Gerenciar e atualizar os sensores do Microsoft Defender para Identidade

Este artigo explica como configurar e gerenciar os sensores do Microsoft Defender para Identidade no Microsoft Defender XDR.

Exibir configurações e status do sensor do Defender para Identidade

1. No Microsoft Defender XDR, vá para Configurações e depois Identidades.

   

2. Selecione a página Sensores, que exibe todos os sensores do Defender para Identidade. Para cada sensor, você verá seu nome, associação de domínio, o número da versão, se as atualizações devem ser adiadas, o status do serviço, o status do sensor, o status de integridade, o número de problemas de integridade e quando o sensor foi criado. Para obter detalhes sobre cada coluna, consulte Detalhes do sensor.

   

3. Se você selecionar Filtros, poderá escolher quais filtros estarão disponíveis. Em seguida, com cada filtro, você pode escolher quais sensores exibir.

   

   

4. Se você selecionar um dos sensores, um painel será exibido com informações sobre o sensor e seu status de integridade.

   

5. Se você selecionar qualquer um dos problemas de integridade, receberá um painel com mais detalhes sobre eles. Se você escolher um problema fechado, poderá reabri-lo aqui.

   

6. Se você selecionar Gerenciar sensor, um painel será aberto onde você poderá configurar os detalhes do sensor.

   

   

7. Na página Sensores, você pode exportar uma lista dos sensores para um arquivo .csv selecionando Exportar.

   

Detalhes do sensor

A página de sensores fornece as seguintes informações sobre cada sensor:

• Sensor: exibe o nome do computador NetBIOS do sensor.

• Tipo: exibe o tipo do sensor. Os valores possíveis são:

  • Sensor do controlador de domínio

  • Sensor do AD FS (Serviços de Federação do Active Directory)

  • Sensor autônomo

  • Sensor do AD CS (Serviços de Certificados do Active Directory). Se o sensor estiver instalado em um servidor de controlador de domínio com o AD CS configurado, como em um ambiente de teste, o tipo de sensor será mostrado como Sensor do controlador de domínio.

• Domínio: exibe o nome de domínio totalmente qualificado do domínio do Active Directory onde o sensor está instalado.

• Status do serviço: exibe o status do serviço do sensor no servidor. Os valores possíveis são:

  • Em execução: o serviço do sensor está em execução

  • Iniciando: o serviço do sensor está sendo iniciado

  • Desabilitado: o serviço do sensor está desabilitado

  • Parado: o serviço do sensor está parado

  • Desconhecido: o sensor está desconectado ou inacessível

• Status do sensor: exibe o status geral do sensor. Os valores possíveis são:

  • Atualizado: o sensor está executando uma versão atualizada.

  • Desatualizado: o sensor está executando uma versão do software que está pelo menos três versões atrás da versão atual.

  • Atualizando: o software do sensor está sendo atualizado.

  • Falha na atualização: o sensor falhou ao atualizar para uma nova versão.

  • Não configurado: o sensor requer mais configuração antes de estar totalmente operacional. Isso se aplica a sensores instalados em servidores de AD FS/AD CS ou sensores autônomos.

  • Falha ao iniciar: o sensor não recuperou a configuração por mais de 30 minutos.

  • Sincronização: o sensor tem atualizações de configuração pendentes, mas ainda não recebeu a nova configuração.

  • Desconectado: o serviço do Defender para Identidade não viu nenhuma comunicação desse sensor em 10 minutos.

  • Inacessível: o controlador de domínio foi excluído do Active Directory. No entanto, a instalação do sensor não foi desinstalada e removida do controlador de domínio antes de ser desativada. Você pode excluir essa entrada com segurança.

• Versão: exibe a versão do sensor instalada.

• Atualização adiada: exibe o estado do mecanismo de atualização adiada do sensor. Os valores possíveis são:

  • Enabled

  • Desabilitado

• Status de integridade: exibe o status geral de integridade do sensor com um ícone colorido que representa o alerta de integridade aberta de maior gravidade. Os valores possíveis são:

  • Íntegro (ícone verde): nenhum problema de integridade.

  • Não saudável (ícone amarelo): o problema de integridade aberto de maior gravidade é baixo

  • Não saudável (ícone laranja): o problema de integridade aberto de maior gravidade é médio

  • Não íntegro (ícone vermelho): o problema de integridade aberto de maior gravidade é alto

• Problemas de integridade: exibe a contagem de problemas de integridade abertos no sensor.

• Criado: exibe a data em que o sensor foi instalado

Atualizar os sensores

Manter seus sensores do Microsoft Defender para Identidade atualizados fornece a melhor proteção possível para sua organização.

O serviço Microsoft Defender para Identidade normalmente é atualizado algumas vezes por mês com novas detecções, recursos e aprimoramentos de desempenho. Normalmente, essas atualizações incluem uma atualização secundária correspondente aos sensores. Os sensores do Defender para Identidade e as atualizações correspondentes nunca têm permissões de gravação para seus controladores de domínio. Os pacotes de atualização do sensor controlam apenas o sensor do Defender para Identidade e os recursos de detecção do sensor.

Tipos de atualização do sensor do Defender para Identidade

Os sensores do Defender para Identidade aceitam dois tipos de atualizações:

• Atualizações de versão secundárias:

  • Frequente
  • Não requer instalação MSI e nenhuma alteração no Registro
  • Reiniciado: serviços do sensor do Defender para Identidade

• Principais atualizações de versão:

  • Raro
  • Contém alterações significativas
  • Reiniciado: serviços do sensor do Defender para Identidade

Observação

• Os sensores do Defender para Identidade sempre reservam pelo menos 15% da memória e da CPU disponíveis no controlador de domínio onde ele está instalado. Se o serviço Defender para Identidade consumir muita memória, o serviço será automaticamente interrompido e reiniciado pelo serviço atualizador do sensor do Defender para Identidade.

