Del via

Administrer og opdater Microsoft Defender for Identity sensorer

  • Artikel

I denne artikel forklares det, hvordan du konfigurerer og administrerer Microsoft Defender for Identity sensorer i Microsoft Defender XDR.

Få vist indstillinger og status for Defender for Identity-sensor

  1. I Microsoft Defender XDR skal du gå til Indstillinger og derefter Identiteter.

    Gå til Indstillinger og derefter Identiteter.

  2. Vælg siden Sensorer , som viser alle dine Defender for Identity-sensorer. For hver sensor kan du se dens navn, dets domænemedlemskab, versionsnummeret, hvis opdateringer skal forsinkes, tjenestestatus, sensorstatus, tilstandsstatus, antallet af tilstandsproblemer, og hvornår sensoren blev oprettet. Du kan finde flere oplysninger om hver kolonne under Sensordetaljer.

    Sensorside.

  3. Hvis du vælger Filtre, kan du vælge, hvilke filtre der skal være tilgængelige. Derefter kan du med hvert filter vælge, hvilke sensorer der skal vises.

    Sensorfiltre.

    Filtreret sensor.

  4. Hvis du vælger en af sensorerne, vises der en rude med oplysninger om sensoren og dens tilstandsstatus.

    Sensordetaljer.

  5. Hvis du vælger et af tilstandsproblemerne, får du vist en rude med flere oplysninger om dem. Hvis du vælger et lukket problem, kan du åbne det igen herfra.

    Oplysninger om problem.

  6. Hvis du vælger Administrer sensor, åbnes en rude, hvor du kan konfigurere sensoroplysningerne.

    Administrer sensor.

    Konfigurer sensordetaljer.

  7. På siden Sensorer kan du eksportere din liste over sensorer til en .csv fil ved at vælge Eksportér.

    Eksportér liste over sensorer.

Sensordetaljer

Sensorsiden indeholder følgende oplysninger om hver sensor:

  • Sensor: Viser sensorens NetBIOS-computernavn.

  • Type: Viser sensortypen. De mulige værdier er:

    • Domænecontrollersensor

    • AD FS-sensor (Active Directory Federation Services)

    • Enkeltstående sensor

    • ADCS-sensor (Active Directory Certificate Services). Hvis din sensor er installeret på en domænecontrollerserver med AD CS konfigureret, f.eks. i et testmiljø, vises sensortypen i stedet som domænecontrollersensor .

  • Domæne: Viser det fuldt kvalificerede domænenavn for det Active Directory-domæne, hvor sensoren er installeret.

  • Tjenestestatus: Viser status for sensortjenesten på serveren. De mulige værdier er:

    • Kører: Sensortjenesten kører

    • Start: Sensortjenesten starter

    • Deaktiveret: Sensortjenesten er deaktiveret

    • Stoppet: Sensortjenesten er stoppet

    • Ukendt: Sensoren er afbrudt eller kan ikke nås

  • Sensorstatus: Viser sensorens overordnede status. De mulige værdier er:

    • Opdateret: Sensoren kører en aktuel version af sensoren.

    • Forældet: Sensoren kører en version af softwaren, der er mindst tre versioner bag den aktuelle version.

    • Opdatering: Sensorsoftware opdateres.

    • Opdateringen mislykkedes: Sensoren kunne ikke opdateres til en ny version.

    • Ikke konfigureret: Sensoren kræver mere konfiguration, før den fungerer fuldt ud. Dette gælder for sensorer installeret på AD FS/AD CS-servere eller enkeltstående sensorer.

    • Start mislykkedes: Sensoren trak ikke konfigurationen i mere end 30 minutter.

    • Synkronisering: Sensoren har ventende konfigurationsopdateringer, men den har endnu ikke hentet den nye konfiguration.

    • Afbrudt: Defender for Identity-tjenesten har ikke set nogen kommunikation fra denne sensor i 10 minutter.

    • Ikke tilgængelig: Domænecontrolleren blev slettet fra Active Directory. Sensorinstallationen blev dog ikke fjernet og fjernet fra domænecontrolleren, før den blev taget ud af drift. Du kan trygt slette denne post.

  • Version: Viser den installerede sensorversion.

  • Forsinket opdatering: Viser tilstanden for sensorens forsinkede opdateringsmekanisme. De mulige værdier er:

    • Aktiveret

    • Handicappet

  • Tilstandsstatus: Viser sensorens overordnede tilstandsstatus med et farvet ikon, der repræsenterer den åbne tilstandsbesked med den højeste alvorsgrad. De mulige værdier er:

    • Sund (grønt ikon): Ingen åbne tilstandsproblemer

    • Ikke i orden (gult ikon): Den højeste alvorsgrad, der er åbnet tilstandsproblem, er lav

    • Ikke i orden (orange ikon): Den højeste alvorsgrad, der er åbnet for tilstandsproblemet, er mellem

    • Ikke i orden (rødt ikon): Den højeste alvorsgrad, der er åbnet for tilstandsproblemet, er høj

  • Tilstandsproblemer: Viser antallet af åbne tilstandsproblemer på sensoren.

  • Oprettet: Viser den dato, hvor sensoren blev installeret

Opdatering af dine sensorer

At holde dine Microsoft Defender for Identity sensorer opdateret giver den bedst mulige beskyttelse for din organisation.

Tjenesten Microsoft Defender for Identity opdateres typisk et par gange om måneden med nye registreringer, funktioner og forbedringer af ydeevnen. Disse opdateringer omfatter typisk en tilsvarende mindre opdatering til sensorerne. Opdateringspakker til sensorer styrer kun funktionerne Defender for Identity-sensor og sensorregistrering.

Opdateringstyper for Defender for Identity-sensor

Defender for Identity-sensorer understøtter to slags opdateringer:

  • Underordnede versionsopdateringer:

    • Hyppig
    • Kræver ingen MSI-installation og ingen ændringer i registreringsdatabasen
    • Genstartet: Defender for Identity Sensor Services

  • Overordnede versionsopdateringer:

    • Sjælden
    • Indeholder betydelige ændringer
    • Genstartet: Defender for Identity Sensor Services

Bemærk!

  • Defender for Identity-sensorer reserverer altid mindst 15 % af den tilgængelige hukommelse og CPU, der er tilgængelig på den domænecontroller, hvor den er installeret. Hvis Defender for Identity-tjenesten forbruger for meget hukommelse, stoppes tjenesten automatisk og genstartes af defender for identity-sensoropdateringstjenesten.

Forsinket sensoropdatering

På grund af den hurtige hastighed i den igangværende Defender for Identity-udvikling og udgivelsesopdateringer kan du beslutte at definere en delmængde af dine sensorer som en forsinket opdateringsring, hvilket giver mulighed for en gradvis sensoropdateringsproces. Defender for Identity giver dig mulighed for at vælge, hvordan dine sensorer opdateres, og angive hver enkelt sensor som en forsinket opdateringskandidat .

Sensorer, der ikke er valgt til forsinket opdatering, opdateres automatisk, hver gang Defender for Identity-tjenesten opdateres. Sensorer, der er indstillet til Forsinket opdatering , opdateres ved en forsinkelse på 72 timer efter den officielle udgivelse af hver tjenesteopdatering.

Den forsinkede opdatering giver dig mulighed for at vælge specifikke sensorer som en automatisk opdateringsring, hvor alle opdateringer udrulles automatisk, og indstille resten af dine sensorer til at opdatere ved forsinkelse, hvilket giver dig tid til at bekræfte, at de automatisk opdaterede sensorer lykkedes.

Bemærk!

Hvis der opstår en fejl, og en sensor ikke opdateres, skal du åbne en supportanmodning. Hvis du vil hærde din proxy yderligere, så den kun kommunikerer med dit arbejdsområde, skal du se Proxykonfiguration.

Godkendelse mellem dine sensorer og Azure-cloudtjenesten bruger stærk, certifikatbaseret gensidig godkendelse. Klientcertifikatet oprettes ved sensorinstallationen som et selvsigneret certifikat, der er gyldigt i to år. Sensoropdateringstjenesten er ansvarlig for at generere et nyt selvsigneret certifikat, før det eksisterende certifikat udløber. Certifikaterne rulles med en 2-faset valideringsproces i forhold til backend for at undgå en situation, hvor et rullende certifikat ødelægger godkendelsen.

Hver opdatering testes og valideres på alle understøttede operativsystemer for at få minimal indvirkning på dit netværk og dine handlinger.

Sådan indstiller du en sensor til forsinket opdatering:

  1. På siden Sensorer skal du vælge den sensor, du vil angive for forsinkede opdateringer.

  2. Vælg knappen Aktiveret forsinket opdatering .

    Aktivér forsinket opdatering.

  3. Vælg Aktivér i bekræftelsesvinduet.

Hvis du vil deaktivere forsinkede opdateringer, skal du vælge sensoren og derefter vælge knappen Deaktiveret forsinket opdatering .

Opdateringsproces for sensor

Hvert par minutter kontrollerer Defender for Identity-sensorer, om de har den nyeste version. Når cloudtjenesten Defender for Identity opdateres til en nyere version, starter Defender for Identity-sensortjenesten opdateringsprocessen:

  1. Defender for Identity-cloudtjenesteopdateringer til den nyeste version.

  2. Defender for Identity Sensor Updater Service lærer, at der er en opdateret version.

  3. Sensorer, der ikke er indstillet til Forsinket opdatering , starter opdateringsprocessen på sensorbasis:

    1. Defender for Identity Sensor Updater Service henter den opdaterede version fra cloudtjenesten (i cab-filformat).
    2. Defender for Identity-sensoropdatering validerer filsignaturen.
    3. Defender for Identity Sensor Updater Service udtrækker cab-filen til en ny mappe i sensorens installationsmappe. Som standard udpakkes den til C:\Program Files\Azure Advanced Threat Protection Sensor-versionsnummer<>
    4. Defender for Identity-sensortjenesten peger på de nye filer, der er udtrukket fra cab-filen.
    5. Defender for Identity Sensor Updater Service genstarter Defender for Identity-sensortjenesten.

      Bemærk!

      Mindre sensoropdateringer installerer ingen MSI, ændrer ingen registreringsdatabaseværdier eller systemfiler. Selv en ventende genstart påvirker ikke en sensoropdatering.

    6. Sensorer kører baseret på den nyligt opdaterede version.
    7. Sensoren modtager sikkerhedsgodkendelse fra Azure-cloudtjenesten. Du kan bekræfte sensorstatus på siden Sensorer .
    8. Den næste sensor starter opdateringsprocessen.

  4. Sensorer, der er valgt til forsinket opdatering , starter deres opdateringsproces 72 timer efter, at Cloudtjenesten Defender for Identity opdateres. Disse sensorer vil derefter bruge den samme opdateringsproces som automatisk opdaterede sensorer.

For alle sensorer, der ikke fuldfører opdateringsprocessen, udløses en relevant tilstandsbesked , og den sendes som en meddelelse.

Fejl ved opdatering af sensor.

Opdater Defender for Identity-sensoren uovervåget

Brug følgende kommando til uovervåget at opdatere Defender for Identity-sensoren:

Syntaks:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Installationsindstillinger:

Navn Syntaks Obligatorisk for uovervåget installation? Beskrivelse
Rolig /rolig Ja Kører installationsprogrammet uden brugergrænseflade og ingen prompter.
Hjælp /Hjælp Nej Giver hjælp og hurtig reference. Viser den korrekte brug af installationskommandoen, herunder en liste over alle indstillinger og funktionsmåder.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Ja Angiver parametrene for .Net Framework-installationen. Skal angives for at gennemtvinge den uovervåget installation af .Net Framework.

              Eksempler:

Sådan opdaterer du Defender for Identity-sensoren uovervåget:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Konfigurer proxyindstillinger

Vi anbefaler, at du konfigurerer de indledende proxyindstillinger under installationen ved hjælp af kommandolinjeparametre. Hvis du har brug for at opdatere dine proxyindstillinger senere, skal du enten bruge kommandolinjegrænsefladen eller PowerShell.

Hvis du tidligere har konfigureret dine proxyindstillinger via enten WinINet eller en registreringsdatabasenøgle og har brug for at opdatere dem, skal du bruge den samme metode , som du brugte oprindeligt.

Du kan finde flere oplysninger under Konfigurer indstillinger for slutpunktproxy og internetforbindelse.

Næste trin