設定適用於身分識別的 Microsoft Defender感應器設定

在本文中,您將瞭解如何正確設定適用於身分識別的 Microsoft Defender感應器設定,以開始查看資料。 您必須進行其他設定和整合,才能利用適用于身分識別的 Defender 完整功能。

檢視及設定感應器設定

安裝適用于身分識別的 Defender 感應器之後,請執行下列動作來檢視及設定適用于身分識別的 Defender 感應器設定。

  1. [Microsoft 365 Defender] 中,移至 [設定],然後移至 [身分識別]。

    [設定] 頁面上的 [身分識別] 選項

  2. 選取 [ 感應器 ] 頁面,其會顯示適用于身分識別的所有 Defender 感應器。 對於每個感應器,您會看到其名稱、其網域成員資格、版本號碼、如果應該延遲更新、服務狀態、感應器狀態、健康狀態、健康情況狀態、健康情況問題數目,以及建立感應器的時間。 如需每個資料行的詳細資訊,請參閱 感應器詳細資料

    感應器頁面。

    注意

    如需如何設定延遲更新的詳細資訊,請參閱 延遲感應器更新

  3. 如果您選取 [ 篩選],您可以選擇可用的篩選。 然後使用每個篩選,您可以選擇要顯示的感應器。

    感應器篩選準則。

    篩選的感應器

  4. 如果您選取其中一個感應器,窗格會顯示感應器及其健康狀態的相關資訊。

    感應器詳細資料。

  5. 如果您選取 [管理感應器],將會開啟窗格,您可以在其中設定感應器詳細資料。

    管理感應器選項

    您設定感應器設定設定的頁面

    您可以設定下列感應器詳細資料:

    • 描述:輸入適用于身分識別的 Defender 感應器的描述, (選擇性) 。

    • 網域控制站 (FQDN) :適用于身分識別的 Defender 獨立和 AD FS 感應器需要此專案。 (無法變更適用于身分識別的 Defender 感應器。) 輸入網域控制站的完整 FQDN,然後選取加號將其新增至清單。 例如 ,DC1.domain1.test.local

      新增網域控制站。

    下列資訊適用於您在網域控制站清單中輸入的伺服器:

    • 受適用于身分識別的 Defender 獨立感應器透過埠鏡像監視其流量的所有網域控制站,都必須列在 [ 網域控制站 ] 清單中。 如果網域控制站未列在網域控制站清單中,可能無法如預期般偵測可疑活動。

    • 清單中應至少有一個網域控制站是通用類別目錄。 這可讓 Defender for Identity 解析樹系中其他網域中的電腦和使用者物件。

    • 擷取網路介面卡 (必填)︰

    • 針對適用于身分識別的 Defender 感應器,所有用於與組織中其他電腦通訊的網路介面卡。

    • 針對專用伺服器上的適用于身分識別的 Defender 獨立感應器,選取設定為目的地鏡像埠的網路介面卡。 這些網路介面卡會接收鏡像網域控制站流量。

  6. 在 [ 感應器 ] 頁面中,您可以選取 [ 匯出],將您的感應器清單匯出至.csv檔案。

    匯出感應器清單

驗證安裝

若要驗證適用于身分識別的 Defender 感應器是否已成功部署,請檢查下列各項:

  1. 檢查名稱為 [Azure 進階威脅感應器] 的服務是否正在執行。 儲存適用于身分識別的 Defender 感應器設定之後,服務可能需要幾秒鐘的時間才能啟動。

  2. 如果服務未啟動,請檢閱位於下列預設資料夾 "%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs" 中的 "Microsoft.Tri.sensor-Errors.log" 檔案。

    注意

    適用于身分識別的 Defender 版本經常更新,若要檢查最新版本,請在適用于身分識別的 Defender 入口網站中 ,移至 [ 設定],然後移至 [ 關於]。

  3. 移至適用于身分識別的 Defender 實例 URL。 在適用于身分識別的 Defender 入口網站中,搜尋搜尋列中的內容,例如網域上的使用者或群組。

  4. 使用下列步驟,確認任何網域裝置上的適用于身分識別的 Defender 連線能力:

    1. 開啟命令提示字元
    2. 輸入 nslookup
    3. 輸入 伺服器 ,以及安裝適用于身分識別的 Defender 感應器之網域控制站的 FQDN 或 IP 位址。 例如, server contosodc.contoso.azure
    4. 輸入 ls -d contoso.azure
      • 請務必分別以適用于身分識別的 Defender 感應器和功能變數名稱的 FQDN 取代 contosodc.contoso.azure 和 contoso.azure。
    5. 針對您想要測試的每個感應器重複步驟 3 和 4。
    6. 從適用于身分識別的 Defender 主控台,開啟您執行連線測試的電腦實體設定檔。
    7. 檢查相關的邏輯活動並確認連線能力。

    注意

    如果您想要測試的網域控制站是第一個部署的感應器,請至少等候 15 分鐘,以允許資料庫後端完成必要微服務的初始部署,然後再嘗試確認該網域控制站的相關邏輯活動。

後續步驟

現在您已設定初始設定步驟,您可以設定更多設定。 如需詳細資訊,請移至下列任何頁面: