設定適用於身分識別的 Microsoft Defender 感測器設定

在本文中，您將瞭解如何正確設定適用於身分識別的 Microsoft Defender 感測器設定，以開始查看數據。您必須執行其他設定和整合，才能利用適用於身分識別的Defender完整功能。

檢視及設定感測器設定

安裝適用於身分識別的 Defender 感測器之後，請執行下列動作來檢視及設定適用於身分識別的 Defender 感測器設定：

設定下列感測器詳細資料：

名稱	描述
說明	選擇性。輸入適用於身分識別的Defender感測器的描述。
網域控制器（FQDN）	適用於身分識別的 Defender 獨立感測器和安裝在 AD FS / AD CS 伺服器上，且無法針對適用於身分識別的 Defender 感測器進行修改。輸入域控制器的完整 FQDN，然後選取加號以將它新增至清單。例如， DC1.domain1.test.local。針對您在 [域控制器] 清單中定義的任何伺服器： - 所有流量正透過適用於身分識別的 Defender 獨立感測器透過埠鏡像監視的域控制器，都必須列在 [域控制器 ] 清單中。如果域控制器未列在域控制器清單中，則偵測可疑活動可能無法如預期般運作。 - 清單中至少有一個域控制器應該是全域編錄。這可讓適用於身分識別的Defender解析樹系中其他網域中的電腦和用戶物件。
擷取網路適配器	必要。 - 針對適用於身分識別的 Defender 感測器，用於與組織中其他電腦通訊的所有網路適配器。 - 針對專用伺服器上的適用於身分識別的 Defender 獨立感測器，選取設定為目的地鏡像埠的網路適配器。這些網路適配器會接收鏡像域控制器流量。

使用下列程式來驗證適用於身分識別的Defender感測器安裝。

注意

如果您要在 AD FS 或 AD CS 伺服器上安裝，您將使用不同的驗證集。如需詳細資訊，請參閱驗證 AD FS / AD CS 伺服器上的成功部署。

若要驗證適用於身分識別的Defender感測器是否已成功部署：

檢查 Azure 進階威脅防護感測器服務是否在您的感測器電腦上執行。儲存適用於身分識別的 Defender 感測器設定之後，服務可能需要幾秒鐘的時間才能啟動。
如果服務未啟動，請檢閱預設位於 %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs的 Microsoft.Tri.sensor-Errors.log 檔案，其中 <sensor version> 是您部署的版本。

本節說明如何確認安全性警示如預期般觸發。

使用下列步驟中的範例時，請務必分別以適用於身分識別的 Defender 感測器和功能變數名稱的 FQDN 取代 contosodc.contoso.azure contoso.azure 和。

在加入成員的裝置上，開啟命令提示字元並輸入 nslookup
輸入 server ，以及已安裝適用於身分識別的 Defender 感測器之域控制器的 FQDN 或 IP 位址。例如：server contosodc.contoso.azure
輸入 ls -d contoso.azure
針對您想要測試的每個感測器重複上述兩個步驟。
從 [裝置] 頁面、搜尋裝置名稱，或從 Defender 入口網站的其他位置，存取您執行連線測試的電腦裝置詳細數據頁面，例如從 [裝置 ] 頁面存取。
在 [裝置詳細數據] 索引標籤上，選取 [ 時程表] 索引標籤以檢視下列活動：
- 事件：對指定功能變數名稱執行的 DNS 查詢
- 動作類型 MdiDnsQuery

如果您要測試的域控制器或 AD FS / AD CS 是您部署的第一個感測器，請等候至少 15 分鐘，再確認該域控制器的任何邏輯活動，讓資料庫後端完成初始微服務部署。

適用於身分識別的Defender版本會經常更新。檢查 [Microsoft Defender 全面偵測回應 設定>身分>識別關於] 頁面中的最新版本。

現在您已設定初始設定步驟，您可以設定更多設定。如需詳細資訊，請移至下列任何頁面：