Mengonfigurasi pengaturan sensor Microsoft Defender untuk Identitas

Dalam artikel ini, Anda akan mempelajari cara mengonfigurasi pengaturan sensor Microsoft Defender untuk Identitas dengan benar untuk mulai melihat data. Anda harus melakukan konfigurasi dan integrasi tambahan untuk memanfaatkan kemampuan penuh Defender for Identity.

Video berikut menunjukkan ulasan pengaturan sensor Defender for Identity:

Melihat dan mengonfigurasi pengaturan sensor

Setelah sensor Defender for Identity diinstal, lakukan hal berikut untuk melihat dan mengonfigurasi pengaturan sensor Defender for Identity:

1. Di Microsoft Defender XDR, buka Pengaturan> Sensor Identitas.> Contohnya:

   

   Halaman Sensor menampilkan semua sensor Pertahanan untuk Identitas Anda, yang mencantumkan detail berikut per sensor:

   • Nama sensor
   • Keanggotaan domain sensor
   • Nomor versi sensor
   • Apakah pembaruan harus tertunda
   • Status layanan sensor

   • Status sensor
   • Status kesehatan sensor
   • Jumlah masalah kesehatan
   • Ketika sensor dibuat

   Untuk informasi selengkapnya, lihat Detail sensor.

2. Pilih Filter untuk memilih filter yang ingin Anda lihat. Contohnya:

   

3. Gunakan filter yang ditampilkan untuk menentukan sensor mana yang akan ditampilkan. Contohnya:

   

4. Pilih sensor untuk menampilkan panel detail dengan informasi selengkapnya tentang sensor dan status kesehatannya. Contohnya:

   

5. Gulir ke bawah dan pilih Kelola sensor untuk menampilkan panel tempat Anda dapat mengonfigurasi detail sensor. Contohnya:

   

6. Konfigurasikan detail sensor berikut:

   Nama	Deskripsi
   Keterangan	Opsional. Masukkan deskripsi untuk sensor Defender for Identity.
   Pengendali Domain (FQDN)	Diperlukan untuk sensor dan sensor mandiri Defender for Identity yang diinstal pada server AD FS /AD CS, dan tidak dapat dimodifikasi untuk sensor Defender for Identity. Masukkan FQDN lengkap pengontrol domain Anda dan pilih tanda plus untuk menambahkannya ke daftar. Misalnya, DC1.domain1.test.local. Untuk server apa pun yang Anda tentukan dalam daftar Pengendali Domain: - Semua pengendali domain yang lalu lintasnya sedang dipantau melalui pencerminan port oleh sensor mandiri Defender for Identity harus tercantum dalam daftar Pengendali Domain. Jika pengendali domain tidak tercantum dalam daftar Pengendali Domain, deteksi aktivitas mencurigakan mungkin tidak berfungsi seperti yang diharapkan. - Setidaknya satu pengendali domain dalam daftar harus menjadi katalog global. Ini memungkinkan Defender for Identity untuk mengatasi objek komputer dan pengguna di domain lain di forest.
   Menangkap adaptor Jaringan	Harus diisi. - Untuk sensor Defender for Identity, semua adaptor jaringan yang digunakan untuk komunikasi dengan komputer lain di organisasi Anda. - Untuk sensor mandiri Defender for Identity di server khusus, pilih adaptor jaringan yang dikonfigurasi sebagai port cermin tujuan. Adaptor jaringan ini menerima lalu lintas pengendali domain cermin.

7. Pada halaman Sensor, pilih Ekspor untuk mengekspor daftar sensor Anda ke file .csv. Contohnya:

   

Memvalidasi penginstalan

Gunakan prosedur berikut untuk memvalidasi penginstalan sensor Defender for Identity Anda.

Catatan

Jika menginstal di server AD FS atau AD CS, Anda akan menggunakan serangkaian validasi yang berbeda. Untuk informasi selengkapnya, lihat Memvalidasi penyebaran yang berhasil di server AD FS/AD CS.

Memvalidasi penyebaran yang berhasil

Untuk memvalidasi bahwa sensor Defender for Identity telah berhasil disebarkan:

1. Periksa apakah layanan sensor Perlindungan Ancaman Tingkat Lanjut Azure berjalan di mesin sensor Anda. Setelah Anda menyimpan pengaturan sensor Defender for Identity, mungkin perlu beberapa detik agar layanan dimulai.

2. Jika layanan tidak dimulai, tinjau file Microsoft.Tri.sensor-Errors.log , yang terletak secara default di , di %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logsmana <sensor version> adalah versi yang Anda sebarkan.

Memverifikasi fungsionalitas pemberitahuan keamanan

Bagian ini menjelaskan bagaimana Anda dapat memverifikasi bahwa pemberitahuan keamanan dipicu seperti yang diharapkan.

Saat menggunakan contoh dalam langkah-langkah berikut, pastikan untuk mengganti contosodc.contoso.azure dan contoso.azure dengan FQDN sensor Defender untuk Identitas dan nama domain Anda masing-masing.

1. Pada perangkat yang bergabung dengan anggota, buka prompt perintah dan masukkan nslookup

2. Masukkan server dan FQDN atau alamat IP pengontrol domain tempat sensor Defender for Identity diinstal. Misalnya: server contosodc.contoso.azure

3. Masukkan ls -d contoso.azure

4. Ulangi dua langkah sebelumnya untuk setiap sensor yang ingin Anda uji.

5. Akses halaman detail perangkat untuk komputer tempat Anda menjalankan uji konektivitas, seperti dari halaman Perangkat , dengan mencari nama perangkat, atau dari tempat lain di portal Defender.

6. Pada tab detail perangkat, pilih tab Garis Waktu untuk melihat aktivitas berikut:

   • Peristiwa: Kueri DNS dilakukan ke nama domain tertentu
   • Jenis tindakan MdiDnsQuery

Jika pengendali domain atau AD FS / AD CS yang Anda uji adalah sensor pertama yang telah Anda sebarkan, tunggu setidaknya 15 menit sebelum memverifikasi aktivitas logis untuk pengontrol domain tersebut, memungkinkan backend database menyelesaikan penyebaran layanan mikro awal.

Verifikasi versi sensor terbaru yang tersedia

Versi Defender for Identity sering diperbarui. Periksa versi terbaru di halaman Microsoft Defender XDR Pengaturan> Identities>About.

Konten terkait

Setelah mengonfigurasi langkah-langkah konfigurasi awal, Anda dapat mengonfigurasi lebih banyak pengaturan. Buka salah satu halaman di bawah ini untuk informasi selengkapnya:

• Mengatur tag entitas: server sensitif, honeytoken, dan Exchange
• Mengonfigurasi pengecualian deteksi
• Mengonfigurasi pemberitahuan: masalah kesehatan, pemberitahuan, dan Syslog

Langkah selanjutnya

Koleksi acara dengan Microsoft Defender untuk Identitas »