Freigeben über

Konfigurieren Microsoft Defender for Identity Sensoreinstellungen

  • Artikel

In diesem Artikel erfahren Sie, wie Sie Microsoft Defender for Identity Sensoreinstellungen ordnungsgemäß konfigurieren, um mit dem Anzeigen von Daten zu beginnen. Sie müssen zusätzliche Konfigurationen und Integrationen durchführen, um die funktionen von Defender for Identity vollständig nutzen zu können.

Anzeigen und Konfigurieren von Sensoreinstellungen

Nachdem der Defender for Identity-Sensor installiert wurde, führen Sie die folgenden Schritte aus, um die Defender for Identity-Sensoreinstellungen anzuzeigen und zu konfigurieren:

  1. Wechseln Sie Microsoft Defender XDR zu Einstellungen>Identitäten>Sensoren. Zum Beispiel:

    Screenshot der Seite

    Auf der Seite Sensoren werden alle Ihre Defender for Identity-Sensoren mit den folgenden Details pro Sensor angezeigt:

    • Sensorname
    • Sensordomänenmitgliedschaft
    • Versionsnummer des Sensors
    • Gibt an, ob Updates verzögert werden sollen
    • sensor service status
    • sensor status
    • status der Sensorintegrität
    • Die Anzahl von Integritätsproblemen
    • Wann der Sensor erstellt wurde

    Weitere Informationen finden Sie unter Sensordetails.

  2. Wählen Sie Filter aus, um die Filter auszuwählen, die angezeigt werden sollen. Zum Beispiel:

    Screenshot: Sensorfilter

  3. Verwenden Sie die angezeigten Filter, um zu bestimmen, welche Sensoren angezeigt werden sollen. Zum Beispiel:

    Screenshot einer gefilterten Liste von Sensoren.

  4. Wählen Sie einen Sensor aus, um einen Detailbereich mit weiteren Informationen zum Sensor und dessen Integrität status anzuzeigen. Zum Beispiel:

    Screenshot: Bereich

  5. Scrollen Sie nach unten, und wählen Sie Sensor verwalten aus, um einen Bereich anzuzeigen, in dem Sie Sensordetails konfigurieren können. Zum Beispiel:

    Screenshot der Option

  6. Konfigurieren Sie die folgenden Sensordetails:

    Name Beschreibung
    Beschreibung Optional. Geben Sie eine Beschreibung für den Defender for Identity-Sensor ein.
    Domänencontroller (FQDN) Erforderlich für die eigenständigen Defender for Identity-Sensoren und -Sensoren, die auf AD FS-/AD CS-Servern installiert sind, und können für den Defender for Identity-Sensor nicht geändert werden.

    Geben Sie den vollständigen FQDN Ihres Domänencontrollers ein, und wählen Sie das Pluszeichen aus, um ihn der Liste hinzuzufügen. Beispiel: DC1.domain1.test.local.

    Für alle Server, die Sie in der Liste Domänencontroller definieren:

    – Alle Domänencontroller, deren Datenverkehr über die Portspiegelung durch den eigenständigen Defender for Identity-Sensor überwacht wird, müssen in der Liste der Domänencontroller aufgeführt werden. Wenn ein Domänencontroller nicht in der Liste der Domänencontroller aufgeführt ist, funktioniert die Erkennung verdächtiger Aktivitäten möglicherweise nicht wie erwartet.

    – Mindestens ein Domänencontroller in der Liste sollte ein globaler Katalog sein. Dadurch kann Defender for Identity Computer- und Benutzerobjekte in anderen Domänen in der Gesamtstruktur auflösen.
    Erfassen von Netzwerkadaptern Erforderlich.

    – Für Defender for Identity-Sensoren alle Netzwerkadapter, die für die Kommunikation mit anderen Computern in Ihrem organization verwendet werden.

    – Wählen Sie für den eigenständigen Defender for Identity-Sensor auf einem dedizierten Server die Netzwerkadapter aus, die als Ziel Spiegel Port konfiguriert sind. Diese Netzwerkadapter empfangen den gespiegelten Domänencontroller-Datenverkehr.

  7. Wählen Sie auf der Seite Sensorendie Option Exportieren aus, um eine Liste Ihrer Sensoren in eine .csv-Datei zu exportieren. Zum Beispiel:

    Screenshot: Exportieren einer Liste von Sensoren

Überprüfen von Installationen

Verwenden Sie die folgenden Verfahren, um die Installation des Defender for Identity-Sensors zu überprüfen.

Hinweis

Wenn Sie auf einem AD FS- oder AD CS-Server installieren, verwenden Sie einen anderen Satz von Überprüfungen. Weitere Informationen finden Sie unter Überprüfen einer erfolgreichen Bereitstellung auf AD FS-/AD CS-Servern.

Überprüfen der erfolgreichen Bereitstellung

So überprüfen Sie, ob der Defender for Identity-Sensor erfolgreich bereitgestellt wurde:

  1. Überprüfen Sie, ob der Azure Advanced Threat Protection-Sensordienst auf Ihrem Sensorcomputer ausgeführt wird. Nachdem Sie die Defender for Identity-Sensoreinstellungen gespeichert haben, kann es einige Sekunden dauern, bis der Dienst gestartet wird.

  2. Wenn der Dienst nicht gestartet wird, überprüfen Sie die Microsoft.Tri.sensor-Errors.log-Datei , die sich standardmäßig unter %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logsbefindet, wobei <sensor version> die von Ihnen bereitgestellte Version ist.

Überprüfen der Sicherheitswarnungsfunktionalität

In diesem Abschnitt wird beschrieben, wie Sie überprüfen können, ob Sicherheitswarnungen erwartungsgemäß ausgelöst werden.

Wenn Sie die Beispiele in den folgenden Schritten verwenden, müssen Sie und contoso.azure durch den FQDN Ihres Defender for Identity-Sensors bzw. domänennamens ersetzencontosodc.contoso.azure.

  1. Öffnen Sie auf einem mitglied eingebundenen Gerät eine Eingabeaufforderung, und geben Sie ein. nslookup

  2. Geben Sie server und den FQDN oder die IP-Adresse des Domänencontrollers ein, auf dem der Defender for Identity-Sensor installiert ist. Beispiel: server contosodc.contoso.azure

  3. Geben Sie ls -d contoso.azure ein.

  4. Wiederholen Sie die beiden vorherigen Schritte für jeden Sensor, den Sie testen möchten.

  5. Greifen Sie auf die Seite mit den Gerätedetails für den Computer zu, von dem aus Sie den Konnektivitätstest ausgeführt haben, z. B. über die Seite Geräte , durch Suchen nach dem Gerätenamen oder von einer anderen Stelle im Defender-Portal.

  6. Wählen Sie auf der Registerkarte Gerätedetails die Registerkarte Zeitachse aus, um die folgende Aktivität anzuzeigen:

    • Ereignisse: DNS-Abfragen, die für einen angegebenen Domänennamen ausgeführt werden
    • Aktionstyp MdiDnsQuery

Wenn der von Ihnen getestete Domänencontroller oder AD FS/AD CS der erste bereitgestellte Sensor ist, warten Sie mindestens 15 Minuten, bevor Sie eine logische Aktivität für diesen Domänencontroller überprüfen, sodass das Datenbank-Back-End die ersten Microservicebereitstellungen abschließen kann.

Überprüfen der neuesten verfügbaren Sensorversion

Die Defender for Identity-Version wird häufig aktualisiert. Suchen Sie auf der Seite Microsoft Defender XDR Einstellungen>Identitäten>Info nach der neuesten Version.

Verwandte Inhalte

Nachdem Sie die ersten Konfigurationsschritte konfiguriert haben, können Sie weitere Einstellungen konfigurieren. Weitere Informationen finden Sie auf einer der folgenden Seiten:

Nächster Schritt

Ereignissammlung mit Microsoft Defender for Identity »