Definir as configurações do sensor do Microsoft Defender para Identidade

Artigo
03/19/2024

Neste artigo, você aprenderá a definir corretamente as configurações do sensor do Microsoft Defender para Identidade a fim de começar a ver os dados. Você precisará fazer etapas adicionais de configuração e integração para aproveitar todos os recursos do Defender para Identidade.

O seguinte vídeo mostra uma revisão das configurações do sensor do Defender para Identidade:

Exibir e definir as configurações do sensor

Depois que o sensor do Defender para Identidade for instalado, faça o seguinte para exibir e definir as configurações do sensor do Defender para Identidade:

No Microsoft Defender XDR, vá para Configurações>Identidades>Sensores. Por exemplo:

A página Sensores exibe todos os sensores do Defender para Identidade, listando os seguintes detalhes por sensor:
- Nome do sensor
- Associação ao domínio do sensor
- Número da versão do sensor
- Se as atualizações devem ser adiadas
- Status do serviço do sensor
- Status do sensor
- Status da integridade do sensor
- O número de problemas de integridade
- Quando o sensor foi criado
Para obter mais informações, confira Detalhes do sensor.
Selecione Filtros para selecionar os filtros que deverão ficar visíveis. Por exemplo:
Use os filtros exibidos para determinar quais sensores exibir. Por exemplo:
Selecione um sensor para mostrar um painel de detalhes com mais informações sobre o sensor e seu status de integridade. Por exemplo:
Role para baixo e selecione Gerenciar sensor para mostrar um painel onde você pode configurar os detalhes do sensor. Por exemplo:

Configure os seguintes detalhes do sensor:

Nome	Descrição
Descrição	Opcional. Insira uma descrição para o sensor do Defender para Identidade.
Controladores de Domínio (FQDN)	Obrigatório para os sensores autônomos do Defender para Identidade e os sensores instalados em servidores de AD FS/AD CS, e não pode ser modificado para o sensor do Defender para Identidade. Insira o FQDN completo do controlador de domínio e selecione o sinal de adição para adicioná-lo à lista. Por exemplo, DC1.domain1.test.local. Para servidores definidos na lista Controladores de Domínio: - Todos os controladores de domínio cujo tráfego é monitorado por meio de espelhamento de porta pelo sensor autônomo do Defender para Identidade devem ser listados na lista Controladores de Domínio. Se um controlador de domínio não estiver na lista Controladores de Domínio, a detecção de atividades suspeitas pode não funcionar conforme o esperado. - Pelo menos um controlador de domínio na lista deve ser um catálogo global. Isso permite que o Defender para Identidade resolva objetos de computador e de usuário em outros domínios na floresta.
Capturar adaptadores de rede	Obrigatória. - Para os sensores do Defender para Identidade, todos os adaptadores de rede usados para comunicação com outros computadores na sua organização. - Para o sensor autônomo do Defender para Identidade em um servidor dedicado, selecione os adaptadores de rede configurados como a porta espelhada de destino. Esses adaptadores de rede recebem o tráfego do controlador de domínio espelhado.

Na página Sensores, selecione Exportar para exportar uma lista dos sensores para um arquivo .csv. Por exemplo:

Validar instalações

Use os procedimentos a seguir para validar a instalação do sensor do Defender para Identidade.

Observação

Se você estiver instalando em um servidor do AD FS ou AD CS, use um conjunto diferente de validações. Para obter mais informações, confira Validar a implantação bem-sucedida em servidores de AD FS/AD CS.

Validar a implantação bem-sucedida

Para validar se o sensor do Defender para Identidade foi implantado com êxito:

Verifique se o serviço do sensor da Proteção Avançada contra Ameaças do Azure está em execução no computador do sensor. Depois de salvar as configurações do sensor do Defender para Identidade, pode levar alguns segundos para que o serviço seja iniciado.
Se o serviço não iniciar, revise o arquivo Microsoft.Tri.sensor-Errors.log localizado por padrão em %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, onde <sensor version> é a versão implantada.

Verificar a funcionalidade de alerta de segurança

Esta seção descreve como você pode verificar se os alertas de segurança estão sendo disparados conforme o esperado.

Ao usar os exemplos nas etapas a seguir, certifique-se de substituir contosodc.contoso.azure e contoso.azure pelo FQDN do sensor do Defender para Identidade e pelo nome do domínio, respectivamente.

Em um dispositivo com um membro conectado, abra um prompt de comando e insira nslookup
Insira server e o FQDN ou o endereço IP do controlador de domínio onde o sensor do Defender para Identidade está instalado. Por exemplo: server contosodc.contoso.azure
Inserir ls -d contoso.azure
Repita as duas etapas anteriores para cada sensor a testar.
Acesse a página de detalhes do dispositivo do computador do qual você executou o teste de conectividade, como na página Dispositivos, procurando o nome do dispositivo ou de outro lugar no portal do Defender.
Na guia detalhes do dispositivo, selecione a guia Linha do Tempo para exibir a seguinte atividade:
- Eventos: consultas DNS executadas em um nome de domínio especificado
- Tipo de ação MdiDnsQuery

Se o controlador de domínio ou AD FS/AD CS que você está testando for o primeiro sensor implantado, aguarde pelo menos 15 minutos antes de verificar uma atividade lógica para esse controlador de domínio, permitindo que o back-end do banco de dados conclua as implantações iniciais de microsserviço.

Verificar a versão mais recente disponível do sensor

A versão do Defender para Identidade é atualizada com frequência. No Microsoft Defender XDR, verifique a versão mais recente em Configurações>Identidades>Sobre.

Agora que você concluiu as etapas de configuração iniciais, pode definir mais configurações. Acesse uma das páginas abaixo para obter mais informações:

Próxima etapa

Coleta de eventos com o Microsoft Defender para Identidade »