Mengonfigurasi pengaturan sensor Microsoft Defender untuk Identitas
Dalam artikel ini, Anda akan mempelajari cara mengonfigurasi pengaturan sensor Microsoft Defender untuk Identitas dengan benar untuk mulai melihat data. Anda harus melakukan konfigurasi dan integrasi tambahan untuk memanfaatkan kemampuan penuh Defender for Identity.
Melihat dan mengonfigurasi pengaturan sensor
Setelah sensor Defender for Identity diinstal, lakukan hal berikut untuk melihat dan mengonfigurasi pengaturan sensor Defender for Identity:
Di Microsoft Defender XDR, buka Pengaturan>Sensor Identitas.> Contohnya:
Halaman Sensor menampilkan semua sensor Pertahanan untuk Identitas Anda, yang mencantumkan detail berikut per sensor:
- Status sensor
- Status kesehatan sensor
- Jumlah masalah kesehatan
- Ketika sensor dibuat
Untuk informasi selengkapnya, lihat Detail sensor.
Pilih Filter untuk memilih filter yang ingin Anda lihat. Contohnya:
Gunakan filter yang ditampilkan untuk menentukan sensor mana yang akan ditampilkan. Contohnya:
Pilih sensor untuk menampilkan panel detail dengan informasi selengkapnya tentang sensor dan status kesehatannya. Contohnya:
Gulir ke bawah dan pilih Kelola sensor untuk menampilkan panel tempat Anda dapat mengonfigurasi detail sensor. Contohnya:
Konfigurasikan detail sensor berikut:
Nama Deskripsi Keterangan Opsional. Masukkan deskripsi untuk sensor Defender for Identity. Pengendali Domain (FQDN) Diperlukan untuk sensor dan sensor mandiri Defender for Identity yang diinstal pada server AD FS /AD CS, dan tidak dapat dimodifikasi untuk sensor Defender for Identity.
Masukkan FQDN lengkap pengontrol domain Anda dan pilih tanda plus untuk menambahkannya ke daftar. Misalnya, DC1.domain1.test.local.
Untuk server apa pun yang Anda tentukan dalam daftar Pengendali Domain:
- Semua pengendali domain yang lalu lintasnya sedang dipantau melalui pencerminan port oleh sensor mandiri Defender for Identity harus tercantum dalam daftar Pengendali Domain. Jika pengendali domain tidak tercantum dalam daftar Pengendali Domain, deteksi aktivitas mencurigakan mungkin tidak berfungsi seperti yang diharapkan.
- Setidaknya satu pengendali domain dalam daftar harus menjadi katalog global. Ini memungkinkan Defender for Identity untuk mengatasi objek komputer dan pengguna di domain lain di forest.Menangkap adaptor Jaringan Harus diisi.
- Untuk sensor Defender for Identity, semua adaptor jaringan yang digunakan untuk komunikasi dengan komputer lain di organisasi Anda.
- Untuk sensor mandiri Defender for Identity di server khusus, pilih adaptor jaringan yang dikonfigurasi sebagai port cermin tujuan. Adaptor jaringan ini menerima lalu lintas pengendali domain cermin.Pada halaman Sensor, pilih Ekspor untuk mengekspor daftar sensor Anda ke file .csv. Contohnya:
Memvalidasi penginstalan
Gunakan prosedur berikut untuk memvalidasi penginstalan sensor Defender for Identity Anda.
Catatan
Jika menginstal di server AD FS atau AD CS, Anda akan menggunakan serangkaian validasi yang berbeda. Untuk informasi selengkapnya, lihat Memvalidasi penyebaran yang berhasil di server AD FS/AD CS.
Memvalidasi penyebaran yang berhasil
Untuk memvalidasi bahwa sensor Defender for Identity telah berhasil disebarkan:
Periksa apakah layanan sensor Perlindungan Ancaman Tingkat Lanjut Azure berjalan di mesin sensor Anda. Setelah Anda menyimpan pengaturan sensor Defender for Identity, mungkin perlu beberapa detik agar layanan dimulai.
Jika layanan tidak dimulai, tinjau file Microsoft.Tri.sensor-Errors.log , yang terletak secara default di , di
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs
mana<sensor version>
adalah versi yang Anda sebarkan.
Memverifikasi fungsionalitas pemberitahuan keamanan
Bagian ini menjelaskan bagaimana Anda dapat memverifikasi bahwa pemberitahuan keamanan dipicu seperti yang diharapkan.
Saat menggunakan contoh dalam langkah-langkah berikut, pastikan untuk mengganti contosodc.contoso.azure
dan contoso.azure
dengan FQDN sensor Defender untuk Identitas dan nama domain Anda masing-masing.
Pada perangkat yang bergabung dengan anggota, buka prompt perintah dan masukkan
nslookup
Masukkan
server
dan FQDN atau alamat IP pengontrol domain tempat sensor Defender for Identity diinstal. Misalnya:server contosodc.contoso.azure
Masukkan
ls -d contoso.azure
Ulangi dua langkah sebelumnya untuk setiap sensor yang ingin Anda uji.
Akses halaman detail perangkat untuk komputer tempat Anda menjalankan uji konektivitas, seperti dari halaman Perangkat , dengan mencari nama perangkat, atau dari tempat lain di portal Defender.
Pada tab detail perangkat, pilih tab Garis Waktu untuk melihat aktivitas berikut:
- Peristiwa: Kueri DNS dilakukan ke nama domain tertentu
- Jenis tindakan MdiDnsQuery
Jika pengendali domain atau AD FS / AD CS yang Anda uji adalah sensor pertama yang telah Anda sebarkan, tunggu setidaknya 15 menit sebelum memverifikasi aktivitas logis untuk pengontrol domain tersebut, memungkinkan backend database menyelesaikan penyebaran layanan mikro awal.
Verifikasi versi sensor terbaru yang tersedia
Versi Defender for Identity sering diperbarui. Periksa versi terbaru di halaman Tentang Identitas> Pengaturan>Pertahanan XDR Microsoft.
Konten terkait
Setelah mengonfigurasi langkah-langkah konfigurasi awal, Anda dapat mengonfigurasi lebih banyak pengaturan. Buka salah satu halaman di bawah ini untuk informasi selengkapnya:
- Mengatur tag entitas: server sensitif, honeytoken, dan Exchange
- Mengonfigurasi pengecualian deteksi
- Mengonfigurasi pemberitahuan: masalah kesehatan, pemberitahuan, dan Syslog
Langkah selanjutnya
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk