érzékelők 72 órával a Defender for Identity felhőszolgáltatás frissítése után kezdik meg a frissítési folyamatot. Ezek az érzékelők ezután ugyanazt a frissítési folyamatot használják, mint az automatikusan frissített érzékelők.

Minden olyan érzékelő esetében, amely nem tudja befejezni a frissítési folyamatot, a rendszer elindít egy releváns állapotriasztást , és értesítésként küldi el.

A Defender for Identity érzékelő csendes frissítése

Az alábbi paranccsal csendesen frissítheti a Defender for Identity érzékelőt:

Szintaxis:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Telepítési lehetőségek:

Név	Szintaxis	Mandatory for silent installation?	Leírás
Quiet	/quiet	Igen	Runs the installer displaying no UI and no prompts.
Súgó	/help	Nem	Provides help and quick reference. Displays the correct use of the setup command including a list of all options and behaviors.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Igen	Megadja a .Net-keretrendszer telepítésének paramétereit. A .Net-keretrendszer csendes telepítésének kényszerítéséhez be kell állítani.

Példák:

A Defender for Identity érzékelő csendes frissítése:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Proxybeállítások konfigurálása

Javasoljuk, hogy a telepítés során parancssori kapcsolókkal konfigurálja a kezdeti proxybeállításokat. Ha később frissítenie kell a proxybeállításokat, használja a parancssori felületet vagy a PowerShellt.

Ha korábban winINeten vagy beállításkulcson keresztül konfigurálta a proxybeállításokat, és frissítenie kell őket, ugyanazt a módszert kell használnia, amelyet eredetileg használt.

További információ: Végpontproxy és internetkapcsolat beállításainak konfigurálása.

Következő lépések

• Eseménytovábbítás konfigurálása
• A Defender for Identity előfeltételei
• Tekintse meg a Defender for Identity fórumot!