Konfigurace nastavení senzoru Microsoft Defender for Identity
V tomto článku se dozvíte, jak správně nakonfigurovat nastavení Microsoft Defender for Identity senzoru, abyste mohli začít zobrazovat data. Abyste mohli využívat všechny funkce Defenderu for Identity, budete muset provést další konfiguraci a integraci.
Zobrazení a konfigurace nastavení senzoru
Po instalaci senzoru Defenderu for Identity postupujte následovně a zobrazte a nakonfigurujte nastavení senzoru Defender for Identity:
V Microsoft Defender XDR přejděte na Nastavení>Snímače identit>. Příklady:
Na stránce Senzory se zobrazí všechny vaše senzory Defenderu for Identity s následujícími podrobnostmi o jednotlivých senzorech:
- Název senzoru
- Členství v doméně senzoru
- Číslo verze senzoru
- Informace o tom, jestli se mají aktualizace zpozdit
- Stav služby senzoru
- Stav senzoru
- Stav senzoru
- Počet problémů se stavem
- Kdy byl senzor vytvořen
Další informace najdete v tématu Podrobnosti o senzoru.
Vyberte Filtry a vyberte filtry, které chcete zobrazit. Příklady:
Pomocí zobrazených filtrů určete, které senzory se mají zobrazit. Příklady:
Výběrem senzoru zobrazíte podokno podrobností s dalšími informacemi o senzoru a jeho stavu. Příklady:
Posuňte se dolů a vyberte Spravovat senzor , abyste zobrazili podokno, ve kterém můžete nakonfigurovat podrobnosti o senzoru. Příklady:
Nakonfigurujte následující podrobnosti o senzoru:
Name (Název) Popis Popis Volitelný parametr Zadejte popis senzoru Defenderu for Identity. Řadiče domény (FQDN) Vyžaduje se pro samostatné senzory a senzory Defenderu for Identity nainstalované na serverech SLUŽBY AD FS / AD CS a nelze je upravit pro senzor Defenderu for Identity.
Zadejte úplný plně kvalifikovaný název domény řadiče domény a výběrem symbolu plus ho přidejte do seznamu. Například DC1.doména1.test.local.
Pro všechny servery, které definujete v seznamu Řadiče domény :
– Všechny řadiče domény, jejichž provoz je monitorován prostřednictvím zrcadlení portů samostatným senzorem Defender for Identity, musí být uvedené v seznamu Řadiče domény . Pokud řadič domény není uvedený v seznamu Řadiče domény , nemusí detekce podezřelých aktivit fungovat podle očekávání.
- Alespoň jeden řadič domény v seznamu by měl být globální katalog. To umožňuje službě Defender for Identity přeložit objekty počítačů a uživatelů v jiných doménách v doménové struktuře.Zachytávání síťových adaptérů Požadovaný.
– Pro senzory defenderu for Identity jsou to všechny síťové adaptéry, které se používají ke komunikaci s ostatními počítači ve vaší organizaci.
– V případě samostatného senzoru Defenderu for Identity na vyhrazeném serveru vyberte síťové adaptéry, které jsou nakonfigurované jako cílový zrcadlový port. Tyto síťové adaptéry přijímají přenosy zrcadlených řadičů domény.Na stránce Senzory vyberte Exportovat a vyexportujte seznam senzorů do .csv souboru. Příklady:
Ověření instalací
K ověření instalace senzoru Defender for Identity použijte následující postupy.
Poznámka
Pokud instalujete na server služby AD FS nebo AD CS, použijete jinou sadu ověření. Další informace najdete v tématu Ověření úspěšného nasazení na serverech SLUŽBY AD FS/AD CS.
Ověření úspěšného nasazení
Ověření úspěšného nasazení senzoru Defender for Identity:
Zkontrolujte, jestli je na vašem počítači se senzory spuštěná služba senzoru Azure Advanced Threat Protection . Po uložení nastavení senzoru Defenderu for Identity může spuštění služby trvat několik sekund.
Pokud se služba nespustí, zkontrolujte soubor Microsoft.Tri.sensor-Errors.log , který se ve výchozím nastavení nachází na adrese
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs
, kde je verze, kterou<sensor version>
jste nasadili.
Ověření funkčnosti výstrah zabezpečení
Tato část popisuje, jak můžete ověřit, že se výstrahy zabezpečení aktivují podle očekávání.
Při použití příkladů v následujících krocích nezapomeňte nahradit contosodc.contoso.azure
a contoso.azure
plně kvalifikovaným názvem domény vašeho senzoru Defenderu for Identity a názvem domény.
Na zařízení připojeném členem otevřete příkazový řádek a zadejte
nslookup
Zadejte
server
a plně kvalifikovaný název domény nebo IP adresu řadiče domény, na kterém je nainstalovaný senzor Defenderu for Identity. Například:server contosodc.contoso.azure
Vstoupit
ls -d contoso.azure
Předchozí dva kroky opakujte pro každý senzor, který chcete testovat.
Přejděte na stránku podrobností o zařízení pro počítač, na který jste spustili test připojení, například ze stránky Zařízení , vyhledáním názvu zařízení nebo z jiného místa na portálu Defender.
Na kartě Podrobnosti o zařízení vyberte kartu Časová osa a zobrazte následující aktivitu:
- Události: Dotazy DNS prováděné na zadaný název domény
- Typ akce MdiDnsQuery
Pokud je řadič domény nebo služba AD FS / AD CS, kterou testujete, prvním nasazený senzorem, počkejte aspoň 15 minut, než ověříte jakoukoli logickou aktivitu pro tento řadič domény, což back-endu databáze umožní dokončit počáteční nasazení mikroslužeb.
Ověření nejnovější dostupné verze senzoru
Verze Defenderu for Identity se často aktualizuje. Vyhledejte nejnovější verzi na stránce Microsoft Defender XDR Nastavení>Identity>About.
Související obsah
Teď, když jste nakonfigurovali počáteční kroky konfigurace, můžete nakonfigurovat další nastavení. Další informace najdete na některé z níže uvedených stránek:
- Nastavení značek entit: sensitive, honeytoken a Exchange server
- Konfigurace vyloučení detekce
- Konfigurace oznámení: problémy se stavem, upozornění a Syslog