設定 適用於身分識別的 Microsoft Defender 感測器設定
在本文中,您將瞭解如何正確設定 適用於身分識別的 Microsoft Defender 感測器設定,以開始查看數據。 您必須執行其他設定和整合,才能利用適用於身分識別的Defender完整功能。
檢視及設定感測器設定
安裝適用於身分識別的 Defender 感測器之後,請執行下列動作來檢視及設定適用於身分識別的 Defender 感測器設定:
在 Microsoft Defender 全面偵測回應 中,移至 [設定>身分識別>感測器]。 例如:
[ 感測器 ] 頁面會顯示所有適用於身分識別的 Defender 感測器,並列出每個感測器的下列詳細數據:
- 感應器名稱
- 感測器網域成員資格
- 感測器版本號碼
- 是否應 延遲更新
- 感測器服務狀態
- 感測器狀態
- 感測器健全狀態
- 健康情況問題的數目
- 建立感測器時
如需詳細資訊,請參閱 感測器詳細數據。
選取 [ 篩選 ] 以選取您想要顯示的篩選。 例如:
使用顯示的篩選來判斷要顯示的感測器。 例如:
選取感測器以顯示詳細數據窗格,其中包含感測器及其健康情況狀態的詳細資訊。 例如:
向下捲動並選取 [管理感測器 ] 以顯示您可以設定感測器詳細數據的窗格。 例如:
設定下列感測器詳細資料:
名稱 描述 說明 選擇性。 輸入適用於身分識別的Defender感測器的描述。 網域控制器 (FQDN) 適用於身分識別的 Defender 獨立感測器和安裝在 AD FS / AD CS 伺服器上,且無法針對適用於身分識別的 Defender 感測器進行修改。
輸入域控制器的完整 FQDN,然後選取加號以將它新增至清單。 例如, DC1.domain1.test.local。
針對您在 [域控制器] 清單中定義的任何伺服器:
- 所有流量正透過適用於身分識別的 Defender 獨立感測器透過埠鏡像監視的域控制器,都必須列在 [域控制器 ] 清單中。 如果域控制器未列在 域控制器 清單中,則偵測可疑活動可能無法如預期般運作。
- 清單中至少有一個域控制器應該是全域編錄。 這可讓適用於身分識別的Defender解析樹系中其他網域中的電腦和用戶物件。擷取網路適配器 必要。
- 針對適用於身分識別的 Defender 感測器,用於與組織中其他電腦通訊的所有網路適配器。
- 針對專用伺服器上的適用於身分識別的 Defender 獨立感測器,選取設定為目的地鏡像埠的網路適配器。 這些網路適配器會接收鏡像域控制器流量。在 [感測器] 頁面上,選取 [導出] 將感測器清單匯出至.csv檔案。 例如:
驗證安裝
使用下列程式來驗證適用於身分識別的Defender感測器安裝。
注意
如果您要在 AD FS 或 AD CS 伺服器上安裝,您將使用不同的驗證集。 如需詳細資訊,請參閱 驗證 AD FS / AD CS 伺服器上的成功部署。
驗證成功的部署
若要驗證適用於身分識別的Defender感測器是否已成功部署:
檢查 Azure 進階威脅防護感測器服務是否在您的感測器電腦上執行。 儲存適用於身分識別的 Defender 感測器設定之後,服務可能需要幾秒鐘的時間才能啟動。
如果服務未啟動,請檢閱預設位於
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs
的 Microsoft.Tri.sensor-Errors.log 檔案,其中<sensor version>
是您部署的版本。
確認安全性警示功能
本節說明如何確認安全性警示如預期般觸發。
使用下列步驟中的範例時,請務必分別以適用於身分識別的 Defender 感測器和功能變數名稱的 FQDN 取代 contosodc.contoso.azure
contoso.azure
和 。
在加入成員的裝置上,開啟命令提示字元並輸入
nslookup
輸入
server
,以及已安裝適用於身分識別的 Defender 感測器之域控制器的 FQDN 或 IP 位址。 例如:server contosodc.contoso.azure
輸入
ls -d contoso.azure
針對您想要測試的每個感測器重複上述兩個步驟。
從 [裝置] 頁面、搜尋裝置名稱,或從 Defender 入口網站的其他位置,存取您執行連線測試的電腦裝置詳細數據頁面,例如從 [裝置 ] 頁面存取。
在 [裝置詳細數據] 索引標籤上,選取 [ 時程表] 索引標籤以檢視下列活動:
- 事件:對指定功能變數名稱執行的 DNS 查詢
- 動作類型 MdiDnsQuery
如果您要測試的域控制器或 AD FS / AD CS 是您部署的第一個感測器,請等候至少 15 分鐘,再確認該域控制器的任何邏輯活動,讓資料庫後端完成初始微服務部署。
確認最新的可用感測器版本
適用於身分識別的Defender版本會經常更新。 檢查 [Microsoft Defender 全面偵測回應 設定>身分>識別關於] 頁面中的最新版本。
相關內容
現在您已設定初始設定步驟,您可以設定更多設定。 如需詳細資訊,請移至下列任何頁面: