設定適用於身分識別的 Microsoft Defender感應器設定

  • 發行項

在本文中,您將瞭解如何正確設定適用於身分識別的 Microsoft Defender感應器設定,開始查看資料。 您必須執行額外的設定和整合,以利用適用于身分識別的 Defender 完整功能。

檢視及設定感應器設定

安裝適用于身分識別的 Defender 感應器之後,請執行下列動作來檢視和設定適用于身分識別的 Defender 感應器設定。

  1. [Microsoft 365 Defender] 中,移至 [設定],然後移至 [身分識別]。

    [設定] 頁面上的 [身分識別] 選項

  2. 選取 [ 感應器] 頁面,其中會顯示您所有適用于身分識別的 Defender 感應器。 針對每個感應器,您會看到其名稱、其網域成員資格、版本號碼、如果應該延遲更新、服務狀態、感應器狀態、健全狀態、健康情況狀態、健康情況問題數目,以及建立感應器的時間。 如需每個資料行的詳細資訊,請參閱 感應器詳細資料

    感應器頁面。

    注意

    如需如何設定延遲更新的資訊,請參閱 延遲感應器更新

  3. 如果您選取 [篩選],您可以選擇可用的篩選。 然後,使用每個篩選準則,您可以選擇要顯示的感應器。

    感應器篩選準則。

    篩選的感應器

  4. 如果您選取其中一個感應器,窗格會顯示感應器及其健康狀態的相關資訊。

    感應器詳細資料。

  5. 如果您選取 [管理感應器],則會開啟窗格,您可以在其中設定感應器詳細資料。

    [管理感應器] 選項

    設定感應器設定的頁面

    您可以設定下列感應器詳細資料:

    • 描述:輸入適用于身分識別的 Defender 感應器的描述, (選擇性) 。

    • 網域控制站 (FQDN) :適用于身分識別的 Defender 獨立和 AD FS 感應器需要此專案。 (無法變更適用于身分識別的 Defender 感應器。) 輸入網域控制站的完整 FQDN,然後選取加號將其新增至清單。 例如, DC1.domain1.test.local

      新增網域控制站。

    下列資訊適用於您在網域控制站清單中輸入的伺服器:

    • 所有透過適用于身分識別的 Defender 獨立感應器透過埠鏡像監視其流量的網域控制站,都必須列在 網域控制站 清單中。 如果網域控制站未列在網域控制站清單中,可能無法如預期般偵測可疑活動。

    • 清單中應至少有一個網域控制站是通用類別目錄。 這可讓適用于身分識別的 Defender 解析樹系中其他網域中的電腦和使用者物件。

    • 擷取網路介面卡 (必填)︰

    • 針對適用于身分識別的 Defender 感應器,所有用於與組織中的其他電腦通訊的網路介面卡。

    • 針對專用伺服器上的適用于身分識別的 Defender 獨立感應器,選取設定為目的地鏡像埠的網路介面卡。 這些網路介面卡會接收鏡像網域控制站流量。

  6. 在 [ 感應器] 頁面中,您可以選取 [ 匯出],將感應器清單匯出至.csv檔案。

    感應器的匯出清單

驗證安裝

若要驗證適用于身分識別的 Defender 感應器是否已成功部署,請檢查下列專案:

  1. 檢查名稱為 [Azure 進階威脅感應器] 的服務是否正在執行。 儲存適用于身分識別的 Defender 感應器設定之後,服務可能需要幾秒鐘的時間才能啟動。

  2. 如果服務未啟動,請檢閱位於下列預設資料夾 "%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs" 中的 "Microsoft.Tri.sensor-Errors.log" 檔案。

    注意

    適用于身分識別的 Defender 版本經常更新,若要檢查最新版本,請在適用于身分識別的 Defender 入口網站中 ,移至 [ 設定],然後移至 [ 關於]。

  3. 使用下列步驟,確認任何網域裝置上的適用于身分識別的 Defender 連線:

    1. 開啟命令提示字元
    2. 輸入 nslookup
    3. 輸入 伺服器 ,以及安裝適用于身分識別的 Defender 感應器之網域控制站的 FQDN 或 IP 位址。 例如, server contosodc.contoso.azure
    4. 輸入 ls -d contoso.azure
      • 請務必分別以適用于身分識別的 Defender 感應器和功能變數名稱的 FQDN 取代 contosodc.contoso.azure 和 contoso.azure。
    5. 針對您想要測試的每個感應器重複上述兩個步驟。
    6. 從適用于身分識別的 Defender 主控台,開啟您執行連線測試的電腦實體設定檔。
    7. 登入Microsoft 365 Defender入口網站。 在頂端中間的搜尋方塊中,輸入您用來執行上述命令的使用者名稱,選取結果中的名稱以檢視使用者的頁面及其所有相關活動和警示。

    注意

    如果您想要測試的網域控制站是第一個部署的感應器,請至少等候 15 分鐘,以允許資料庫後端完成必要微服務的初始部署,然後再嘗試確認該網域控制站的相關邏輯活動。

若要驗證適用于身分識別的 Defender 感應器是否已成功部署在 AD FS 伺服器上,請檢查下列各項:

  1. 檢查名稱為 [Azure 進階威脅感應器] 的服務是否正在執行。 儲存適用于身分識別的 Defender 感應器設定之後,服務可能需要幾秒鐘的時間才能啟動。

  2. 如果服務未啟動,請檢閱位於下列預設資料夾 "%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs" 中的 "Microsoft.Tri.sensor-Errors.log" 檔案。

    注意

    適用于身分識別的 Defender 版本經常更新,若要檢查最新版本,請在適用于身分識別的 Defender 入口網站中 ,移至 [ 設定],然後移至 [ 關於]。

  3. 使用 AD FS 向任何應用程式驗證使用者。

  4. 使用下列步驟確認適用于身分識別的 Defender 觀察到 AD FS 驗證:

    1. 登入Microsoft 365 Defender入口網站。 從導覽功能表中,選取 [ 搜捕 ],然後選取 [ 進階搜捕]。 在 [ 查詢] 窗格中,輸入 並執行下列查詢:

      IdentityLogonEvents | where Protocol contains 'Adfs'

    2. 結果窗格應該包含事件清單,其中包含使用 ADFS 驗證登入LogonType。 您可以選取特定資料列,並在 [ 檢查記錄 ] 左窗格中查看其他詳細資料。

    請參閱 ADFS 登入進階搜捕查詢的結果。

下一步

現在您已設定初始設定步驟,您可以設定更多設定。 如需詳細資訊,請移至下列任何頁面: