Mengelola dan memperbarui sensor Microsoft Defender untuk Identitas

Artikel ini menjelaskan cara mengonfigurasi dan mengelola sensor Microsoft Defender untuk Identitas di Microsoft Defender XDR.

Melihat pengaturan dan status sensor Pertahanan untuk Identitas

1. Di Microsoft Defender XDR, buka Pengaturan lalu Identitas.

   

2. Pilih halaman Sensor , yang menampilkan semua sensor Pertahanan untuk Identitas Anda. Untuk setiap sensor, Anda akan melihat namanya, keanggotaan domainnya, nomor versi, jika pembaruan harus ditunda, status layanan, status sensor, status kesehatan, jumlah masalah kesehatan, dan kapan sensor dibuat. Untuk detail tentang setiap kolom, lihat Detail sensor.

   

3. Jika Anda memilih Filter, Anda dapat memilih filter mana yang akan tersedia. Kemudian dengan setiap filter, Anda dapat memilih sensor mana yang akan ditampilkan.

   

   

4. Jika Anda memilih salah satu sensor, panel akan ditampilkan dengan informasi tentang sensor dan status kesehatannya.

   

5. Jika Anda memilih salah satu masalah kesehatan, Anda akan mendapatkan panel dengan detail selengkapnya tentang masalah tersebut. Jika Anda memilih masalah tertutup, Anda dapat membukanya kembali dari sini.

   

6. Jika Anda memilih Kelola sensor, panel akan terbuka di mana Anda dapat mengonfigurasi detail sensor.

   

   

7. Di halaman Sensor , Anda dapat mengekspor daftar sensor ke file .csv dengan memilih Ekspor.

   

Detail sensor

Halaman sensor menyediakan informasi berikut tentang setiap sensor:

• Sensor: Menampilkan nama komputer NetBIOS sensor.

• Jenis: Menampilkan jenis sensor. Kemungkinan nilai adalah:

  • Sensor pengendali domain

  • Sensor Layanan Federasi Direktori Aktif (Layanan Federasi Direktori Aktif)

  • Sensor mandiri

  • Sensor ADCS (Layanan Sertifikat Direktori Aktif). Jika sensor Anda diinstal pada server pengendali domain dengan AD CS yang dikonfigurasi, seperti di lingkungan pengujian, jenis sensor ditampilkan sebagai sensor Pengendali domain sebagai gantinya.

• Domain: Menampilkan nama domain yang sepenuhnya memenuhi syarat dari domain Direktori Aktif tempat sensor diinstal.

• Status Layanan: Menampilkan status layanan sensor di server. Kemungkinan nilai adalah:

  • Berjalan: Layanan sensor sedang berjalan

  • Mulai: Layanan sensor dimulai

  • Dinonaktifkan: Layanan sensor dinonaktifkan

  • Dihentikan: Layanan sensor dihentikan

  • Tidak diketahui: Sensor terputus atau tidak dapat dijangkau

• Status Sensor: Menampilkan status keseluruhan sensor. Kemungkinan nilai adalah:

  • Terbaru: Sensor menjalankan versi sensor saat ini.

  • Ketinggalan jaman: Sensor menjalankan versi perangkat lunak yang setidaknya tiga versi di belakang versi saat ini.

  • Memperbarui: Perangkat lunak sensor sedang diperbarui.

  • Pembaruan gagal: Sensor gagal diperbarui ke versi baru.

  • Tidak Dikonfigurasi: Sensor memerlukan lebih banyak konfigurasi sebelum sepenuhnya beroperasi. Ini berlaku untuk sensor yang diinstal pada server AD FS / AD CS atau sensor mandiri.

  • Mulai gagal: Sensor tidak menarik konfigurasi selama lebih dari 30 menit.

  • Sinkronisasi: Sensor memiliki pembaruan konfigurasi yang tertunda, tetapi belum menarik konfigurasi baru.

  • Terputus: Layanan Defender for Identity belum melihat komunikasi apa pun dari sensor ini dalam 10 menit.

  • Tidak dapat dijangkau: Pengontrol domain dihapus dari Direktori Aktif. Namun, penginstalan sensor tidak dihapus instalasinya dan dihapus dari pengendali domain sebelum dinonaktifkan. Anda dapat menghapus entri ini dengan aman.

• Versi: Menampilkan versi sensor yang diinstal.

