Les på engelsk

Del via


Konfigurer innstillinger for Microsoft Defender for identitet sensor

I denne artikkelen lærer du hvordan du konfigurerer Microsoft Defender for identitet sensorinnstillinger på riktig måte for å begynne å se data. Du må utføre ytterligere konfigurasjon og integrering for å dra nytte av Defender for identitetens fulle funksjoner.

Vis og konfigurer sensorinnstillinger

Når Defender for Identity-sensoren er installert, gjør du følgende for å vise og konfigurere innstillinger for Defender for identitetssensor:

  1. Gå tilInnstillingeridentitetssensorer>>i Microsoft Defender XDR. Eksempel:

    Skjermbilde av Sensorer-siden.

    Sensorer-siden viser alle Defender for Identity-sensorene, og lister opp følgende detaljer per sensor:

    • Sensornavn
    • Sensordomenemedlemskap
    • Sensorversjonsnummer
    • Om oppdateringer skal forsinkes
    • Status for sensortjeneste
    • Sensorstatus
    • Status for sensortilstand
    • Antall helseproblemer
    • Da sensoren ble opprettet

    Hvis du vil ha mer informasjon, kan du se Sensordetaljer.

  2. Velg Filtre for å velge filtrene du vil vise. Eksempel:

    Skjermbilde av sensorfiltre.

  3. Bruk de viste filtrene til å bestemme hvilke sensorer som skal vises. Eksempel:

    Skjermbilde av en filtrert liste over sensorer.

  4. Velg en sensor for å vise en detaljrute med mer informasjon om sensoren og tilstanden. Eksempel:

    Skjermbilde av en sensordetaljerrute.

  5. Rull nedover og velg Administrer sensor for å vise en rute der du kan konfigurere sensordetaljer. Eksempel:

    Skjermbilde av alternativet Administrer sensor.

  6. Konfigurer følgende sensordetaljer:

    Navn Beskrivelse
    Beskrivelse Valgfri. Skriv inn en beskrivelse for Defender for Identity-sensoren.
    Domenekontrollere (FQDN) Obligatorisk for Defender for Identity frittstående sensorer og sensorer installert på AD FS / AD CS-servere, og kan ikke endres for Defender for Identity-sensoren.

    Skriv inn fullstendig FQDN for domenekontrolleren, og velg plusstegnet for å legge det til i listen. For eksempel DC1.domain1.test.local.

    For alle servere du definerer i listen over domenekontrollere :

    – Alle domenekontrollere som har trafikk som overvåkes via portspeiling av den frittstående Defender for Identity-sensoren, må være oppført i listen over domenekontrollere . Hvis en domenekontroller ikke er oppført i listen over domenekontrollere , kan det hende at gjenkjenning av mistenkelige aktiviteter ikke fungerer som forventet.

    – Minst én domenekontroller i listen må være en global katalog. Dette gjør det mulig for Defender for Identity å løse datamaskin- og brukerobjekter i andre domener i skogen.
    Fange opp nettverkskort Påkrevd.

    – For Defender for Identity-sensorer er alle nettverkskort som brukes til kommunikasjon med andre datamaskiner i organisasjonen.

    – Velg nettverkskortene som er konfigurert som speilport for Defender for Identity på en dedikert server. Disse nettverkskortene mottar den speilede domenekontrollertrafikken.
  7. Velg EksporterSensorer-siden for å eksportere en liste over sensorer til en .csv-fil. Eksempel:

    Skjermbilde av eksport av en liste over sensorer.

Validere installasjoner

Bruk følgende fremgangsmåter for å validere installasjonen av Defender for Identity-sensoren.

Obs!

Hvis du installerer på en AD FS- eller AD CS-server, bruker du et annet sett med valideringer. Hvis du vil ha mer informasjon, kan du se Validere vellykket distribusjon på AD FS / AD CS-servere.

Valider vellykket distribusjon

Slik validerer du at Defender for Identity-sensoren er distribuert:

  1. Kontroller at sensortjenesten for Azure Advanced Threat Protection kjører på sensormaskinen. Når du har lagret Defender for innstillinger for identitetssensor, kan det ta noen sekunder før tjenesten starter.

  2. Hvis tjenesten ikke starter, kan du se gjennom den Microsoft.Tri.sensor-Errors.log filen, som er plassert som standard på %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, hvor <sensor version> er versjonen du distribuerte.

Bekreft sikkerhetsvarslingsfunksjonalitet

Denne delen beskriver hvordan du kan kontrollere at sikkerhetsvarsler utløses som forventet.

Når du bruker eksemplene i følgende trinn, må du passe på å erstatte contosodc.contoso.azure og contoso.azure med FQDN for henholdsvis Defender for Identity-sensoren og domenenavnet.

  1. Åpne en ledetekst på en medlemskoblet enhet, og skriv inn nslookup

  2. Enter server og FQDN- eller IP-adressen til domenekontrolleren der Defender for Identity-sensoren er installert. For eksempel: server contosodc.contoso.azure

  3. Komme inn ls -d contoso.azure

  4. Gjenta de to foregående trinnene for hver sensor du vil teste.

  5. Få tilgang til siden for enhetsdetaljer for datamaskinen du kjørte tilkoblingstesten fra, for eksempel fra Enheter-siden, ved å søke etter enhetsnavn eller fra andre steder i Defender-portalen.

  6. Velg Tidslinje-fanen på enhetsdetaljer-fanen for å vise følgende aktivitet:

    • Hendelser: DNS-spørringer utført til et angitt domenenavn
    • Handlingstype MdiDnsQuery

Hvis domenekontrolleren eller AD FS /AD CS som du tester, er den første sensoren du har distribuert, må du vente minst 15 minutter før du bekrefter noen logisk aktivitet for denne domenekontrolleren, slik at serverdelen for databasen kan fullføre de første mikrotjenestedistribusjonene.

Bekreft den nyeste tilgjengelige sensorversjonen

Defender for Identity-versjonen oppdateres jevnlig. Se etter den nyeste versjonen på siden Microsoft Defender XDR Settings>Identities>About.

Nå som du har konfigurert de første konfigurasjonstrinnene, kan du konfigurere flere innstillinger. Gå til en av sidene nedenfor for mer informasjon:

Neste trinn: