Sdílet prostřednictvím

Správa a aktualizace senzorů Microsoft Defender for Identity

  • Článek

Tento článek vysvětluje, jak nakonfigurovat a spravovat senzory Microsoft Defender for Identity v Microsoft Defender XDR.

Zobrazení nastavení a stavu senzoru Služby Defender for Identity

  1. V Microsoft Defender XDR přejděte na Nastavení a potom Na Identity.

    Přejděte na Nastavení a pak Na Identity.

  2. Vyberte stránku Senzory , na které se zobrazí všechny vaše senzory Defenderu for Identity. U každého senzoru uvidíte jeho název, členství v doméně, číslo verze, pokud by se aktualizace měly zpozdit, stav služby, stav senzoru, stav, počet problémů se stavem a datum vytvoření senzoru. Podrobnosti o jednotlivých sloupcích najdete v tématu Podrobnosti o senzoru.

    Stránka senzoru.

  3. Pokud vyberete Filtry, můžete zvolit, které filtry budou k dispozici. S každým filtrem pak můžete zvolit, které senzory se mají zobrazit.

    Filtry senzorů.

    Filtrovaný senzor.

  4. Pokud vyberete jeden ze senzorů, zobrazí se podokno s informacemi o senzoru a jeho stavu.

    Podrobnosti o senzoru.

  5. Pokud vyberete některý z problémů se stavem, zobrazí se podokno s dalšími podrobnostmi o nich. Pokud zvolíte uzavřený problém, můžete ho odsud znovu otevřít.

    Podrobnosti o problému.

  6. Pokud vyberete Spravovat senzor, otevře se podokno, kde můžete nakonfigurovat podrobnosti o senzoru.

    Správa senzoru

    Konfigurace podrobností o senzoru

  7. Na stránce Senzory můžete exportovat seznam senzorů do souboru .csv tak, že vyberete Exportovat.

    Export seznamu senzorů

Podrobnosti o senzoru

Stránka senzorů obsahuje následující informace o každém senzoru:

  • Senzor: Zobrazí název počítače Pro rozhraní NetBIOS senzoru.

  • Typ: Zobrazí typ senzoru. Možné hodnoty jsou:

    • Senzor řadiče domény

    • Senzor služby AD FS (Active Directory Federation Services (AD FS))

    • Samostatný senzor

    • Senzor ADCS (Active Directory Certificate Services). Pokud je váš senzor nainstalovaný na serveru řadiče domény s nakonfigurovanou službou AD CS, například v testovacím prostředí, typ senzoru se místo toho zobrazí jako senzor řadiče domény .

  • Doména: Zobrazí plně kvalifikovaný název domény služby Active Directory, ve které je senzor nainstalovaný.

  • Stav služby: Zobrazuje stav služby senzoru na serveru. Možné hodnoty jsou:

    • Spuštěno: Služba senzoru je spuštěná.

    • Spouští se: Spouští se služba senzoru.

    • Zakázáno: Služba senzoru je zakázaná.

    • Zastaveno: Služba senzoru je zastavená.

    • Neznámé: Senzor je odpojený nebo nedostupný

  • Stav senzoru: Zobrazuje celkový stav senzoru. Možné hodnoty jsou:

    • Aktuální: Senzor používá aktuální verzi senzoru.

    • Zastaralé: Senzor používá verzi softwaru, která je minimálně tři verze za aktuální verzí.

    • Aktualizace: Software senzoru se aktualizuje.

    • Aktualizace se nezdařila: Senzor se nepodařilo aktualizovat na novou verzi.

    • Nenakonfigurováno: Než bude senzor plně funkční, vyžaduje další konfiguraci. To platí pro senzory nainstalované na serverech AD FS / AD CS nebo samostatné senzory.

    • Spuštění selhalo: Senzor nevyužil konfiguraci déle než 30 minut.

    • Synchronizace: Senzor má čekající aktualizace konfigurace, ale ještě nevytáhl novou konfiguraci.

    • Odpojeno: Služba Defender for Identity nezaznamovala žádnou komunikaci z tohoto senzoru za 10 minut.

    • Nedostupný: Řadič domény byl odstraněn ze služby Active Directory. Instalace senzoru se ale před vyřazením z řadiče domény neodinstalovala a neodebrala. Tuto položku můžete bezpečně odstranit.

