Gerenciar e atualizar o Microsoft Defender para sensores de identidade

Este artigo explica como configurar e gerenciar o Microsoft Defender para sensores de identidade no Microsoft Defender XDR.

Ver as definições e o estado do sensor Defender for Identity

1. No Microsoft Defender XDR, vá para Configurações e, em seguida, Identidades.

   

2. Selecione a página Sensores , que exibe todos os sensores do Defender for Identity. Para cada sensor, você verá seu nome, sua associação de domínio, o número da versão, se as atualizações devem ser atrasadas, o status do serviço, o status do sensor, o status de integridade, o número de problemas de integridade e quando o sensor foi criado. Para obter detalhes sobre cada coluna, consulte Detalhes do sensor.

   

3. Se você selecionar Filtros, poderá escolher quais filtros estarão disponíveis. Em seguida, com cada filtro, você pode escolher quais sensores exibir.

   

   

4. Se você selecionar um dos sensores, um painel será exibido com informações sobre o sensor e seu status de integridade.

   

5. Se você selecionar qualquer um dos problemas de saúde, receberá um painel com mais detalhes sobre eles. Se escolher um problema fechado, pode reabri-lo a partir daqui.

   

6. Se você selecionar Gerenciar sensor, será aberto um painel onde você poderá configurar os detalhes do sensor.

   

   

7. Na página Sensores, você pode exportar sua lista de sensores para um arquivo .csv selecionando Exportar.

   

Detalhes do sensor

A página de sensores fornece as seguintes informações sobre cada sensor:

• Sensor: Exibe o nome do computador NetBIOS do sensor.

• Tipo: Exibe o tipo do sensor. Os valores possíveis são:

  • Sensor do controlador de domínio

  • Sensor AD FS (Serviços de Federação do Ative Directory)

  • Sensor autónomo

  • Sensor ADCS (Serviços de Certificados do Ative Directory). Se o sensor estiver instalado em um servidor de controlador de domínio com o AD CS configurado, como em um ambiente de teste, o tipo de sensor será mostrado como Sensor do controlador de domínio.

• Domínio: Exibe o nome de domínio totalmente qualificado do domínio do Ative Directory onde o sensor está instalado.

• Status do serviço: Exibe o status do serviço do sensor no servidor. Os valores possíveis são:

  • Em execução: O serviço do sensor está em execução

  • Início: O serviço do sensor está a começar

  • Desativado: o serviço do sensor está desativado

  • Parado: O serviço do sensor foi interrompido

  • Desconhecido: O sensor está desligado ou inacessível

• Status do sensor: Exibe o status geral do sensor. Os valores possíveis são:

  • Atualizado: O sensor está executando uma versão atual do sensor.

  • Desatualizado: O Sensor está executando uma versão do software que está pelo menos três versões atrás da versão atual.

  • Atualização: O software do sensor está sendo atualizado.

  • Falha na atualização: o sensor não conseguiu atualizar para uma nova versão.

  • Não configurado: o sensor requer mais configuração antes de estar totalmente operacional. Isto aplica-se a sensores instalados em servidores AD FS / AD CS ou sensores autónomos.

  • Falha ao iniciar: o sensor não puxou a configuração por mais de 30 minutos.

  • Sincronização: o Sensor tem atualizações de configuração pendentes, mas ainda não puxou a nova configuração.

  • Desconectado: O serviço Defender for Identity não viu nenhuma comunicação deste sensor em 10 minutos.

  • Inacessível: O controlador de domínio foi excluído do Ative Directory. No entanto, a instalação do sensor não foi desinstalada e removida do controlador de domínio antes de ser descomissionada. Pode eliminar esta entrada com segurança.

• Versão: Exibe a versão do sensor instalada.

• Atualização atrasada: Exibe o estado do mecanismo de atualização atrasada do sensor. Os valores possíveis são:

  • Ativados

  • Disabled

• Estado de saúde: apresenta o estado geral de funcionamento do sensor com um ícone colorido que representa o alerta de estado de funcionamento aberto de maior gravidade. Os valores possíveis são:

  • Saudável (ícone verde): Sem problemas de saúde abertos

  • Não íntegro (ícone amarelo): o problema de saúde aberto de maior gravidade é baixo

  • Não saudável (ícone laranja): o problema de saúde aberto de maior gravidade é médio

  • Não íntegro (ícone vermelho): o problema de saúde aberto de maior gravidade é alto

• Problemas de saúde: Exibe a contagem de problemas de saúde abertos no sensor.

• Criado: Exibe a data em que o sensor foi instalado

Atualizar os sensores

Manter seus sensores do Microsoft Defender for Identity atualizados fornece a melhor proteção possível para sua organização.

O serviço Microsoft Defender for Identity normalmente é atualizado algumas vezes por mês com novas deteções, recursos e melhorias de desempenho. Normalmente, essas atualizações incluem uma pequena atualização correspondente para os sensores. Os sensores do Defender for Identity e as atualizações correspondentes nunca têm permissões de gravação para seus controladores de domínio. Os pacotes de atualização do sensor controlam apenas os recursos de deteção do sensor Defender for Identity e do sensor.

Tipos de atualização do sensor Defender for Identity

Os sensores do Defender for Identity suportam dois tipos de atualizações:

• Atualizações de versões secundárias:

  • Frequente
  • Não requer instalação MSI e nenhuma alteração de registro
  • Reiniciado: Defender para serviços de sensor de identidade

• Atualizações da versão principal:

  • Raros
  • Contém alterações significativas
  • Reiniciado: Defender para serviços de sensor de identidade

Nota

• Os sensores do Defender for Identity sempre reservam pelo menos 15% da memória disponível e da CPU disponíveis no controlador de domínio onde está instalado. Se o serviço Defender for Identity consumir muita memória, o serviço será automaticamente interrompido e reiniciado pelo serviço atualizador do sensor Defender for Identity.