• Pembaruan tertunda: Menampilkan status mekanisme pembaruan sensor yang tertunda. Kemungkinan nilai adalah:

  • Aktif

  • Nonaktif

• Status kesehatan: Menampilkan status kesehatan sensor secara keseluruhan dengan ikon berwarna yang mewakili pemberitahuan kesehatan terbuka dengan tingkat keparahan tertinggi. Kemungkinan nilai adalah:

  • Sehat (ikon hijau): Tidak ada masalah kesehatan yang dibuka

  • Tidak sehat (ikon kuning): Tingkat keparahan tertinggi yang dibuka masalah kesehatan rendah

  • Tidak sehat (ikon oranye): Tingkat keparahan tertinggi yang dibuka masalah kesehatan sedang

  • Tidak sehat (ikon merah): Tingkat keparahan tertinggi yang dibuka masalah kesehatan tinggi

• Masalah kesehatan: Menampilkan jumlah masalah kesehatan yang dibuka pada sensor.

• Dibuat: Menampilkan tanggal sensor diinstal

Memperbarui sensor Anda

Menjaga sensor Microsoft Defender untuk Identitas Anda tetap terbarui, memberikan perlindungan terbaik untuk organisasi Anda.

Layanan Microsoft Defender untuk Identitas biasanya diperbarui beberapa kali sebulan dengan deteksi, fitur, dan peningkatan performa baru. Biasanya pembaruan ini mencakup pembaruan kecil yang sesuai ke sensor. Sensor Pertahanan untuk Identitas dan pembaruan terkait tidak pernah memiliki izin tulis ke pengendali domain Anda. Paket pembaruan sensor hanya mengontrol sensor Defender for Identity dan kemampuan deteksi sensor.

Jenis pembaruan sensor Defender for Identity

Sensor Defender for Identity mendukung dua jenis pembaruan:

• Pembaruan versi minor:

  • Sering
  • Tidak memerlukan penginstalan MSI, dan tidak ada perubahan registri
  • Dimulai ulang: Layanan sensor Defender for Identity

• Pembaruan versi utama:

  • Jarang
  • Berisi perubahan signifikan
  • Dimulai ulang: Layanan sensor Defender for Identity

Catatan

• Sensor Defender for Identity selalu mencadangkan setidaknya 15% dari memori dan CPU yang tersedia pada pengendali domain tempatnya diinstal. Jika layanan Defender for Identity mengonsumsi terlalu banyak memori, layanan secara otomatis dihentikan dan dimulai ulang oleh layanan pembaruan sensor Defender for Identity.

Pembaruan sensor tertunda

Mengingat kecepatan cepat pengembangan Defender for Identity yang sedang berlangsung dan pembaruan rilis, Anda dapat memutuskan untuk menentukan grup subset sensor Anda sebagai cincin pembaruan yang tertunda, yang memungkinkan proses pembaruan sensor bertahap. Defender for Identity memungkinkan Anda memilih bagaimana sensor Anda diperbarui dan mengatur setiap sensor sebagai kandidat pembaruan tertunda.

Sensor yang tidak dipilih untuk pembaruan tertunda diperbarui secara otomatis, setiap kali layanan Defender for Identity diperbarui. Sensor yang diatur ke Pembaruan tertunda diperbarui pada penundaan 72 jam, setelah rilis resmi setiap pembaruan layanan.

Opsi pembaruan yang tertunda memungkinkan Anda memilih sensor tertentu sebagai cincin pembaruan otomatis, di mana semua pembaruan diluncurkan secara otomatis, dan mengatur sensor Lainnya untuk diperbarui pada penundaan, memberi Anda waktu untuk mengonfirmasi bahwa sensor yang diperbarui secara otomatis berhasil.

Catatan

Jika terjadi kesalahan dan sensor tidak diperbarui, buka tiket dukungan. Untuk lebih mengeraskan proksi Anda agar hanya berkomunikasi dengan ruang kerja Anda, lihat Konfigurasi proksi.

Autentikasi antara sensor Anda dan layanan cloud Azure menggunakan autentikasi bersama berbasis sertifikat yang kuat. Sertifikat klien dibuat di penginstalan sensor sebagai sertifikat yang ditandatangani sendiri, berlaku selama 2 tahun. Layanan Sensor Updater bertanggung jawab untuk membuat sertifikat baru yang ditandatangani sendiri sebelum sertifikat yang ada kedaluwarsa. Sertifikat digulung dengan proses validasi 2 fase terhadap backend untuk menghindari situasi di mana sertifikat bergulir merusak autentikasi.