  • Verze: Zobrazí nainstalovanou verzi senzoru.

  • Zpožděná aktualizace: Zobrazí stav mechanismu zpožděné aktualizace senzoru. Možné hodnoty jsou:

    • Zpřístupněný

    • Zakázáno

  • Stav: Zobrazuje celkový stav senzoru s barevnou ikonou představující nejvyšší závažnost otevřeného upozornění na stav. Možné hodnoty jsou:

    • V pořádku (zelená ikona): Žádné problémy se stavem otevření

    • Není v pořádku (žlutá ikona): Problém s nejvyšším stupněm otevřeného stavu je nízký

    • Není v pořádku (oranžová ikona): Největší závažnost problému s otevřeným stavem je střední

    • Není v pořádku (červená ikona): Největší závažnost problému s otevřeným stavem je vysoká

  • Problémy se stavem: Zobrazí počet otevřených problémů se stavem na senzoru.

  • Vytvořeno: Zobrazuje datum instalace senzoru.

Aktualizace senzorů

Udržování senzorů Microsoft Defender for Identity v aktuálním stavu poskytuje vaší organizaci nejlepší možnou ochranu.

Služba Microsoft Defender for Identity se obvykle několikrát za měsíc aktualizuje o nové detekce, funkce a vylepšení výkonu. Tyto aktualizace obvykle zahrnují odpovídající dílčí aktualizaci senzorů. Balíčky aktualizací senzorů řídí pouze možnosti detekce senzoru a senzoru Defender for Identity.

Typy aktualizací senzorů Defenderu for Identity

Senzory Defenderu for Identity podporují dva typy aktualizací:

  • Aktualizace podverze:

    • Častý
    • Nevyžaduje žádnou instalaci MSI a žádné změny registru.
    • Restartováno: Služby senzoru Defender for Identity

  • Aktualizace hlavní verze:

    • Vzácný
    • Obsahuje významné změny.
    • Restartováno: Služby senzoru Defender for Identity

Poznámka

  • Senzory Defenderu for Identity si vždy vyhraďte alespoň 15 % dostupné paměti a procesoru dostupné na řadiči domény, na kterém je nainstalovaný. Pokud služba Defender for Identity spotřebovává příliš mnoho paměti, služba aktualizátoru senzorů Defenderu for Identity ji automaticky zastaví a restartuje.

Zpožděná aktualizace senzoru

Vzhledem k rychlé rychlosti probíhajících aktualizací vývoje a vydávání Defenderu for Identity se můžete rozhodnout definovat podmnožinu snímačů jako zpožděný aktualizační okruh, což umožňuje proces postupné aktualizace senzorů. Defender for Identity umožňuje zvolit, jak se vaše senzory aktualizují, a nastavit jednotlivé senzory jako kandidáta na zpožděnou aktualizaci .

Senzory, které nejsou vybrané pro zpožděnou aktualizaci, se aktualizují automaticky při každé aktualizaci služby Defender for Identity. Senzory nastavené na Zpožděná aktualizace se aktualizují se zpožděním 72 hodin po oficiálním vydání každé aktualizace služby.

Možnost zpožděné aktualizace umožňuje vybrat konkrétní senzory jako automatický aktualizační okruh, ve kterém se všechny aktualizace automaticky nasadí, a nastavit zbývající senzory tak, aby se aktualizovaly se zpožděním, takže máte čas ověřit, že automaticky aktualizované senzory proběhly úspěšně.

Poznámka

Pokud dojde k chybě a senzor se neaktualizuje, otevřete lístek podpory. Informace o dalším posílení komunikace proxy serveru s pracovním prostorem najdete v tématu Konfigurace proxy serveru.

Ověřování mezi senzory a cloudovou službou Azure využívá silné vzájemné ověřování založené na certifikátech. Klientský certifikát se vytvoří při instalaci senzoru jako certifikát podepsaný svým držitelem, který je platný po dobu 2 let. Služba Sensor Updater zodpovídá za vygenerování nového certifikátu podepsaného svým držitelem před vypršením platnosti stávajícího certifikátu. Certifikáty se zařadí do back-endu s 2fázovým procesem ověřování, aby se zabránilo situaci, kdy průběžný certifikát přeruší ověřování.

