Konfigurowanie ustawień czujnika usługi Microsoft Defender for Identity
W tym artykule dowiesz się, jak poprawnie skonfigurować ustawienia czujnika usługi Microsoft Defender for Identity w celu rozpoczęcia wyświetlania danych. Aby korzystać z pełnych możliwości usługi Defender for Identity, należy wykonać dodatkową konfigurację i integrację.
Wyświetlanie i konfigurowanie ustawień czujnika
Po zainstalowaniu czujnika usługi Defender for Identity wykonaj następujące czynności, aby wyświetlić i skonfigurować ustawienia czujnika usługi Defender for Identity:
W usłudze>Microsoft Defender XDR przejdź do pozycji Ustawienia>Czujniki tożsamości. Na przykład:
Na stronie Czujniki są wyświetlane wszystkie czujniki usługi Defender for Identity z wyświetlonymi następującymi szczegółami na czujnik:
- Nazwa czujnika
- Członkostwo w domenie czujnika
- Numer wersji czujnika
- Czy aktualizacje powinny być opóźnione
- Stan usługi czujnika
- Stan czujnika
- Stan kondycji czujnika
- Liczba problemów z kondycją
- Po utworzeniu czujnika
Aby uzyskać więcej informacji, zobacz Szczegóły czujnika.
Wybierz pozycję Filtry , aby wybrać filtry, które mają być widoczne. Na przykład:
Użyj wyświetlanych filtrów, aby określić, które czujniki mają być wyświetlane. Na przykład:
Wybierz czujnik, aby wyświetlić okienko szczegółów z więcej informacji o czujniku i jego stanie kondycji. Na przykład:
Przewiń w dół i wybierz pozycję Zarządzaj czujnikiem , aby wyświetlić okienko, w którym można skonfigurować szczegóły czujnika. Na przykład:
Skonfiguruj następujące szczegóły czujnika:
Nazwa/nazwisko opis Opis Opcjonalny. Wprowadź opis czujnika usługi Defender for Identity. Kontrolery domeny (FQDN) Wymagane dla autonomicznych czujników i czujników usługi Defender for Identity zainstalowanych na serwerach usług AD FS/AD CS i nie można ich modyfikować dla czujnika usługi Defender for Identity.
Wprowadź pełną nazwę FQDN kontrolera domeny i wybierz znak plus, aby dodać go do listy. Na przykład DC1.domain1.test.local.
Dla wszystkich serwerów zdefiniowanych na liście Kontrolery domeny:
— Wszystkie kontrolery domeny, których ruch jest monitorowany za pośrednictwem funkcji dublowania portów przez autonomiczny czujnik usługi Defender for Identity, muszą być wymienione na liście Kontrolery domeny. Jeśli kontroler domeny nie znajduje się na liście Kontrolery domeny, wykrywanie podejrzanych działań może nie działać zgodnie z oczekiwaniami.
— Co najmniej jeden kontroler domeny na liście powinien być wykazem globalnym. Dzięki temu usługa Defender for Identity może rozpoznawać obiekty komputerów i użytkowników w innych domenach w lesie.Przechwytywanie kart sieciowych Wymagany.
— W przypadku czujników usługi Defender for Identity wszystkie karty sieciowe używane do komunikacji z innymi komputerami w organizacji.
— W przypadku autonomicznego czujnika usługi Defender for Identity na dedykowanym serwerze wybierz karty sieciowe skonfigurowane jako docelowy port dublowania. Te karty sieciowe odbierają ruch z dublowanego kontrolera domeny.Na stronie Czujniki wybierz pozycję Eksportuj, aby wyeksportować listę czujników do pliku .csv. Na przykład:
Weryfikowanie instalacji
Użyj poniższych procedur, aby zweryfikować instalację czujnika usługi Defender for Identity.
Uwaga
Jeśli instalujesz na serwerze usług AD FS lub AD CS, użyjesz innego zestawu weryfikacji. Aby uzyskać więcej informacji, zobacz Weryfikowanie pomyślnego wdrożenia na serwerach usług AD FS/AD CS.
Weryfikowanie pomyślnego wdrożenia
Aby sprawdzić, czy czujnik usługi Defender for Identity został pomyślnie wdrożony:
Sprawdź, czy usługa czujnika usługi Azure Advanced Threat Protection jest uruchomiona na maszynie czujnika. Po zapisaniu ustawień czujnika usługi Defender for Identity uruchomienie usługi może potrwać kilka sekund.
Jeśli usługa nie zostanie uruchomiona, przejrzyj plik Microsoft.Tri.sensor-Errors.log , który znajduje się domyślnie w
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs
lokalizacji , gdzie<sensor version>
jest wdrożona wersja.
Weryfikowanie funkcji alertów zabezpieczeń
W tej sekcji opisano, jak można sprawdzić, czy alerty zabezpieczeń są wyzwalane zgodnie z oczekiwaniami.
Korzystając z przykładów w poniższych krokach, pamiętaj o zastąpieniu contosodc.contoso.azure
nazwy contoso.azure
FQDN czujnika usługi Defender for Identity i nazwy domeny odpowiednio.
Na urządzeniu dołączonym do elementu członkowskiego otwórz wiersz polecenia i wprowadź polecenie
nslookup
Wprowadź
server
nazwę FQDN lub adres IP kontrolera domeny, na którym zainstalowano czujnik usługi Defender for Identity. Na przykład:server contosodc.contoso.azure
.Wprowadź
ls -d contoso.azure
Powtórz dwa poprzednie kroki dla każdego czujnika, który chcesz przetestować.
Uzyskaj dostęp do strony szczegółów urządzenia dla komputera, z którego uruchomiono test łączności, na przykład ze strony Urządzenia , wyszukując nazwę urządzenia lub z innego miejsca w portalu usługi Defender.
Na karcie Szczegóły urządzenia wybierz kartę Oś czasu , aby wyświetlić następujące działanie:
- Zdarzenia: zapytania DNS wykonywane do określonej nazwy domeny
- Typ akcji MdiDnsQuery
Jeśli kontroler domeny lub usług AD FS / AD CS, które testujesz, jest pierwszym wdrożonym czujnikiem, poczekaj co najmniej 15 minut przed zweryfikowaniem jakiejkolwiek aktywności logicznej dla tego kontrolera domeny, co umożliwi zapleczu bazy danych ukończenie początkowych wdrożeń mikrousług.
Weryfikowanie najnowszej dostępnej wersji czujnika
Wersja usługi Defender for Identity jest często aktualizowana. Sprawdź najnowszą wersję na stronie Tożsamości> ustawień XDR >usługi Microsoft Defender.
Powiązana zawartość
Po skonfigurowaniu początkowych kroków konfiguracji możesz skonfigurować więcej ustawień. Aby uzyskać więcej informacji, przejdź do dowolnej z poniższych stron:
- Ustawianie tagów jednostek: poufne, wystawione jako przynęta i serwer Exchange
- Konfigurowanie wykluczeń wykrywania
- Konfigurowanie powiadomień: problemy z kondycją, alerty i dziennik systemowy