Adiar atualização de sensores

Dada a rápida velocidade do desenvolvimento contínuo do Defender para Identidade e atualizações de lançamento, você pode decidir definir um grupo de subconjuntos de seus sensores como um anel de atualização atrasado, permitindo um processo gradual de atualização do sensor. O Defender para Identidade permite que você escolha como seus sensores são atualizados e defina cada sensor como um candidato a atualização adiada.

Os sensores não selecionados para atualização adiada são atualizados automaticamente sempre que o serviço do Defender para Identidade é atualizado. Os sensores definidos para atualização adiada são atualizados com um atraso de 72 horas, após o lançamento oficial de cada atualização de serviço.

A opção de atualização adiada permite que você selecione sensores específicos como um anel de atualização automática, no qual todas as atualizações são lançadas automaticamente, e defina o restante dos sensores para atualizar em caso de atraso, dando tempo para confirmar que os sensores atualizados automaticamente foram bem-sucedidos.

Observação

Se ocorrer um erro e um sensor não atualizar, abra um tíquete de suporte. Para fortalecer ainda mais seu proxy para se comunicar apenas com seu espaço de trabalho, consulte Configuração de proxy.

A autenticação entre seus sensores e o serviço de nuvem do Azure usa autenticação mútua forte baseada em certificado. O certificado do cliente é criado na instalação do sensor como um certificado auto-assinado, válido por 2 anos. O serviço Atualizador do Sensor é responsável por gerar um novo certificado autoassinado antes que o certificado existente expire. Os certificados são rolados com um processo de validação de 2 fases no back-end para evitar uma situação em que um certificado contínuo interrompa a autenticação.

Cada atualização é testada e validada em todos os sistemas operacionais suportados para causar um impacto mínimo na rede e nas operações.

Para definir um sensor para atualização adiada:

1. Na página Sensores, selecione o sensor que deseja definir para atualizações adiadas.

2. Selecione o botão Atualização adiada habilitada.

   

3. Na janela de confirmação, selecione Habilitar.

Para desativar as atualizações adiadas, selecione o sensor e, em seguida, selecione o botão Atualização adiada desabilitada.

Processo de atualização do sensor

A cada poucos minutos, os sensores do Defender para Identidade verificam se eles têm a versão mais recente. Depois que o serviço de nuvem do Defender para Identidade for atualizado para uma versão mais recente, o serviço de sensor do Defender para Identidade iniciará o processo de atualização:

1. O serviço de nuvem do Defender para Identidade atualiza para a versão mais recente.

2. O serviço do atualizador do sensor do Defender para Identidade descobre que há uma versão atualizada.

3. Os sensores que não estão definidos como Atualização adiada iniciam o processo de atualização em cada sensor, um de cada vez:

   1. O serviço do atualizador do sensor do Defender para Identidade extrai a versão atualizada do serviço de nuvem (no formato de arquivo cab).
   2. O atualizador do sensor do Defender para Identidade valida a assinatura do arquivo.
   3. O serviço do atualizador do sensor do Defender para Identidade extrai o arquivo cab para uma nova pasta na pasta de instalação do sensor. Por padrão, ele é extraído para C:\Program Files\Azure Advanced Threat Protection Sensor<version number>
   4. O serviço do sensor do Defender para Identidade aponta para os novos arquivos extraídos do arquivo cab.
   5. O serviço do atualizador de sensor do Defender para Identidade reinicia o serviço do sensor do Defender para Identidade.

      Observação

      Pequenas atualizações de sensor não instalam MSI, não alteram valores do registro nem arquivos do sistema. Mesmo uma reinicialização pendente não afeta uma atualização do sensor.

   6. Os sensores funcionam com base na versão recém-atualizada.
   7. O sensor recebe autorização do serviço de nuvem do Azure. Você pode verificar o status do sensor na página Sensores.
   8. O próximo sensor inicia o processo de atualização.

4. Os sensores selecionados para Atualização adiada iniciam seu processo de atualização 72 horas após a atualização do serviço de nuvem do Defender para Identidade. Esses sensores usarão o mesmo processo de atualização que os sensores atualizados automaticamente.

Para qualquer sensor que não conseguir concluir o processo de atualização, um alerta de integridade relevante é disparado e enviado como uma notificação.

Atualizar silenciosamente o sensor do Defender para Identidade

Use o seguinte comando para atualizar silenciosamente o sensor do Defender para Identidade:

Sintaxe:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Opções de instalação:

Nome	Sintaxe	Obrigatório para instalações silenciosas?	Descrição
Quiet	/quiet	Sim	Executa o instalador sem exibir uma interface do usuário e nem prompts.
Ajuda	/help	Não	Fornece ajuda e referência rápida. Exibe o uso correto do comando de instalação, incluindo uma lista com todas as opções e comportamentos.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Sim	Especifica os parâmetros para a instalação do .Net Framework. Deve ser definido para impor a instalação silenciosa do .Net Framework.

Exemplos:

Para atualizar o sensor do Defender para Identidade silenciosamente:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Definir configurações de proxy

É recomendável que você defina as configurações iniciais de proxy durante a instalação usando opções de linha de comando. Se precisar atualizar suas configurações de proxy posteriormente, use a CLI ou o PowerShell.

Se já tiver definido as configurações de proxy via WinINet ou uma chave do registro e precisar atualizá-las, empregue o mesmo método usado originalmente.

Para obter mais informações, consulte Definir proxy de ponto de extremidade e configurações de conectividade com a Internet.

Próximas etapas

• Configurar o encaminhamento de eventos
• Pré-requisitos do Defender para Identidade
• Consulte o fórum do Defender para Identidade!