Atualização atrasada do sensor

Dada a rápida velocidade do desenvolvimento contínuo do Defender for Identity e das atualizações de lançamento, você pode decidir definir um grupo de subconjuntos de seus sensores como um anel de atualização atrasado, permitindo um processo gradual de atualização do sensor. O Defender for Identity permite-lhe escolher como os seus sensores são atualizados e definir cada sensor como um candidato a atualização atrasada.

Os sensores não selecionados para atualização atrasada são atualizados automaticamente sempre que o serviço Defender for Identity é atualizado. Os sensores definidos como Atualização atrasada são atualizados com um atraso de 72 horas, após o lançamento oficial de cada atualização de serviço.

A opção de atualização atrasada permite selecionar sensores específicos como um anel de atualização automática, no qual todas as atualizações são lançadas automaticamente, e definir o resto dos sensores para atualizar em caso de atraso, dando-lhe tempo para confirmar que os sensores atualizados automaticamente foram bem-sucedidos.

Nota

Se ocorrer um erro e um sensor não for atualizado, abra um tíquete de suporte. Para fortalecer ainda mais seu proxy para se comunicar apenas com seu espaço de trabalho, consulte Configuração de proxy.

A autenticação entre seus sensores e o serviço de nuvem do Azure usa autenticação mútua forte e baseada em certificado. O certificado do cliente é criado na instalação do sensor como um certificado auto-assinado, válido por 2 anos. O serviço Sensor Updater é responsável por gerar um novo certificado autoassinado antes que o certificado existente expire. Os certificados são rolados com um processo de validação de 2 fases no back-end para evitar uma situação em que um certificado contínuo interrompa a autenticação.

Cada atualização é testada e validada em todos os sistemas operacionais suportados para causar um impacto mínimo à sua rede e operações.

Para definir um sensor para atualização atrasada:

1. Na página Sensores, selecione o sensor que deseja definir para atualizações atrasadas.

2. Selecione o botão Atualização atrasada ativada.

   

3. Na janela de confirmação, selecione Ativar.

Para desativar as atualizações atrasadas, selecione o sensor e, em seguida, selecione o botão Atualização atrasada desativada.

Processo de atualização do sensor

A cada poucos minutos, os sensores do Defender for Identity verificam se eles têm a versão mais recente. Depois que o serviço de nuvem do Defender for Identity for atualizado para uma versão mais recente, o serviço de sensor do Defender for Identity inicia o processo de atualização:

1. O serviço de nuvem Defender for Identity atualiza para a versão mais recente.

2. O serviço de atualização do sensor Defender for Identity descobre que há uma versão atualizada.

3. Os sensores que não estão definidos como Atualização atrasada iniciam o processo de atualização com base em sensor por sensor:

   1. O serviço atualizador do sensor Defender for Identity extrai a versão atualizada do serviço de nuvem (no formato de arquivo cab).
   2. O atualizador do sensor Defender for Identity valida a assinatura do arquivo.
   3. O serviço de atualização do sensor Defender for Identity extrai o arquivo cab para uma nova pasta na pasta de instalação do sensor. Por padrão, ele é extraído para C:\Arquivos de Programas\Número de versão do Sensor de Proteção Avançada contra Ameaças do<Azure>
   4. O serviço do sensor Defender for Identity aponta para os novos arquivos extraídos do arquivo cab.
   5. O serviço de atualização do sensor Defender for Identity reinicia o serviço do sensor Defender for Identity.

      Nota

      Pequenas atualizações do sensor não instalam MSI, não alteram nenhum valor de registro ou qualquer arquivo de sistema. Mesmo uma reinicialização pendente não afeta uma atualização do sensor.

   6. Os sensores são executados com base na versão recém-atualizada.
   7. O Sensor recebe autorização do serviço de nuvem do Azure. Você pode verificar o status do sensor na página Sensores .
   8. O próximo sensor inicia o processo de atualização.

4. Os sensores selecionados para Atualização atrasada iniciam seu processo de atualização 72 horas após a atualização do serviço de nuvem Defender for Identity. Esses sensores usarão o mesmo processo de atualização que os sensores atualizados automaticamente.

Para qualquer sensor que não conclua o processo de atualização, um alerta de integridade relevante é acionado e enviado como uma notificação.

Atualize silenciosamente o sensor do Defender for Identity

Use o seguinte comando para atualizar silenciosamente o sensor Defender for Identity:

Sintaxe:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Opções de instalação:

Nome	Sintaxe	Mandatory for silent installation?	Description
Quiet	/quiet	Sim	Executa o instalador e não apresenta IU nem pedidos.
Ajuda	/help	Não	Provides help and quick reference. Apresenta a utilização correta do comando de configuração, incluindo uma lista de todas as opções e comportamentos.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Sim	Especifica os parâmetros para a instalação do .Net Framework. Deve ser definido para impor a instalação silenciosa do .Net Framework.

Exemplos:

Para atualizar o sensor do Defender for Identity silenciosamente:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Definir configurações de proxy

Recomendamos que você defina as configurações iniciais de proxy durante a instalação usando opções de linha de comando. Se você precisar atualizar suas configurações de proxy mais tarde, use a CLI ou o PowerShell.

Se você já configurou suas configurações de proxy por meio do WinINet ou de uma chave do Registro e precisa atualizá-las, precisará usar o mesmo método usado originalmente.

Para obter mais informações, consulte Configurar proxy de ponto de extremidade e configurações de conectividade com a Internet.

Próximos passos

• Configurar o encaminhamento de eventos
• Pré-requisitos do Defender for Identity
• Confira o fórum Defender for Identity!