Microsoft Defender for Identity-sensorinstellingen configureren

Artikel
01/01/2024

In dit artikel leert u hoe u microsoft Defender for Identity-sensorinstellingen correct configureert om te beginnen met het bekijken van gegevens. U moet extra configuratie en integratie uitvoeren om te profiteren van de volledige mogelijkheden van Defender for Identity.

In de volgende video ziet u een overzicht van de instellingen van de Defender for Identity-sensor:

Sensorinstellingen weergeven en configureren

Nadat de Defender for Identity-sensor is geïnstalleerd, gaat u als volgt te werk om defender voor identiteitssensorinstellingen weer te geven en te configureren:

Ga in Microsoft Defender XDR naar Instellingen> Identities>Sensors. Voorbeeld:

Op de pagina Sensoren worden al uw Defender for Identity-sensoren weergegeven, met de volgende details per sensor:
- Sensornaam
- Lidmaatschap van sensordomein
- Nummer van sensorversie
- Of updates moeten worden vertraagd
- Status van sensorservice
- Sensorstatus
- Status van sensor
- Het aantal gezondheidsproblemen
- Toen de sensor werd gemaakt
Zie Sensordetails voor meer informatie.
Selecteer Filters om de filters te selecteren die u wilt weergeven. Voorbeeld:
Gebruik de weergegeven filters om te bepalen welke sensoren moeten worden weergegeven. Voorbeeld:
Selecteer een sensor om een detailvenster weer te geven met meer informatie over de sensor en de status ervan. Voorbeeld:
Schuif omlaag en selecteer Sensor beheren om een deelvenster weer te geven waarin u sensordetails kunt configureren. Voorbeeld:

Configureer de volgende sensordetails:

Name	Beschrijving
Beschrijving	Optioneel. Voer een beschrijving in voor de Defender for Identity-sensor.
Domeincontrollers (FQDN)	Vereist voor de zelfstandige sensoren en sensoren van Defender for Identity die zijn geïnstalleerd op AD FS-/AD CS-servers en kunnen niet worden gewijzigd voor de Defender for Identity-sensor. Voer de volledige FQDN van uw domeincontroller in en selecteer het plusteken om deze toe te voegen aan de lijst. Bijvoorbeeld DC1.domain1.test.local. Voor servers die u in de lijst met domeincontrollers definieert: - Alle domeincontrollers waarvan het verkeer wordt bewaakt via poortspiegeling door de zelfstandige Defender for Identity-sensor, moeten worden vermeld in de lijst met domeincontrollers . Als een domeincontroller niet wordt vermeld in de lijst met domeincontrollers , werkt de detectie van verdachte activiteiten mogelijk niet zoals verwacht. - Ten minste één domeincontroller in de lijst moet een globale catalogus zijn. Hierdoor kan Defender for Identity computer- en gebruikersobjecten in andere domeinen in het forest oplossen.
Netwerkadapters vastleggen	Vereist. - Voor Defender for Identity-sensoren worden alle netwerkadapters gebruikt voor communicatie met andere computers in uw organisatie. - Voor een zelfstandige Defender for Identity-sensor op een toegewezen server selecteert u de netwerkadapters die zijn geconfigureerd als de doelspiegelpoort. Deze netwerkadapters ontvangen het verkeer van de gespiegelde domeincontroller.

Selecteer Exporteren op de pagina Sensoren om een lijst met uw sensoren te exporteren naar een .csv-bestand. Voorbeeld:

Installaties valideren

Gebruik de volgende procedures om de installatie van de Defender for Identity-sensor te valideren.

Notitie

Als u op een AD FS- of AD CS-server installeert, gebruikt u een andere set validaties. Zie De implementatie valideren op AD FS-/AD CS-servers voor meer informatie.

Geslaagde implementatie valideren

Controleren of de Defender for Identity-sensor is geïmplementeerd:

Controleer of de Azure Advanced Threat Protection-sensorservice wordt uitgevoerd op uw sensorcomputer. Nadat u de instellingen van de Defender for Identity-sensor hebt opgeslagen, kan het enkele seconden duren voordat de service is gestart.
Als de service niet wordt gestart, controleert u het Microsoft.Tri.sensor-Errors.log bestand, dat zich standaard bevindt op %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, waar <sensor version> is de versie die u hebt geïmplementeerd.

De functionaliteit van beveiligingswaarschuwingen controleren

In deze sectie wordt beschreven hoe u kunt controleren of beveiligingswaarschuwingen worden geactiveerd zoals verwacht.

Wanneer u de voorbeelden in de volgende stappen gebruikt, moet u ervoor zorgen dat u de FQDN van uw Defender for Identity-sensor en domeinnaam vervangt contosodc.contoso.azure en contoso.azure vervangt.

Open op een apparaat dat lid is toegevoegd een opdrachtprompt en voer nslookup
Voer server de FQDN of het IP-adres van de domeincontroller in waarop de Defender for Identity-sensor is geïnstalleerd. Bijvoorbeeld: server contosodc.contoso.azure
ls -d contoso.azure invoeren
Herhaal de vorige twee stappen voor elke sensor die u wilt testen.
Ga naar de pagina met apparaatdetails voor de computer waarop u de connectiviteitstest hebt uitgevoerd, bijvoorbeeld vanaf de pagina Apparaten , door te zoeken naar de apparaatnaam of vanuit een andere locatie in de Defender-portal.
Selecteer op het tabblad Details van het apparaat het tabblad Tijdlijn om de volgende activiteit weer te geven:
- Gebeurtenissen: DNS-query's uitgevoerd op een opgegeven domeinnaam
- Actietype MdiDnsQuery

Als de domeincontroller of AD FS /AD CS die u test de eerste sensor is die u hebt geïmplementeerd, wacht u ten minste 15 minuten voordat u een logische activiteit voor die domeincontroller controleert, zodat de databaseback-end de eerste microservice-implementaties kan voltooien.

De nieuwste beschikbare sensorversie controleren

De Defender for Identity-versie wordt regelmatig bijgewerkt. Controleer op de meest recente versie op de pagina Microsoft Defender XDR Instellingen> Identities>About.

Nu u de eerste configuratiestappen hebt geconfigureerd, kunt u meer instellingen configureren. Ga naar een van de onderstaande pagina's voor meer informatie:

Volgende stap

Gebeurtenisverzameling met Microsoft Defender for Identity »