Konfigurer innstillinger for Microsoft Defender for identitet sensor
I denne artikkelen lærer du hvordan du konfigurerer Microsoft Defender for identitet sensorinnstillinger på riktig måte for å begynne å se data. Du må utføre ytterligere konfigurasjon og integrering for å dra nytte av Defender for identitetens fulle funksjoner.
Når Defender for Identity-sensoren er installert, gjør du følgende for å vise og konfigurere innstillinger for Defender for identitetssensor:
Gå tilInnstillingeridentitetssensorer>>i Microsoft Defender XDR. Eksempel:
Sensorer-siden viser alle Defender for Identity-sensorene, og lister opp følgende detaljer per sensor:
- Sensornavn
- Sensordomenemedlemskap
- Sensorversjonsnummer
- Om oppdateringer skal forsinkes
- Status for sensortjeneste
- Sensorstatus
- Status for sensortilstand
- Antall helseproblemer
- Da sensoren ble opprettet
Hvis du vil ha mer informasjon, kan du se Sensordetaljer.
Velg Filtre for å velge filtrene du vil vise. Eksempel:
Bruk de viste filtrene til å bestemme hvilke sensorer som skal vises. Eksempel:
Velg en sensor for å vise en detaljrute med mer informasjon om sensoren og tilstanden. Eksempel:
Rull nedover og velg Administrer sensor for å vise en rute der du kan konfigurere sensordetaljer. Eksempel:
Konfigurer følgende sensordetaljer:
Navn Beskrivelse Beskrivelse Valgfri. Skriv inn en beskrivelse for Defender for Identity-sensoren. Domenekontrollere (FQDN) Obligatorisk for Defender for Identity frittstående sensorer og sensorer installert på AD FS / AD CS-servere, og kan ikke endres for Defender for Identity-sensoren.
Skriv inn fullstendig FQDN for domenekontrolleren, og velg plusstegnet for å legge det til i listen. For eksempel DC1.domain1.test.local.
For alle servere du definerer i listen over domenekontrollere :
– Alle domenekontrollere som har trafikk som overvåkes via portspeiling av den frittstående Defender for Identity-sensoren, må være oppført i listen over domenekontrollere . Hvis en domenekontroller ikke er oppført i listen over domenekontrollere , kan det hende at gjenkjenning av mistenkelige aktiviteter ikke fungerer som forventet.
– Minst én domenekontroller i listen må være en global katalog. Dette gjør det mulig for Defender for Identity å løse datamaskin- og brukerobjekter i andre domener i skogen.Fange opp nettverkskort Påkrevd.
– For Defender for Identity-sensorer er alle nettverkskort som brukes til kommunikasjon med andre datamaskiner i organisasjonen.
– Velg nettverkskortene som er konfigurert som speilport for Defender for Identity på en dedikert server. Disse nettverkskortene mottar den speilede domenekontrollertrafikken.Velg Eksporter på Sensorer-siden for å eksportere en liste over sensorer til en .csv-fil. Eksempel:
Bruk følgende fremgangsmåter for å validere installasjonen av Defender for Identity-sensoren.
Obs!
Hvis du installerer på en AD FS- eller AD CS-server, bruker du et annet sett med valideringer. Hvis du vil ha mer informasjon, kan du se Validere vellykket distribusjon på AD FS / AD CS-servere.
Slik validerer du at Defender for Identity-sensoren er distribuert:
Kontroller at sensortjenesten for Azure Advanced Threat Protection kjører på sensormaskinen. Når du har lagret Defender for innstillinger for identitetssensor, kan det ta noen sekunder før tjenesten starter.
Hvis tjenesten ikke starter, kan du se gjennom den Microsoft.Tri.sensor-Errors.log filen, som er plassert som standard på
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs
, hvor<sensor version>
er versjonen du distribuerte.
Denne delen beskriver hvordan du kan kontrollere at sikkerhetsvarsler utløses som forventet.
Når du bruker eksemplene i følgende trinn, må du passe på å erstatte contosodc.contoso.azure
og contoso.azure
med FQDN for henholdsvis Defender for Identity-sensoren og domenenavnet.
Åpne en ledetekst på en medlemskoblet enhet, og skriv inn
nslookup
Enter
server
og FQDN- eller IP-adressen til domenekontrolleren der Defender for Identity-sensoren er installert. For eksempel:server contosodc.contoso.azure
Komme inn
ls -d contoso.azure
Gjenta de to foregående trinnene for hver sensor du vil teste.
Få tilgang til siden for enhetsdetaljer for datamaskinen du kjørte tilkoblingstesten fra, for eksempel fra Enheter-siden, ved å søke etter enhetsnavn eller fra andre steder i Defender-portalen.
Velg Tidslinje-fanen på enhetsdetaljer-fanen for å vise følgende aktivitet:
- Hendelser: DNS-spørringer utført til et angitt domenenavn
- Handlingstype MdiDnsQuery
Hvis domenekontrolleren eller AD FS /AD CS som du tester, er den første sensoren du har distribuert, må du vente minst 15 minutter før du bekrefter noen logisk aktivitet for denne domenekontrolleren, slik at serverdelen for databasen kan fullføre de første mikrotjenestedistribusjonene.
Defender for Identity-versjonen oppdateres jevnlig. Se etter den nyeste versjonen på siden Microsoft Defender XDR Settings>Identities>About.
Nå som du har konfigurert de første konfigurasjonstrinnene, kan du konfigurere flere innstillinger. Gå til en av sidene nedenfor for mer informasjon: