Konfigurowanie ustawień czujnika usługi Microsoft Defender for Identity

Artykuł
03/17/2024

W tym artykule dowiesz się, jak poprawnie skonfigurować ustawienia czujnika usługi Microsoft Defender for Identity w celu rozpoczęcia wyświetlania danych. Aby korzystać z pełnych możliwości usługi Defender for Identity, należy wykonać dodatkową konfigurację i integrację.

Poniższy film wideo przedstawia przegląd ustawień czujnika usługi Defender for Identity:

Wyświetlanie i konfigurowanie ustawień czujnika

Po zainstalowaniu czujnika usługi Defender for Identity wykonaj następujące czynności, aby wyświetlić i skonfigurować ustawienia czujnika usługi Defender for Identity:

W usłudze Microsoft Defender XDR przejdź do pozycji Ustawienia> Identities Sensors (Czujniki Ustawienia Identities).> Na przykład:

Na stronie Czujniki są wyświetlane wszystkie czujniki usługi Defender for Identity z wyświetlonymi następującymi szczegółami na czujnik:
- Nazwa czujnika
- Członkostwo w domenie czujnika
- Numer wersji czujnika
- Czy aktualizacje powinny być opóźnione
- Stan usługi czujnika
- Stan czujnika
- Stan kondycji czujnika
- Liczba problemów z kondycją
- Po utworzeniu czujnika
Aby uzyskać więcej informacji, zobacz Szczegóły czujnika.
Wybierz pozycję Filtry , aby wybrać filtry, które mają być widoczne. Na przykład:
Użyj wyświetlanych filtrów, aby określić, które czujniki mają być wyświetlane. Na przykład:
Wybierz czujnik, aby wyświetlić okienko szczegółów z więcej informacji o czujniku i jego stanie kondycji. Na przykład:
Przewiń w dół i wybierz pozycję Zarządzaj czujnikiem , aby wyświetlić okienko, w którym można skonfigurować szczegóły czujnika. Na przykład:

Skonfiguruj następujące szczegóły czujnika:

Nazwa/nazwisko	opis
Opis	Opcjonalny. Wprowadź opis czujnika usługi Defender for Identity.
Kontrolery domeny (FQDN)	Wymagane dla autonomicznych czujników i czujników usługi Defender for Identity zainstalowanych na serwerach usług AD FS/AD CS i nie można ich modyfikować dla czujnika usługi Defender for Identity. Wprowadź pełną nazwę FQDN kontrolera domeny i wybierz znak plus, aby dodać go do listy. Na przykład DC1.domain1.test.local. Dla wszystkich serwerów zdefiniowanych na liście Kontrolery domeny: — Wszystkie kontrolery domeny, których ruch jest monitorowany za pośrednictwem funkcji dublowania portów przez autonomiczny czujnik usługi Defender for Identity, muszą być wymienione na liście Kontrolery domeny. Jeśli kontroler domeny nie znajduje się na liście Kontrolery domeny, wykrywanie podejrzanych działań może nie działać zgodnie z oczekiwaniami. — Co najmniej jeden kontroler domeny na liście powinien być wykazem globalnym. Dzięki temu usługa Defender for Identity może rozpoznawać obiekty komputerów i użytkowników w innych domenach w lesie.
Przechwytywanie kart sieciowych	Wymagany. — W przypadku czujników usługi Defender for Identity wszystkie karty sieciowe używane do komunikacji z innymi komputerami w organizacji. — W przypadku autonomicznego czujnika usługi Defender for Identity na dedykowanym serwerze wybierz karty sieciowe skonfigurowane jako docelowy port dublowania. Te karty sieciowe odbierają ruch z dublowanego kontrolera domeny.

Na stronie Czujniki wybierz pozycję Eksportuj, aby wyeksportować listę czujników do pliku .csv. Na przykład:

Weryfikowanie instalacji

Użyj poniższych procedur, aby zweryfikować instalację czujnika usługi Defender for Identity.

Uwaga

Jeśli instalujesz na serwerze usług AD FS lub AD CS, użyjesz innego zestawu weryfikacji. Aby uzyskać więcej informacji, zobacz Weryfikowanie pomyślnego wdrożenia na serwerach usług AD FS/AD CS.

Weryfikowanie pomyślnego wdrożenia

Aby sprawdzić, czy czujnik usługi Defender for Identity został pomyślnie wdrożony:

Sprawdź, czy usługa czujnika usługi Azure Advanced Threat Protection jest uruchomiona na maszynie czujnika. Po zapisaniu ustawień czujnika usługi Defender for Identity uruchomienie usługi może potrwać kilka sekund.
Jeśli usługa nie zostanie uruchomiona, przejrzyj plik Microsoft.Tri.sensor-Errors.log , który znajduje się domyślnie w %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logslokalizacji , gdzie <sensor version> jest wdrożona wersja.

Weryfikowanie funkcji alertów zabezpieczeń

W tej sekcji opisano, jak można sprawdzić, czy alerty zabezpieczeń są wyzwalane zgodnie z oczekiwaniami.

Korzystając z przykładów w poniższych krokach, pamiętaj o zastąpieniu contosodc.contoso.azure nazwy contoso.azure FQDN czujnika usługi Defender for Identity i nazwy domeny odpowiednio.

Na urządzeniu dołączonym do elementu członkowskiego otwórz wiersz polecenia i wprowadź polecenie nslookup
Wprowadź server nazwę FQDN lub adres IP kontrolera domeny, na którym zainstalowano czujnik usługi Defender for Identity. Na przykład: server contosodc.contoso.azure.
Wprowadź ls -d contoso.azure
Powtórz dwa poprzednie kroki dla każdego czujnika, który chcesz przetestować.
Uzyskaj dostęp do strony szczegółów urządzenia dla komputera, z którego uruchomiono test łączności, na przykład ze strony Urządzenia , wyszukując nazwę urządzenia lub z innego miejsca w portalu usługi Defender.
Na karcie Szczegóły urządzenia wybierz kartę Oś czasu , aby wyświetlić następujące działanie:
- Zdarzenia: zapytania DNS wykonywane do określonej nazwy domeny
- Typ akcji MdiDnsQuery

Jeśli kontroler domeny lub usług AD FS / AD CS, które testujesz, jest pierwszym wdrożonym czujnikiem, poczekaj co najmniej 15 minut przed zweryfikowaniem jakiejkolwiek aktywności logicznej dla tego kontrolera domeny, co umożliwi zapleczu bazy danych ukończenie początkowych wdrożeń mikrousług.

Weryfikowanie najnowszej dostępnej wersji czujnika

Wersja usługi Defender for Identity jest często aktualizowana. Sprawdź najnowszą wersję na stronie Microsoft Defender XDR Ustawienia> Identities About (Informacje o tożsamościach>) w usłudze Microsoft Defender.

Po skonfigurowaniu początkowych kroków konfiguracji możesz skonfigurować więcej ustawień. Aby uzyskać więcej informacji, przejdź do dowolnej z poniższych stron:

Następny krok

Zbieranie zdarzeń za pomocą usługi Microsoft Defender for Identity »