Udostępnij za pośrednictwem


Zarządzanie czujnikami usługi Microsoft Defender for Identity i aktualizowanie ich

W tym artykule wyjaśniono, jak skonfigurować czujniki usługi Microsoft Defender for Identity i zarządzać nimi w usłudze Microsoft Defender XDR.

Wyświetlanie ustawień i stanu czujnika usługi Defender for Identity

  1. W usłudze Microsoft Defender XDR przejdź do pozycji Ustawienia , a następnie pozycję Tożsamości.

    Przejdź do pozycji Ustawienia, a następnie pozycję Tożsamości.

  2. Wybierz stronę Czujniki, na której są wyświetlane wszystkie czujniki usługi Defender for Identity. Dla każdego czujnika zobaczysz jego nazwę, członkostwo w domenie, numer wersji, jeśli aktualizacje powinny być opóźnione, stan usługi, stan czujnika, stan kondycji, liczba problemów z kondycją i czas utworzenia czujnika. Aby uzyskać szczegółowe informacje o każdej kolumnie, zobacz Szczegóły czujnika.

    Strona czujnika.

  3. Jeśli wybierzesz pozycję Filtry, możesz wybrać, które filtry będą dostępne. Następnie przy użyciu każdego filtru można wybrać czujniki do wyświetlenia.

    Filtry czujników.

    Filtrowany czujnik.

  4. Jeśli wybierzesz jeden z czujników, zostanie wyświetlone okienko z informacjami o czujniku i jego stanie kondycji.

    Szczegóły czujnika.

  5. Jeśli wybierzesz którykolwiek z problemów z kondycją, zostanie wyświetlone okienko z bardziej szczegółowymi informacjami na ich temat. Jeśli wybierzesz zamknięty problem, możesz go ponownie otworzyć tutaj.

    Szczegóły problemu.

  6. W przypadku wybrania pozycji Zarządzaj czujnikiem zostanie otwarte okienko, w którym można skonfigurować szczegóły czujnika.

    Zarządzanie czujnikiem.

    Konfigurowanie szczegółów czujnika.

  7. Na stronie Czujniki możesz wyeksportować listę czujników do pliku .csv, wybierając pozycję Eksportuj.

    Eksportuj listę czujników.

Szczegóły czujnika

Strona czujników zawiera następujące informacje o poszczególnych czujnikach:

  • Czujnik: wyświetla nazwę komputera NetBIOS czujnika.

  • Typ: wyświetla typ czujnika. Dopuszczalne wartości:

    • Czujnik kontrolera domeny

    • Czujnik usług AD FS (Active Directory Federation Services)

    • Autonomiczny czujnik

    • Czujnik ADCS (usługi certyfikatów Active Directory). Jeśli czujnik jest zainstalowany na serwerze kontrolera domeny ze skonfigurowanymi usługami AD CS, na przykład w środowisku testowym, typ czujnika jest wyświetlany jako czujnik kontrolera domeny.

  • Domena: wyświetla w pełni kwalifikowaną nazwę domeny domeny usługi Active Directory, w której zainstalowano czujnik.

  • Stan usługi: wyświetla stan usługi czujnika na serwerze. Dopuszczalne wartości:

    • Uruchomiono: usługa czujnika jest uruchomiona

    • Uruchamianie: usługa czujnika jest uruchamiana

    • Wyłączone: usługa czujnika jest wyłączona

    • Zatrzymano: usługa czujnika została zatrzymana

    • Nieznany: Czujnik jest odłączony lub nieosiągalny

  • Stan czujnika: wyświetla ogólny stan czujnika. Dopuszczalne wartości:

    • Aktualny: Czujnik uruchamia bieżącą wersję czujnika.

    • Nieaktualne: Czujnik uruchamia wersję oprogramowania, która jest co najmniej trzy wersje za bieżącą wersją.

    • Aktualizowanie: oprogramowanie czujnika jest aktualizowane.

    • Aktualizacja nie powiodła się: Nie można zaktualizować czujnika do nowej wersji.

    • Nieskonfigurowane: czujnik wymaga większej konfiguracji przed jej pełnym działaniem. Dotyczy to czujników zainstalowanych na serwerach usług AD FS/ AD CS lub autonomicznych czujnikach.

    • Uruchamianie nie powiodło się: Czujnik nie ściągał konfiguracji przez ponad 30 minut.

    • Synchronizacja: Czujnik ma oczekujące aktualizacje konfiguracji, ale nie ściągnął jeszcze nowej konfiguracji.

    • Rozłączone: usługa Defender for Identity nie widziała żadnej komunikacji z tego czujnika w ciągu 10 minut.

    • Niemożliwy do osiągnięcia: kontroler domeny został usunięty z usługi Active Directory. Jednak instalacja czujnika nie została odinstalowana i usunięta z kontrolera domeny przed jego likwidacją. Możesz bezpiecznie usunąć ten wpis.

