Настройка параметров датчика Microsoft Defender для удостоверений
В этой статье вы узнаете, как правильно настроить параметры датчика Microsoft Defender для удостоверений для начала просмотра данных. Вам потребуется выполнить дополнительную настройку и интеграцию, чтобы воспользоваться всеми возможностями Defender для удостоверений.
В следующем видео показано, как просмотреть параметры датчика Defender для удостоверений:
Просмотр и настройка параметров датчика
После установки датчика Defender для удостоверений выполните следующие действия, чтобы просмотреть и настроить параметры датчика Defender для удостоверений:
В Microsoft Defender XDR перейдите к датчикам Параметры> Identities.> Например:
На странице "Датчики" отображаются все датчики Defender для удостоверений, в котором перечислены следующие сведения на датчик:
- Имя датчика
- Членство в домене датчика
- Номер версии датчика
- Следует ли отложить обновления
- Состояние службы датчика
- Состояние датчика
- Состояние работоспособности датчика
- Количество проблем со работоспособностью
- Когда датчик был создан
Дополнительные сведения см. в разделе "Сведения о датчике".
Выберите фильтры , чтобы выбрать нужные фильтры. Например:
Используйте отображаемые фильтры, чтобы определить, какие датчики следует отображать. Например:
Выберите датчик, чтобы отобразить панель сведений с дополнительными сведениями о датчике и его состоянии работоспособности. Например:
Прокрутите вниз и выберите " Управление датчиком ", чтобы отобразить область, в которой можно настроить сведения о датчике. Например:
Настройте следующие сведения об датчике:
Имя Описание Description Необязательно. Введите описание датчика Defender для удостоверений. Контроллеры домена (полное доменное имя) Требуется для автономных датчиков и датчиков Defender для удостоверений, установленных на серверах AD FS или AD CS, и не может быть изменен для датчика Defender для удостоверений.
Введите полное полное доменное имя контроллера домена и выберите знак плюса, чтобы добавить его в список. Например, DC1.domain1.test.local.
Для всех серверов, которые определены в списке контроллеров домена:
— Все контроллеры домена, трафик которых отслеживается через порт, зеркало с помощью автономного датчика Defender для удостоверений, должен быть указан в списке контроллеров домена. Если контроллер домена не указан в списке контроллеров домена, обнаружение подозрительных действий может не функционировать должным образом.
— По крайней мере один контроллер домена в списке должен быть глобальным каталогом. Это позволяет Defender для удостоверений разрешать объекты компьютера и пользователя в других доменах в лесу.Запись сетевых адаптеров Обязательный.
— Для датчиков Defender для удостоверений все сетевые адаптеры, используемые для связи с другими компьютерами в организации.
— Для автономного датчика Defender для удостоверений на выделенном сервере выберите сетевые адаптеры, настроенные в качестве целевого зеркало порта. Эти сетевые адаптеры получают зеркало трафик контроллера домена.На странице "Датчики" выберите "Экспорт", чтобы экспортировать список датчиков в файл .csv. Например:
Проверка установок
Чтобы проверить установку датчика Defender для удостоверений, используйте следующие процедуры.
Примечание.
Если вы устанавливаете на сервере AD FS или AD CS, вы будете использовать другой набор проверок. Дополнительные сведения см. в статье "Проверка успешного развертывания на серверах AD FS/ AD CS".
Проверка успешного развертывания
Чтобы убедиться, что датчик Defender для удостоверений успешно развернут:
Убедитесь, что служба датчика Расширенной защиты от угроз Azure запущена на компьютере датчика. После сохранения параметров датчика Defender для удостоверений может потребоваться несколько секунд для запуска службы.
Если служба не запускается, просмотрите файл Microsoft.Tri.sensor-Errors.log , расположенный по умолчанию
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, где<sensor version>развернута версия.
Проверка функциональности оповещений системы безопасности
В этом разделе описывается, как убедиться, что оповещения системы безопасности активируются должным образом.
При использовании примеров в следующих шагах обязательно замените contosodc.contoso.azure полное contoso.azure доменное имя датчика Defender для удостоверений и доменного имени соответственно.
На устройстве, присоединенном к члену, откройте командную строку и введите
nslookupВведите
serverполное доменное имя или IP-адрес контроллера домена, на котором установлен датчик Defender для удостоверений. Например:server contosodc.contoso.azureВведите
ls -d contoso.azureПовторите предыдущие два шага для каждого датчика, который требуется протестировать.
Перейдите на страницу сведений об устройстве для компьютера, на который вы выполнили тест подключения, например на странице "Устройства" , путем поиска имени устройства или из другого места на портале Defender.
На вкладке сведений об устройстве выберите вкладку "Временная шкала ", чтобы просмотреть следующее действие:
- События: запросы DNS, выполненные в указанное доменное имя
- Тип действия MdiDnsQuery
Если контроллер домена или AD FS / AD CS, который вы тестируете, является первым развернутым датчиком, подождите не менее 15 минут, прежде чем проверить какие-либо логические действия для этого контроллера домена, позволяя серверной части базы данных завершить начальные развертывания микрослужб.
Проверка последней доступной версии датчика
Версия Defender для удостоверений часто обновляется. Проверьте последнюю версию на странице "Сведения о XDR" в Microsoft Defender Параметры> Identities.>
Связанный контент
Теперь, когда вы настроили начальные шаги конфигурации, можно настроить дополнительные параметры. Дополнительные сведения см. на любой из приведенных ниже страниц:
- Настройка тегов сущностей: конфиденциальный, honeytoken и сервер Exchange
- Настройка исключений обнаружения
- Настройка уведомлений: проблемы со работоспособностью, оповещения и системный журнал