Definir as configurações do sensor Microsoft Defender for Identity

Artigo
01/01/2024

Neste artigo, você aprenderá a configurar corretamente as configurações do sensor Microsoft Defender for Identity para começar a ver os dados. Você precisará fazer configuração e integração adicionais para aproveitar todos os recursos do Defender for Identity.

O vídeo a seguir mostra uma revisão das configurações do sensor do Defender for Identity:

Ver e configurar as definições do sensor

Depois que o sensor do Defender for Identity estiver instalado, faça o seguinte para visualizar e configurar as configurações do sensor do Defender for Identity:

No Microsoft Defender XDR, vá para Configurações>Identidades>Sensores. Por exemplo:

A página Sensores exibe todos os sensores do Defender for Identity, listando os seguintes detalhes por sensor:
- Nome do sensor
- Associação ao domínio do sensor
- Número da versão do sensor
- Se as atualizações devem ser adiadas
- Estado do serviço do sensor
- Estado do sensor
- Estado de funcionamento do sensor
- O número de problemas de saúde
- Quando o sensor foi criado
Para obter mais informações, consulte Detalhes do sensor.
Selecione Filtros para selecionar os filtros que deseja que sejam visíveis. Por exemplo:
Use os filtros exibidos para determinar quais sensores exibir. Por exemplo:
Selecione um sensor para mostrar um painel de detalhes com mais informações sobre o sensor e seu status de integridade. Por exemplo:
Desloque-se para baixo e selecione Gerir sensor para mostrar um painel onde pode configurar os detalhes do sensor. Por exemplo:

Configure os seguintes detalhes do sensor:

Nome	Descrição
Descrição	Opcional. Insira uma descrição para o sensor Defender for Identity.
Controladores de domínio (FQDN)	Necessário para os sensores autônomos do Defender for Identity instalados em servidores AD FS / AD CS e não pode ser modificado para o sensor Defender for Identity. Insira o FQDN completo do controlador de domínio e selecione o sinal de adição para adicioná-lo à lista. Por exemplo, DC1.domain1.test.local. Para todos os servidores definidos na lista Controladores de Domínio: - Todos os controladores de domínio cujo tráfego está sendo monitorado via espelhamento de porta pelo sensor autônomo do Defender for Identity devem ser listados na lista Controladores de Domínio. Se um controlador de domínio não estiver listado na lista Controladores de Domínio, a deteção de atividades suspeitas pode não funcionar conforme o esperado. - Pelo menos um controlador de domínio na lista deve ser um catálogo global. Isso permite que o Defender for Identity resolva objetos de computador e usuário em outros domínios na floresta.
Adaptadores de rede de captura	Obrigatório. - Para sensores Defender for Identity, todos os adaptadores de rede que são usados para comunicação com outros computadores em sua organização. - Para o sensor autônomo do Defender for Identity em um servidor dedicado, selecione os adaptadores de rede configurados como a porta espelhada de destino. Esses adaptadores de rede recebem o tráfego espelhado do controlador de domínio.

Na página Sensores, selecione Exportar para exportar uma lista dos sensores para um arquivo .csv. Por exemplo:

Validar instalações

Use os procedimentos a seguir para validar a instalação do sensor do Defender for Identity.

Nota

Se estiver instalando em um servidor AD FS ou AD CS, você usará um conjunto diferente de validações. Para obter mais informações, consulte Validar a implantação bem-sucedida em servidores AD FS / AD CS.

Validar a implantação bem-sucedida

Para validar se o sensor do Defender for Identity foi implantado com êxito:

Verifique se o serviço do sensor Proteção Avançada contra Ameaças do Azure está em execução na sua máquina de sensores. Depois de salvar as configurações do sensor do Defender for Identity, pode levar alguns segundos para que o serviço seja iniciado.
Se o serviço não iniciar, revise o arquivo Microsoft.Tri.sensor-Errors.log , localizado por padrão em %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, onde <sensor version> é a versão implantada.

Verificar a funcionalidade de alerta de segurança

Esta seção descreve como verificar se os alertas de segurança estão sendo acionados conforme o esperado.

Ao usar os exemplos nas etapas a seguir, certifique-se de substituir contosodc.contoso.azure e contoso.azure pelo FQDN do sensor do Defender for Identity e do nome de domínio, respectivamente.

Em um dispositivo associado a membros, abra um prompt de comando e digite nslookup
Insira server e o FQDN ou endereço IP do controlador de domínio onde o sensor Defender for Identity está instalado. Por exemplo: server contosodc.contoso.azure
Introduzir ls -d contoso.azure
Repita os dois passos anteriores para cada sensor que pretende testar.
Acesse a página de detalhes do dispositivo do computador a partir do qual você executou o teste de conectividade, como na página Dispositivos , pesquisando o nome do dispositivo ou em outro lugar no portal do Defender.
Na guia Detalhes do dispositivo, selecione a guia Linha do tempo para exibir a seguinte atividade:
- Eventos: consultas DNS executadas a um nome de domínio especificado
- Tipo de ação MdiDnsQuery

Se o controlador de domínio ou AD FS / AD CS que você está testando for o primeiro sensor implantado, aguarde pelo menos 15 minutos antes de verificar qualquer atividade lógica para esse controlador de domínio, permitindo que o back-end do banco de dados conclua as implantações iniciais de microsserviços.

Verifique a versão mais recente disponível do sensor

A versão do Defender for Identity é atualizada com frequência. Verifique a versão mais recente na página Identidades de configurações>do Microsoft Defender XDR Sobre.>

Agora que você configurou as etapas de configuração iniciais, você pode definir mais configurações. Vá para qualquer uma das páginas abaixo para obter mais informações:

Próximo passo

Recolha de eventos com o Microsoft Defender for Identity »