Každá aktualizace se testuje a ověřuje ve všech podporovaných operačních systémech, aby to mělo minimální dopad na vaši síť a provoz.

Nastavení zpožděné aktualizace senzoru:

  1. Na stránce Senzory vyberte senzor, který chcete nastavit pro zpožděné aktualizace.

  2. Vyberte tlačítko Povoleno zpožděné aktualizace .

    Povolte zpožděnou aktualizaci.

  3. V potvrzovacím okně vyberte Povolit.

Pokud chcete zpožděné aktualizace zakázat, vyberte senzor a pak vyberte tlačítko Zakázat zpožděnou aktualizaci .

Proces aktualizace senzoru

Senzory Defenderu for Identity každých pár minut kontrolují, jestli mají nejnovější verzi. Po aktualizaci cloudové služby Defender for Identity na novější verzi spustí služba senzoru Defender for Identity proces aktualizace:

  1. Aktualizace cloudové služby Defender for Identity na nejnovější verzi

  2. Služba aktualizátoru senzorů Defender for Identity zjistí, že existuje aktualizovaná verze.

  3. Senzory, u které není nastavená možnost Zpožděná aktualizace , spustí proces aktualizace na základě senzoru podle senzorů:

    1. Služba aktualizátoru senzorů Defender for Identity si z cloudové služby (ve formátu cab) stáhne aktualizovanou verzi.
    2. Aktualizátor senzoru Defender for Identity ověří podpis souboru.
    3. Služba aktualizátoru senzorů Defender for Identity extrahuje soubor cab do nové složky v instalační složce senzoru. Ve výchozím nastavení se extrahuje do složky C:\Program Files\Azure Advanced Threat Protection Sensor<číslo> verze.
    4. Služba senzoru Defender for Identity odkazuje na nové soubory extrahované ze souboru CAB.
    5. Služba aktualizátoru senzoru Defenderu for Identity restartuje službu senzoru Defender for Identity.

      Poznámka

      Dílčí aktualizace senzorů nenainstaluje žádnou MSI, nemění žádné hodnoty registru ani systémové soubory. Ani čekající restartování nemá vliv na aktualizaci senzoru.

    6. Senzory běží na základě nově aktualizované verze.
    7. Senzor získá povolení od cloudové služby Azure. Stav senzoru můžete ověřit na stránce Senzory .
    8. Další senzor spustí proces aktualizace.

  4. Senzory vybrané jako Zpožděná aktualizace spustí proces aktualizace 72 hodin po aktualizaci cloudové služby Defender for Identity. Tyto senzory pak použijí stejný proces aktualizace jako automaticky aktualizované senzory.

U každého senzoru, kterému se nepodaří dokončit proces aktualizace, se aktivuje příslušná výstraha na stav a odešle se jako oznámení.

Selhání aktualizace senzoru

Bezobslužná aktualizace senzoru Defenderu for Identity

Pomocí následujícího příkazu bezobslužně aktualizujte senzor Defenderu for Identity:

Syntaxe:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Možnosti instalace:

Name (Název) Syntax Povinné pro tichou instalaci? Popis
Tichý /tichý Ano Spustí instalační program, který nezobrazuje žádné uživatelské rozhraní a žádné výzvy.
Nápověda /Pomoc Ne Poskytuje nápovědu a stručné reference. Zobrazí správné použití instalačního příkazu včetně seznamu všech možností a chování.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Ano Určuje parametry instalace rozhraní .Net Framework. Musí být nastaven pro vynucení bezobslužné instalace rozhraní .Net Framework.

              Příklady:

Bezobslužná aktualizace senzoru Defenderu for Identity:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Konfigurace nastavení proxy serveru

Doporučujeme nakonfigurovat počáteční nastavení proxy serveru během instalace pomocí přepínačů příkazového řádku. Pokud budete později potřebovat aktualizovat nastavení proxy serveru, použijte rozhraní příkazového řádku nebo PowerShell.

Pokud jste dříve nakonfigurovali nastavení proxy serveru přes WinINet nebo klíč registru a potřebujete je aktualizovat, budete muset použít stejnou metodu, kterou jste použili původně.

Další informace najdete v tématu Konfigurace proxy koncového bodu a nastavení připojení k internetu.

Další kroky