Sdílet prostřednictvím


Konfigurace nastavení senzoru Microsoft Defender for Identity

V tomto článku se dozvíte, jak správně nakonfigurovat nastavení Microsoft Defender for Identity senzoru, abyste mohli začít zobrazovat data. Abyste mohli využívat všechny funkce Defenderu for Identity, budete muset provést další konfiguraci a integraci.

Zobrazení a konfigurace nastavení senzoru

Po instalaci senzoru Defenderu for Identity postupujte následovně a zobrazte a nakonfigurujte nastavení senzoru Defender for Identity:

  1. V Microsoft Defender XDR přejděte na Nastavení>Snímače identit>. Příklady:

    Snímek obrazovky se stránkou Senzory

    Na stránce Senzory se zobrazí všechny vaše senzory Defenderu for Identity s následujícími podrobnostmi o jednotlivých senzorech:

    • Název senzoru
    • Členství v doméně senzoru
    • Číslo verze senzoru
    • Informace o tom, jestli se mají aktualizace zpozdit
    • Stav služby senzoru
    • Stav senzoru
    • Stav senzoru
    • Počet problémů se stavem
    • Kdy byl senzor vytvořen

    Další informace najdete v tématu Podrobnosti o senzoru.

  2. Vyberte Filtry a vyberte filtry, které chcete zobrazit. Příklady:

    Snímek obrazovky s filtry senzorů

  3. Pomocí zobrazených filtrů určete, které senzory se mají zobrazit. Příklady:

    Snímek obrazovky s filtrovaným seznamem senzorů

  4. Výběrem senzoru zobrazíte podokno podrobností s dalšími informacemi o senzoru a jeho stavu. Příklady:

    Snímek obrazovky s podoknem podrobností o senzoru

  5. Posuňte se dolů a vyberte Spravovat senzor , abyste zobrazili podokno, ve kterém můžete nakonfigurovat podrobnosti o senzoru. Příklady:

    Snímek obrazovky s možností Spravovat senzor

  6. Nakonfigurujte následující podrobnosti o senzoru:

    Name (Název) Popis
    Popis Volitelný parametr Zadejte popis senzoru Defenderu for Identity.
    Řadiče domény (FQDN) Vyžaduje se pro samostatné senzory a senzory Defenderu for Identity nainstalované na serverech SLUŽBY AD FS / AD CS a nelze je upravit pro senzor Defenderu for Identity.

    Zadejte úplný plně kvalifikovaný název domény řadiče domény a výběrem symbolu plus ho přidejte do seznamu. Například DC1.doména1.test.local.

    Pro všechny servery, které definujete v seznamu Řadiče domény :

    – Všechny řadiče domény, jejichž provoz je monitorován prostřednictvím zrcadlení portů samostatným senzorem Defender for Identity, musí být uvedené v seznamu Řadiče domény . Pokud řadič domény není uvedený v seznamu Řadiče domény , nemusí detekce podezřelých aktivit fungovat podle očekávání.

    - Alespoň jeden řadič domény v seznamu by měl být globální katalog. To umožňuje službě Defender for Identity přeložit objekty počítačů a uživatelů v jiných doménách v doménové struktuře.
    Zachytávání síťových adaptérů Požadovaný.

    – Pro senzory defenderu for Identity jsou to všechny síťové adaptéry, které se používají ke komunikaci s ostatními počítači ve vaší organizaci.

    – V případě samostatného senzoru Defenderu for Identity na vyhrazeném serveru vyberte síťové adaptéry, které jsou nakonfigurované jako cílový zrcadlový port. Tyto síťové adaptéry přijímají přenosy zrcadlených řadičů domény.
  7. Na stránce Senzory vyberte Exportovat a vyexportujte seznam senzorů do .csv souboru. Příklady:

    Snímek obrazovky s exportem seznamu senzorů

Ověření instalací

K ověření instalace senzoru Defender for Identity použijte následující postupy.

Poznámka

Pokud instalujete na server služby AD FS nebo AD CS, použijete jinou sadu ověření. Další informace najdete v tématu Ověření úspěšného nasazení na serverech SLUŽBY AD FS/AD CS.

Ověření úspěšného nasazení

Ověření úspěšného nasazení senzoru Defender for Identity:

  1. Zkontrolujte, jestli je na vašem počítači se senzory spuštěná služba senzoru Azure Advanced Threat Protection . Po uložení nastavení senzoru Defenderu for Identity může spuštění služby trvat několik sekund.

  2. Pokud se služba nespustí, zkontrolujte soubor Microsoft.Tri.sensor-Errors.log , který se ve výchozím nastavení nachází na adrese %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, kde je verze, kterou <sensor version> jste nasadili.

Ověření funkčnosti výstrah zabezpečení

Tato část popisuje, jak můžete ověřit, že se výstrahy zabezpečení aktivují podle očekávání.

Při použití příkladů v následujících krocích nezapomeňte nahradit contosodc.contoso.azure a contoso.azure plně kvalifikovaným názvem domény vašeho senzoru Defenderu for Identity a názvem domény.

  1. Na zařízení připojeném členem otevřete příkazový řádek a zadejte nslookup

  2. Zadejte server a plně kvalifikovaný název domény nebo IP adresu řadiče domény, na kterém je nainstalovaný senzor Defenderu for Identity. Například: server contosodc.contoso.azure

  3. Vstoupit ls -d contoso.azure

  4. Předchozí dva kroky opakujte pro každý senzor, který chcete testovat.

  5. Přejděte na stránku podrobností o zařízení pro počítač, na který jste spustili test připojení, například ze stránky Zařízení , vyhledáním názvu zařízení nebo z jiného místa na portálu Defender.

  6. Na kartě Podrobnosti o zařízení vyberte kartu Časová osa a zobrazte následující aktivitu:

    • Události: Dotazy DNS prováděné na zadaný název domény
    • Typ akce MdiDnsQuery

Pokud je řadič domény nebo služba AD FS / AD CS, kterou testujete, prvním nasazený senzorem, počkejte aspoň 15 minut, než ověříte jakoukoli logickou aktivitu pro tento řadič domény, což back-endu databáze umožní dokončit počáteční nasazení mikroslužeb.

Ověření nejnovější dostupné verze senzoru

Verze Defenderu for Identity se často aktualizuje. Vyhledejte nejnovější verzi na stránce Microsoft Defender XDR Nastavení>Identity>About.

Teď, když jste nakonfigurovali počáteční kroky konfigurace, můžete nakonfigurovat další nastavení. Další informace najdete na některé z níže uvedených stránek:

Další krok