Setiap pembaruan diuji dan divalidasi pada semua sistem operasi yang didukung untuk menyebabkan dampak minimal pada jaringan dan operasi Anda.

Untuk mengatur sensor ke pembaruan tertunda:

1. Di halaman Sensor , pilih sensor yang ingin Anda atur untuk pembaruan yang tertunda.

2. Pilih tombol Aktifkan pembaruan tertunda.

   

3. Di jendela konfirmasi, pilih Aktifkan.

Untuk menonaktifkan pembaruan tertunda, pilih sensor lalu pilih tombol Nonaktifkan pembaruan tertunda.

Proses pembaruan sensor

Setiap beberapa menit, sensor Defender for Identity memeriksa apakah mereka memiliki versi terbaru. Setelah layanan cloud Defender for Identity diperbarui ke versi yang lebih baru, layanan sensor Defender for Identity memulai proses pembaruan:

1. Layanan cloud Defender for Identity diperbarui ke versi terbaru.

2. Layanan pembaharu sensor Defender for Identity mengetahui bahwa ada versi yang diperbarui.

3. Sensor yang tidak diatur ke Pembaruan tertunda memulai proses pembaruan berdasarkan sensor berdasarkan sensor:

   1. Layanan pembaharu sensor Defender for Identity menarik versi yang diperbarui dari layanan cloud (dalam format file kabin).
   2. Pembaharu sensor Defender for Identity memvalidasi tanda tangan file.
   3. Layanan pembaharu sensor Defender for Identity mengekstrak file kabin ke folder baru di folder penginstalan sensor. Secara default diekstrak ke nomor versi C:\Program Files\Azure Advanced Threat Protection Sensor<>
   4. Layanan sensor Defender for Identity menunjuk ke file baru yang diekstrak dari file kabin.
   5. Layanan pembaharu sensor Defender for Identity memulai ulang layanan sensor Defender for Identity.

      Catatan

      Pembaruan sensor kecil tidak menginstal MSI, tidak mengubah nilai registri atau file sistem apa pun. Bahkan mulai ulang yang tertunda tidak berdampak pada pembaruan sensor.

   6. Sensor berjalan berdasarkan versi yang baru diperbarui.
   7. Sensor menerima izin dari layanan cloud Azure. Anda dapat memverifikasi status sensor di halaman Sensor .
   8. Sensor berikutnya memulai proses pembaruan.

4. Sensor yang dipilih untuk Pembaruan tertunda memulai proses pembaruan mereka 72 jam setelah layanan cloud Defender for Identity diperbarui. Sensor ini kemudian akan menggunakan proses pembaruan yang sama seperti sensor yang diperbarui secara otomatis.

Untuk sensor apa pun yang gagal menyelesaikan proses pembaruan, pemberitahuan kesehatan yang relevan dipicu, dan dikirim sebagai pemberitahuan.

Memperbarui sensor Pertahanan untuk Identitas secara diam-diam

Gunakan perintah berikut untuk memperbarui sensor Defender for Identity secara diam-diam:

Sintaks:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Opsi penginstalan:

Nama	Sintaks	Wajib untuk penginstalan senyap?	Deskripsi
Tenang	/quiet	Ya	Menjalankan alat penginstal yang tidak menampilkan UI dan tanpa perintah.
Help	/help	No	Menyediakan bantuan dan referensi cepat. Menampilkan penggunaan perintah penyiapan yang benar termasuk daftar semua opsi dan perilaku.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Ya	Menentukan parameter untuk penginstalan .Net Framework. Harus diatur untuk memberlakukan penginstalan senyap .Net Framework.

Contoh:

Untuk memperbarui sensor Defender for Identity secara diam-diam:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Mengonfigurasi pengaturan proksi

Kami menyarankan agar Anda mengonfigurasi pengaturan proksi awal selama penginstalan menggunakan sakelar baris perintah. Jika Anda perlu memperbarui pengaturan proksi nanti, gunakan CLI atau PowerShell.

Jika sebelumnya Anda telah mengonfigurasi pengaturan proksi melalui WinINet atau kunci registri dan perlu memperbaruinya, Anda harus menggunakan metode yang sama dengan yang Anda gunakan pada awalnya.

Untuk informasi selengkapnya, lihat Mengonfigurasi proksi titik akhir dan pengaturan konektivitas internet.

Langkah berikutnya

• Mengonfigurasi penerusan peristiwa
• Prasyarat Defender for Identity
• Lihat forum Defender for Identity!