共用方式為


設定 適用於身分識別的 Microsoft Defender 感測器設定

在本文中,您將瞭解如何正確設定 適用於身分識別的 Microsoft Defender 感測器設定,以開始查看數據。 您必須執行其他設定和整合,才能利用適用於身分識別的Defender完整功能。

檢視及設定感測器設定

安裝適用於身分識別的 Defender 感測器之後,請執行下列動作來檢視及設定適用於身分識別的 Defender 感測器設定:

  1. Microsoft Defender 全面偵測回應 中,移至 [設定>身分識別>感測器]。 例如:

    [感測器] 頁面的螢幕快照。

    [ 感測器 ] 頁面會顯示所有適用於身分識別的 Defender 感測器,並列出每個感測器的下列詳細數據:

    • 感應器名稱
    • 感測器網域成員資格
    • 感測器版本號碼
    • 是否應 延遲更新
    • 感測器服務狀態
    • 感測器狀態
    • 感測器健全狀態
    • 健康情況問題的數目
    • 建立感測器時

    如需詳細資訊,請參閱 感測器詳細數據

  2. 選取 [ 篩選 ] 以選取您想要顯示的篩選。 例如:

    感測器篩選的螢幕快照。

  3. 使用顯示的篩選來判斷要顯示的感測器。 例如:

    已篩選感測器清單的螢幕快照。

  4. 選取感測器以顯示詳細數據窗格,其中包含感測器及其健康情況狀態的詳細資訊。 例如:

    感測器詳細數據窗格的螢幕快照。

  5. 向下捲動並選取 [管理感測器 ] 以顯示您可以設定感測器詳細數據的窗格。 例如:

    [管理感測器] 選項的螢幕快照。

  6. 設定下列感測器詳細資料:

    名稱 描述
    說明 選擇性。 輸入適用於身分識別的Defender感測器的描述。
    網域控制器 (FQDN) 適用於身分識別的 Defender 獨立感測器和安裝在 AD FS / AD CS 伺服器上,且無法針對適用於身分識別的 Defender 感測器進行修改。

    輸入域控制器的完整 FQDN,然後選取加號以將它新增至清單。 例如, DC1.domain1.test.local

    針對您在 [域控制器] 清單中定義的任何伺服器:

    - 所有流量正透過適用於身分識別的 Defender 獨立感測器透過埠鏡像監視的域控制器,都必須列在 [域控制器 ] 清單中。 如果域控制器未列在 域控制器 清單中,則偵測可疑活動可能無法如預期般運作。

    - 清單中至少有一個域控制器應該是全域編錄。 這可讓適用於身分識別的Defender解析樹系中其他網域中的電腦和用戶物件。
    擷取網路適配器 必要。

    - 針對適用於身分識別的 Defender 感測器,用於與組織中其他電腦通訊的所有網路適配器。

    - 針對專用伺服器上的適用於身分識別的 Defender 獨立感測器,選取設定為目的地鏡像埠的網路適配器。 這些網路適配器會接收鏡像域控制器流量。
  7. 在 [感測器] 頁面上,選取 [導出] 將感測器清單匯出至.csv檔案。 例如:

    匯出感測器清單的螢幕快照。

驗證安裝

使用下列程式來驗證適用於身分識別的Defender感測器安裝。

注意

如果您要在 AD FS 或 AD CS 伺服器上安裝,您將使用不同的驗證集。 如需詳細資訊,請參閱 驗證 AD FS / AD CS 伺服器上的成功部署。

驗證成功的部署

若要驗證適用於身分識別的Defender感測器是否已成功部署:

  1. 檢查 Azure 進階威脅防護感測器服務是否在您的感測器電腦上執行。 儲存適用於身分識別的 Defender 感測器設定之後,服務可能需要幾秒鐘的時間才能啟動。

  2. 如果服務未啟動,請檢閱預設位於 %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs的 Microsoft.Tri.sensor-Errors.log 檔案,其中 <sensor version> 是您部署的版本。

確認安全性警示功能

本節說明如何確認安全性警示如預期般觸發。

使用下列步驟中的範例時,請務必分別以適用於身分識別的 Defender 感測器和功能變數名稱的 FQDN 取代 contosodc.contoso.azure contoso.azure 和 。

  1. 在加入成員的裝置上,開啟命令提示字元並輸入 nslookup

  2. 輸入 server ,以及已安裝適用於身分識別的 Defender 感測器之域控制器的 FQDN 或 IP 位址。 例如:server contosodc.contoso.azure

  3. 輸入 ls -d contoso.azure

  4. 針對您想要測試的每個感測器重複上述兩個步驟。

  5. 從 [裝置] 頁面、搜尋裝置名稱,或從 Defender 入口網站的其他位置,存取您執行連線測試的電腦裝置詳細數據頁面,例如從 [裝置 ] 頁面存取。

  6. 在 [裝置詳細數據] 索引標籤上,選取 [ 時程表] 索引標籤以檢視下列活動:

    • 事件:對指定功能變數名稱執行的 DNS 查詢
    • 動作類型 MdiDnsQuery

如果您要測試的域控制器或 AD FS / AD CS 是您部署的第一個感測器,請等候至少 15 分鐘,再確認該域控制器的任何邏輯活動,讓資料庫後端完成初始微服務部署。

確認最新的可用感測器版本

適用於身分識別的Defender版本會經常更新。 檢查 [Microsoft Defender 全面偵測回應 設定>身分>識別關於] 頁面中的最新版本。

現在您已設定初始設定步驟,您可以設定更多設定。 如需詳細資訊,請移至下列任何頁面:

後續步驟