Jaa

Microsoft Defender for Identity tunnistimen asetusten määrittäminen

  • Artikkeli

Tässä artikkelissa opit määrittämään oikein Microsoft Defender for Identity tunnistimen asetukset tietojen näkemisen aloittamiseksi. Sinun on tehtävä lisämäärityksiä ja integrointia, jotta voit hyödyntää Defender for Identityn kaikkia ominaisuuksia.

Tunnistimen asetusten tarkasteleminen ja määrittäminen

Kun Defender for Identity -tunnistin on asennettu, voit tarkastella ja määrittää Defender for Identity -tunnistimen asetuksia seuraavasti:

  1. Siirry Microsoft Defender XDRkohtaan Asetukset>Käyttäjätiedot>Anturit. Esimerkki:

    Näyttökuva Anturit-sivulta.

    Anturit-sivulla näkyvät kaikki Defender for Identity -anturit ja luetellaan seuraavat tiedot anturia kohti:

    • Tunnistimen nimi
    • Tunnistimen toimialueen jäsenyys
    • Tunnistimen versionumero
    • Tuleeko päivitysten viivästyä
    • Tunnistinpalvelun tila
    • Tunnistimen tila
    • Tunnistimen kuntotila
    • Kunto-ongelmien määrä
    • Kun tunnistin luotiin

    Lisätietoja on kohdassa Anturin tiedot.

  2. Valitse Näkyviin haluamasi suodattimet valitsemalla Suodattimet . Esimerkki:

    Näyttökuva anturisuodattimista.

  3. Käytä näytettäviä suodattimia sen määrittämiseen, mitkä anturit näytetään. Esimerkki:

    Näyttökuva suodatetun anturiluettelon luettelosta.

  4. Valitse tunnistin, jos haluat näyttää tietoruudun, jossa on lisätietoja tunnistimesta ja sen kuntotilasta. Esimerkki:

    Näyttökuva anturin tietoruudusta.

  5. Vieritä alaspäin ja valitse Hallitse tunnistinta näyttääksesi ruudun, jossa voit määrittää anturin tiedot. Esimerkki:

    Näyttökuva Tunnistimen hallinta -vaihtoehdosta.

  6. Määritä seuraavat tunnistimen tiedot:

    Nimi Kuvaus
    Kuvaus Valinnainen. Kirjoita Defender for Identity -tunnistimen kuvaus.
    Toimialueen ohjauskoneet (FQDN) Tarvitaan Defender for Identityn erillisille tunnistimille ja tunnistimille, jotka on asennettu AD FS / AD CS -palvelimiin, eikä sitä voi muokata Defender for Identity -tunnistimella.

    Anna toimialueen ohjauskoneen täydellinen täydellinen täydellinen toimialueen ohjauskone ja lisää se luetteloon valitsemalla plusmerkki. Esimerkiksi DC1.domain1.test.local.

    Toimialueen ohjauskoneiden luettelossa määrittämäsi palvelimet:

    - Kaikki toimialueen ohjauskoneet, joiden liikennettä valvotaan erillistunnistimen Defender for Identityn portin peilauksen avulla, on lueteltava toimialueen ohjauskoneiden luettelossa. Jos toimialueen ohjauskonetta ei ole lueteltu toimialueen ohjauskoneiden luettelossa, epäilyttävän toiminnan havaitseminen ei ehkä toimi odotetulla tavalla.

    - Vähintään yhden luettelon toimialueen ohjauskoneen on oltava yleinen luettelo. Näin Defender for Identity voi ratkaista puuryhmän muissa toimialueissa olevia tietokone- ja käyttäjäobjekteja.
    Sieppaa verkkosovittimet Pakollinen.

    – Defender for Identity -tunnistimille kaikki verkkosovittimet, joita käytetään viestintään organisaatiosi muiden tietokoneiden kanssa.

    - Jos kyseessä on Defender for Identityn erillinen tunnistin erillisessä palvelimessa, valitse verkkosovittimet, jotka on määritetty kohdepelausportiksi. Nämä verkkosovittimet saavat peilatun toimialueen ohjauskoneen liikenteen.

  7. Valitse Anturit-sivullaVie , jos haluat viedä anturiluettelon .csv tiedostoon. Esimerkki:

    Näyttökuva anturiluettelon viemisestä.

Tarkista asennukset

Vahvista Defender for Identity -tunnistimen asennus seuraavien ohjeiden avulla.

Huomautus

Jos olet asentamassa AD FS- tai AD CS -palvelimeen, käytät eri vahvistusjoukkoa. Lisätietoja on artikkelissa Onnistuneen käyttöönoton vahvistaminen AD FS- ja AD CS -palvelimilla.

Onnistuneen käyttöönoton vahvistaminen

Sen vahvistamiseksi, että Defender for Identity -tunnistin on otettu onnistuneesti käyttöön:

  1. Tarkista, että Azure Advanced Threat Protection -tunnistinpalvelu on käynnissä tunnistinkoneessasi. Kun olet tallentanut Defender for Identity -anturiasetukset, palvelun käynnistyminen voi kestää muutaman sekunnin.

  2. Jos palvelu ei käynnisty, tarkista Microsoft.Tri.sensor-Errors.log tiedosto, joka sijaitsee oletusarvoisesti kohdassa %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, jossa <sensor version> käyttöönotettu versio on.

Suojaushälytystoimintojen tarkistaminen

Tässä osiossa kuvataan, miten voit varmistaa, että suojaushälytykset käynnistetään odotetulla tavalla.

Kun käytät seuraavissa vaiheissa olevia esimerkkejä, muista korvata contosodc.contoso.azurecontoso.azure Defender for Identity -tunnistimen FQDN ja toimialuenimi vastaavasti.

  1. Avaa jäseneksi liitetyssä laitteessa komentokehote ja kirjoita nslookup

  2. Kirjoita server sen toimialueen ohjauskoneen FQDN- tai IP-osoite, johon Defender for Identity -tunnistin on asennettu. Esimerkiksi: server contosodc.contoso.azure

  3. Astua ls -d contoso.azure

  4. Toista edelliset kaksi vaihetta jokaisen testattavan tunnistimen kohdalla.

  5. Käytä sen tietokoneen laitetietosivua, josta suoritit yhteystestin, kuten Laitteet-sivulla , etsimällä laitteen nimeä tai muualta Defender-portaalista.

  6. Valitse laitteen tiedot -välilehdessä Aikajana-välilehti , jotta voit tarkastella seuraavaa toimintaa:

    • Tapahtumat: MÄÄRITETYLLE toimialuenimelle suoritetut DNS-kyselyt
    • Toiminnon tyyppi MdiDnsQuery

Jos testaamassasi toimialueen ohjauskoneessa tai AD FS/AD CS:ssä on ensimmäinen käyttöönotettu tunnistin, odota vähintään 15 minuuttia ennen kyseisen toimialueen ohjauskoneen loogisen toiminnan tarkistamista, jolloin tietokannan taustatoiminto voi suorittaa ensimmäiset mikropalvelukäyttöönotot.

Tarkista uusin käytettävissä oleva tunnistinversio

Defender for Identity -versiota päivitetään usein. Tarkista uusin versio Microsoft Defender XDRAsetukset-käyttäjätiedot>>tietoja -sivulta.

Aiheeseen liittyvä sisältö

Nyt kun olet määrittänyt alustavat määritysvaiheet, voit määrittää lisää asetuksia. Saat lisätietoja seuraavista sivuista:

Seuraavat vaiheet

Tapahtumakokoelma, jossa on Microsoft Defender for Identity »