  • Wersja: wyświetla zainstalowaną wersję czujnika.

  • Opóźniona aktualizacja: wyświetla stan opóźnionego mechanizmu aktualizacji czujnika. Dopuszczalne wartości:

    • Włączony

    • Disabled

  • Stan kondycji: wyświetla ogólny stan kondycji czujnika z kolorową ikoną reprezentującą alert o najwyższej ważności otwartego alertu kondycji. Dopuszczalne wartości:

    • W dobrej kondycji (zielona ikona): Brak otwartych problemów z kondycją

    • Niezdrowa (żółta ikona): Problem z kondycją o najwyższej ważności otwarty jest niski

    • Niezdrowa (ikona pomarańczowa): problem z kondycją o najwyższej ważności otwarty jest średni

    • Niezdrowa (czerwona ikona): Najwyższy problem z otwartą kondycją jest wysoki

  • Problemy z kondycją: wyświetla liczbę otwartych problemów z kondycją czujnika.

  • Utworzone: wyświetla datę zainstalowania czujnika

Aktualizowanie czujników

Aktualizowanie czujników usługi Microsoft Defender for Identity zapewnia najlepszą możliwą ochronę organizacji.

Usługa Microsoft Defender for Identity jest zwykle aktualizowana kilka razy w miesiącu z nowymi wykrywaniami, funkcjami i ulepszeniami wydajności. Zazwyczaj te aktualizacje obejmują odpowiednią pomocniczą aktualizację czujników. Pakiety aktualizacji czujników kontrolują tylko możliwości wykrywania czujnika i czujnika usługi Defender for Identity.

Typy aktualizacji czujnika usługi Defender for Identity

Czujniki usługi Defender for Identity obsługują dwa rodzaje aktualizacji:

  • Aktualizacje wersji pomocniczej:

    • Często
    • Nie wymaga instalacji msi i żadnych zmian rejestru
    • Uruchomiono ponownie: usługi czujnika usługi Defender for Identity
  • Aktualizacje wersji głównej:

    • Rzadki
    • Zawiera istotne zmiany
    • Uruchomiono ponownie: usługi czujnika usługi Defender for Identity

Uwaga

  • Czujniki usługi Defender for Identity zawsze rezerwują co najmniej 15% dostępnej pamięci i procesora CPU na kontrolerze domeny, na którym jest zainstalowany. Jeśli usługa Defender for Identity zużywa zbyt dużo pamięci, usługa zostanie automatycznie zatrzymana i ponownie uruchomiona przez usługę aktualizatora czujników usługi Defender for Identity.

Opóźniona aktualizacja czujnika

Biorąc pod uwagę szybkość trwającego opracowywania i wydawania aktualizacji usługi Defender for Identity, możesz zdecydować się na zdefiniowanie grupy podzestawów czujników jako opóźnionego pierścienia aktualizacji, co pozwala na stopniowy proces aktualizacji czujnika. Usługa Defender for Identity umożliwia wybranie sposobu aktualizowania czujników i ustawiania poszczególnych czujników jako kandydata do opóźnionej aktualizacji .

Czujniki, które nie są wybierane w przypadku opóźnionej aktualizacji, są aktualizowane automatycznie za każdym razem, gdy usługa Defender for Identity jest aktualizowana. Czujniki ustawione na opóźnione aktualizacje są aktualizowane z opóźnieniem 72 godzin po oficjalnej wersji każdej aktualizacji usługi.

Opcja opóźnionej aktualizacji umożliwia wybranie określonych czujników jako pierścienia automatycznej aktualizacji, na którym wszystkie aktualizacje są wdrażane automatycznie, i ustawienie pozostałych czujników w celu zaktualizowania opóźnienia, co daje czas na potwierdzenie, że automatycznie zaktualizowane czujniki zakończyły się pomyślnie.

Uwaga

Jeśli wystąpi błąd i czujnik nie zostanie zaktualizowany, otwórz bilet pomocy technicznej. Aby jeszcze bardziej wzmocnić zabezpieczenia serwera proxy w celu komunikowania się tylko z obszarem roboczym, zobacz Konfiguracja serwera proxy.

Uwierzytelnianie między czujnikami a usługą w chmurze platformy Azure korzysta z silnego, opartego na certyfikatach wzajemnego uwierzytelniania. Certyfikat klienta jest tworzony w instalacji czujnika jako certyfikat z podpisem własnym, ważny przez 2 lata. Usługa Aktualizatora czujników jest odpowiedzialna za generowanie nowego certyfikatu z podpisem własnym przed wygaśnięciem istniejącego certyfikatu. Certyfikaty są wdrażane w procesie weryfikacji dwufazowej względem zaplecza, aby uniknąć sytuacji, w której certyfikat stopniowe przerywa uwierzytelnianie.

Każda aktualizacja jest testowana i weryfikowana we wszystkich obsługiwanych systemach operacyjnych, aby spowodować minimalny wpływ na sieć i operacje.

Aby ustawić czujnik na opóźnione aktualizowanie:

  1. Na stronie Czujniki wybierz czujnik, który chcesz ustawić dla opóźnionych aktualizacji.

  2. Wybierz przycisk Włączone opóźnionej aktualizacji.

    Włącz opóźnione aktualizowanie.

  3. W oknie potwierdzenia wybierz pozycję Włącz.

Aby wyłączyć opóźnione aktualizacje, wybierz czujnik, a następnie wybierz przycisk Wyłączone opóźnionej aktualizacji .

Proces aktualizacji czujnika

Co kilka minut czujniki usługi Defender for Identity sprawdzają, czy mają najnowszą wersję. Po zaktualizowaniu usługi Defender for Identity w chmurze do nowszej wersji usługa Czujnik usługi Defender for Identity uruchamia proces aktualizacji:

  1. Usługa Defender for Identity w chmurze aktualizuje najnowszą wersję.

  2. Usługa Aktualizatora czujników usługi Defender for Identity dowiaduje się, że istnieje zaktualizowana wersja.

  3. Czujniki, które nie są ustawione na Opóźniona aktualizacja, uruchamiają proces aktualizacji na czujniku według czujnika:

    1. Usługa aktualizatora czujników usługi Defender for Identity pobiera zaktualizowaną wersję z usługi w chmurze (w formacie pliku cab).
    2. Aktualizator czujnika usługi Defender for Identity weryfikuje podpis pliku.
    3. Usługa aktualizatora czujników usługi Defender for Identity wyodrębnia plik cab do nowego folderu w folderze instalacyjnym czujnika. Domyślnie jest wyodrębniany do katalogu C:\Program Files\Azure Advanced Threat Protection Sensor<numer wersji>
    4. Usługa Czujnika usługi Defender for Identity wskazuje nowe pliki wyodrębnione z pliku cab.
    5. Usługa Updater czujnika usługi Defender for Identity ponownie uruchamia usługę czujnika usługi Defender for Identity.

      Uwaga

      Aktualizacje czujników pomocniczych nie instalują pliku MSI, nie zmieniają wartości rejestru ani żadnych plików systemowych. Nawet oczekujące ponowne uruchomienie nie ma wpływu na aktualizację czujnika.

    6. Czujniki są uruchamiane na podstawie nowo zaktualizowanej wersji.
    7. Czujnik odbiera odprawę z usługi w chmurze platformy Azure. Stan czujnika można sprawdzić na stronie Czujniki .
    8. Następny czujnik uruchamia proces aktualizacji.
  4. Czujniki wybrane dla opóźnionej aktualizacji rozpoczynają proces aktualizacji 72 godziny po zaktualizowaniu usługi Defender for Identity w chmurze. Te czujniki będą następnie używać tego samego procesu aktualizacji co automatycznie aktualizowane czujniki.

W przypadku każdego czujnika, który nie ukończy procesu aktualizacji, zostanie wyzwolony odpowiedni alert kondycji i zostanie wysłany jako powiadomienie.

Błąd aktualizacji czujnika.

Dyskretna aktualizacja czujnika usługi Defender for Identity

Użyj następującego polecenia, aby dyskretnie zaktualizować czujnik usługi Defender for Identity:

Składnia:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Opcje instalacji:

Nazwisko Składnia Obowiązkowe w przypadku instalacji dyskretnej? opis
Quiet /quiet Tak Uruchamia instalatora niewyświetlającego interfejsu użytkownika ani monitów.
Help /help Nie. Udostępnia pomoc i skróconą dokumentację. Wyświetla informacje na temat poprawnego użycia polecenia konfiguracji, w tym listę wszystkich opcji i zachowań.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Tak Określa parametry instalacji programu .Net Framework. Musi być ustawiona tak, aby wymusić instalację dyskretną programu .Net Framework.

Przykłady:

Aby zaktualizować czujnik usługi Defender for Identity w trybie dyskretnym:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Konfigurowanie ustawień serwera proxy

Zalecamy skonfigurowanie początkowych ustawień serwera proxy podczas instalacji przy użyciu przełączników wiersza polecenia. Jeśli musisz zaktualizować ustawienia serwera proxy później, użyj interfejsu wiersza polecenia lub programu PowerShell.

Jeśli wcześniej skonfigurowano ustawienia serwera proxy za pośrednictwem sieci WinINet lub klucza rejestru i trzeba je zaktualizować , musisz użyć tej samej metody , której pierwotnie użyto.

Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera proxy punktu końcowego i ustawień łączności internetowej.

Następne kroki