Definir Microsoft Defender para Identidade configurações do sensor

Neste artigo, você aprenderá a definir corretamente Microsoft Defender para Identidade configurações do sensor para começar a ver dados. Você precisará fazer configuração e integração adicionais para aproveitar os recursos completos do Defender para Identidade.

Exibir e definir as configurações do sensor

Depois que o sensor do Defender para Identidade for instalado, faça o seguinte para exibir e definir as configurações do sensor do Defender para Identidade.

  1. Em Microsoft 365 Defender, vá para Configurações e identidades.

    A opção de Identidades na página Configurações

  2. Selecione a página Sensores , que exibe todos os sensores do Defender para Identidade. Para cada sensor, você verá seu nome, sua associação de domínio, o número de versão, se as atualizações devem ser atrasadas, o status do serviço, o status do sensor, o status de integridade, o número de problemas de integridade e quando o sensor foi criado. Para obter detalhes sobre cada coluna, consulte Detalhes do sensor.

    Página do sensor.

    Observação

    Para obter informações sobre como configurar atualizações atrasadas, consulte Atualização de sensor atrasada.

  3. Se você selecionar Filtros, poderá escolher quais filtros estarão disponíveis. Em seguida, com cada filtro, você pode escolher quais sensores exibir.

    Filtros de sensor.

    O sensor filtrado

  4. Se você selecionar um dos sensores, um painel será exibido com informações sobre o sensor e seu status de integridade.

    Detalhes do sensor.

  5. Se você selecionar Gerenciar sensor, um painel será aberto onde você poderá configurar os detalhes do sensor.

    A opção Gerenciar sensor

    A página na qual você define as configurações para o sensor

    Você pode configurar os seguintes detalhes do sensor:

    • Descrição: insira uma descrição para o sensor do Defender para Identidade (opcional).

    • Controladores de Domínio (FQDN): isso é necessário para os sensores autônomos do Defender para Identidade e do AD FS. (Ele não pode ser alterado para o sensor do Defender para Identidade.) Insira o FQDN completo do controlador de domínio e selecione o sinal de adição para adicioná-lo à lista. Por exemplo, DC1.domain1.test.local.

      Adicionar controlador de domínio.

    As informações a seguir se aplicam aos servidores digitados na lista Controladores de Domínio:

    • Todos os controladores de domínio cujo tráfego está sendo monitorado por meio do espelhamento de porta pelo sensor autônomo do Defender para Identidade devem estar listados na lista Controladores de Domínio . Se um controlador de domínio não estiver listado em Controladores de Domínio, a detecção de atividades suspeitas pode não funcionar conforme o esperado.

    • Pelo menos um controlador de domínio na lista deve ser um catálogo global. Isso permite que o Defender para Identidade resolva objetos de computador e usuário em outros domínios na floresta.

    • Capturar adaptadores de rede (obrigatório):

    • Para sensores do Defender para Identidade, todos os adaptadores de rede que são usados para comunicação com outros computadores em sua organização.

    • Para o sensor autônomo do Defender para Identidade em um servidor dedicado, selecione os adaptadores de rede configurados como a porta espelho de destino. Esses adaptadores de rede recebem o tráfego do controlador de domínio espelhado.

  6. Na página Sensores , você pode exportar sua lista de sensores para um arquivo .csv selecionando Exportar.

    A lista Exportar de sensores

Validar instalações

Para validar se o sensor do Defender para Identidade foi implantado com êxito, verifique o seguinte:

  1. Verifique se o serviço chamado Sensor de Proteção Avançada contra Ameaças do Azure está em execução. Depois de salvar as configurações do sensor do Defender para Identidade, pode levar alguns segundos para que o serviço seja iniciado.

  2. Se o serviço não iniciar, examine o arquivo "Microsoft.Tri.sensor-Errors.log", localizado na seguinte pasta padrão: "%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs".

    Observação

    A versão do Defender para Identidade é atualizada com frequência, para verificar a versão mais recente, no portal do Defender para Identidade, acesse Configuração e, em seguida, Sobre.

  3. Verifique a conectividade do Defender para Identidade em qualquer dispositivo de domínio usando as seguintes etapas:

    1. Abra um prompt de comando
    2. Digite nslookup
    3. Digite servidor e o FQDN ou endereço IP do controlador de domínio em que o sensor do Defender para Identidade está instalado. Por exemplo, server contosodc.contoso.azure
    4. Digite ls -d contoso.azure
      • Substitua contosodc.contoso.azure e contoso.azure pelo FQDN do sensor do Defender para Identidade e pelo nome de domínio, respectivamente.
    5. Repita as duas etapas anteriores para cada sensor que você deseja testar.
    6. No console do Defender para Identidade, abra o perfil de entidade do computador do qual você executou o teste de conectividade.
    7. Entre no portal do Microsoft 365 Defender. Na caixa de pesquisa do meio superior, digite o nome do usuário usado para executar os comandos detalhados acima, selecione o nome nos resultados para exibir a página do usuário e todas as atividades e alertas relacionados.

    Observação

    Se o controlador de domínio que você quer testar for o primeiro sensor implantado, aguarde pelo menos 15 minutos para permitir que o back-end do banco de dados conclua a implantação inicial dos microsserviços necessários antes de tentar verificar a atividade lógica relacionada desse controlador de domínio.

Para validar se o sensor do Defender para Identidade foi implantado com êxito em um servidor do AD FS, verifique o seguinte:

  1. Verifique se o serviço chamado Sensor de Proteção Avançada contra Ameaças do Azure está em execução. Depois de salvar as configurações do sensor do Defender para Identidade, pode levar alguns segundos para que o serviço seja iniciado.

  2. Se o serviço não iniciar, examine o arquivo "Microsoft.Tri.sensor-Errors.log", localizado na seguinte pasta padrão: "%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs".

    Observação

    A versão do Defender para Identidade é atualizada com frequência, para verificar a versão mais recente, no portal do Defender para Identidade, acesse Configuração e, em seguida, Sobre.

  3. Use o AD FS para autenticar um usuário em qualquer aplicativo.

  4. Verifique se a autenticação do AD FS foi observada pelo Defender para Identidade usando as seguintes etapas:

    1. Entre no portal do Microsoft 365 Defender. No menu de navegação, selecione Busca e Busca Avançada. No painel Consulta , digite e execute a seguinte consulta:

      IdentityLogonEvents | where Protocol contains 'Adfs'
      
    2. O painel de resultados deve incluir uma lista de eventos com um LogonType de Logon com autenticação do ADFS. Você pode selecionar uma linha específica e ver detalhes adicionais no painel esquerdo Inspecionar Registro .

    Confira os resultados da consulta de busca avançada de logon do ADFS.

Próximas etapas

Agora que você configurou as etapas de configuração iniciais, você pode definir mais configurações. Acesse qualquer uma das páginas abaixo para obter mais informações: