Jaa

Microsoft Defender for Identity tunnistimien hallinta ja päivittäminen

  • Artikkeli

Tässä artikkelissa kerrotaan, miten voit määrittää ja hallita Microsoft Defender for Identity tunnistimia Microsoft Defender XDR.

Näytä Defender for Identity -tunnistimen asetukset ja tila

  1. Valitse Microsoft Defender XDRAsetukset ja sitten Käyttäjätiedot.

    Valitse Asetukset ja sitten Käyttäjätiedot.

  2. Valitse Anturit-sivu , joka näyttää kaikki Defender for Identity -tunnistimet. Näet kunkin tunnistimen nimen, toimialueen jäsenyyden, versionumeron, jos päivitysten pitäisi viivästyä, palvelun tilan, tunnistimen tilan, kunnon tilan, kunto-ongelmien määrän ja tunnistimen luontiajankohdan. Lisätietoja kustakin sarakkeesta on kohdassa Anturin tiedot.

    Tunnistinsivu.

  3. Jos valitset Suodattimet, voit valita, mitkä suodattimet ovat käytettävissä. Kunkin suodattimen avulla voit valita, mitkä anturit näytetään.

    Tunnistimen suodattimet.

    Suodatettu tunnistin.

  4. Jos valitset jonkin antureista, näkyviin tulee ruutu, jossa on tietoja tunnistimesta ja sen kuntotilasta.

    Anturin tiedot.

  5. Jos valitset jonkin kunto-ongelmista, saat ruudun, jossa on lisätietoja niistä. Jos valitset suljetun ongelman, voit avata sen uudelleen täältä.

    Ongelman tiedot.

  6. Jos valitset Hallitse tunnistinta, avautuu ruutu, jossa voit määrittää tunnistimen tiedot.

    Hallitse tunnistinta.

    Määritä tunnistimen tiedot.

  7. Tunnistimet-sivulla voit viedä anturiluettelosi .csv tiedostoon valitsemalla Vie.

    Vie anturiluettelo.

Anturin tiedot

Anturit-sivulla on seuraavat tiedot kustakin tunnistimen kohdasta:

  • Tunnistin: Näyttää tunnistimen NetBIOS-tietokoneen nimen.

  • Tyyppi: Näyttää tunnistimen tyypin. Mahdollisia arvoja ovat:

    • Toimialueen ohjauskoneen tunnistin

    • AD FS -tunnistin (Active Directory -liittoutumispalvelut)

    • Erillinen tunnistin

    • ADCS-tunnistin (Active Directory -varmennepalvelut). Jos tunnistin on asennettu toimialueen ohjauspalvelimeen, jossa on määritetty AD CS, kuten testausympäristössä, tunnistimen tyyppi näkyy sen sijaan toimialueen ohjaustunnistinna .

  • Toimialue: Näyttää sen Active Directory -toimialueen täysin toimialueen nimen, johon tunnistin on asennettu.

  • Palvelun tila: Näyttää palvelimen tunnistinpalvelun tilan. Mahdollisia arvoja ovat:

    • Käynnissä: Tunnistinpalvelu on käynnissä

    • Käynnistyy: Tunnistinpalvelu käynnistyy

    • Poistettu käytöstä: Tunnistinpalvelu on poistettu käytöstä

    • Pysäytetty: Tunnistinpalvelu on pysäytetty

    • Tuntematon: Tunnistimen yhteys on katkennut tai siihen ei saada yhteyttä

  • Tunnistimen tila: Näyttää tunnistimen yleisen tilan. Mahdollisia arvoja ovat:

    • Ajan tasalla: Tunnistin käyttää anturin nykyistä versiota.

    • Vanhentunut: Tunnistimessa suoritetaan ohjelmiston versiota, joka on vähintään kolme versiota nykyisen version takana.

    • Päivitetään: Tunnistinohjelmistoa päivitetään.

    • Päivitys epäonnistui: Tunnistimen päivittäminen uuteen versioon epäonnistui.

    • Ei määritetty: Tunnistin edellyttää lisämäärityksiä, ennen kuin se on täysin toimintakunnossa. Tämä koskee AD FS- tai AD CS -palvelimiin tai erillisantureihin asennettuja tunnistimia.

    • Käynnistys epäonnistui: Tunnistin ei vetäytynyt määrityksestä yli 30 minuuttiin.

    • Synkronointi: Tunnistimella on määrityspäivityksiä odottamassa, mutta uutta määritystä ei ole vielä tehty.

    • Katkaistu: Defender for Identity -palvelu ei ole nähnyt yhteyttä tästä tunnistimella 10 minuuttiin.

    • Ei yhteyttä: Toimialueen ohjauskone poistettiin Active Directorysta. Tunnistimen asennusta ei kuitenkaan poistettu ja poistettu toimialueen ohjauskoneesta ennen sen poistamista käytöstä. Voit poistaa tämän merkinnän turvallisesti.

  • Versio: Näyttää asennetun tunnistimen version.

  • Viivästetty päivitys: Näyttää tunnistimen viivästyneen päivitysmekanismin tilan. Mahdollisia arvoja ovat:

    • Käytössä

    • Vammainen

  • Kuntotila: Näyttää tunnistimen yleisen kuntotilan ja värillisen kuvakkeen, joka edustaa suurinta vakavuusasteista avointa kuntoilmoitusta. Mahdollisia arvoja ovat:

    • Terveellinen (vihreä kuvake): Ei avattuja kunto-ongelmia

    • Ei kunnossa (keltainen kuvake): Suurin vakavuusasteen avaama kunto-ongelma on pieni

    • Ei terveellinen (oranssi kuvake): Suurin vakavuusasteen avaama kunto-ongelma on keskikoko

    • Ei kunnossa (punainen kuvake): Suurin vakavuusasteen avaama kunto-ongelma on suuri

  • Kunto-ongelmat: Näyttää anturissa avattujen kunto-ongelmien määrän.

  • Luotu: Näyttää tunnistimen asennuspäivämäärän

Tunnistimien päivittäminen

Microsoft Defender for Identity tunnistimien pitäminen ajan tasalla tarjoaa parhaan mahdollisen suojan organisaatiollesi.

Microsoft Defender for Identity-palvelua päivitetään yleensä muutaman kerran kuukaudessa uusilla tunnistuksilla, ominaisuuksilla ja suorituskyvyn parannuksilla. Yleensä nämä päivitykset sisältävät antureiden vastaavan pienen päivityksen. Tunnistimen päivityspaketit ohjaavat vain Defender for Identityn tunnistimen ja tunnistimen tunnistusominaisuuksia.

Defender for Identity -anturin päivitystyypit

Defender for Identity -tunnistimet tukevat kahdenlaisia päivityksiä:

  • Aliversiopäivitykset:

    • Yleinen
    • Ei MSI-asennusta eikä rekisterimuutoksia
    • Käynnistetty uudelleen: Defender for Identity sensor services

  • Pääversiopäivitykset:

    • Harvinainen
    • Sisältää merkittäviä muutoksia
    • Käynnistetty uudelleen: Defender for Identity sensor services

Huomautus

  • Defender for Identity -tunnistimet varaavat aina vähintään 15 % käytettävissä olevista muistista ja suorittimista toimialueen ohjauskoneessa, johon se on asennettu. Jos Defender for Identity -palvelu kuluttaa liikaa muistia, Defender for Identity -tunnistimen päivityspalvelu pysäyttää palvelun automaattisesti ja käynnistää sen uudelleen.

Viivästetty tunnistimen päivitys

Kun otetaan huomioon Defender for Identityn jatkuvan kehityksen ja julkaisupäivitysten nopea nopeus, voit päättää määrittää antureidesi alijoukkoryhmän viivästyneeksi päivitysrenkaaksi, mikä mahdollistaa asteittaisen tunnistimen päivitysprosessin. Defender for Identityn avulla voit valita, miten anturisi päivitetään, ja asettaa kunkin tunnistimen viivästetyn päivityksen ehdokkaaksi.

Tunnistimet, joita ei ole valittu viivästettäväksi päivitykseksi, päivitetään automaattisesti aina, kun Defender for Identity -palvelu päivitetään. Viivästyneeksi päivitykseksi asetetut tunnistimet päivitetään 72 tunnin viiveellä kunkin palvelupäivityksen virallisen julkaisun jälkeen.

Viivästetyn päivitysvaihtoehdon avulla voit valita tietyt tunnistimet automaattiseksi päivitysrenkaaksi, jossa kaikki päivitykset julkaistaan automaattisesti, ja asettaa muut anturit päivittymään viiveellä, jolloin sinulla on aikaa vahvistaa automaattisesti päivitettyjen tunnistimien onnistuminen.

Huomautus

Jos tapahtuu virhe eikä tunnistin päivity, avaa tukipyyntö. Jos haluat edelleen koventaa välityspalvelinta vain työtilasi kanssa kommunikointia varten, katso Välityspalvelimen määritykset.

Antureiden ja Azure-pilvipalvelun välinen todentaminen käyttää vahvaa varmennepohjaista keskinäistä todentamista. Asiakasvarmenne luodaan tunnistimen asennuksessa itse allekirjoitettuna varmenteena, joka on voimassa kaksi vuotta. Tunnistimen päivityspalvelu on vastuussa uuden itse allekirjoitetun varmenteen luomisesta ennen nykyisen varmenteen vanhenemista. Varmenteet on koottu kaksivaiheisessa vahvistusprosessissa taustaa vasten, jotta vältetään tilanne, jossa vieritysvarmenne rikkoo todennuksen.

Jokainen päivitys testataan ja vahvistetaan kaikissa tuetuissa käyttöjärjestelmissä, jotta vaikutus verkkoon ja toimintoihin olisi mahdollisimman pieni.

Anturin asettaminen viivästyneelle päivitykselle:

  1. Valitse Tunnistimet-sivulla tunnistin, jonka haluat asettaa viivästettyjen päivitysten ajaksi.

  2. Valitse Käytössä oleva viivästetty päivitys -painike.

    Ota käyttöön viivästetty päivitys.

  3. Valitse vahvistusikkunassa Ota käyttöön.

Jos haluat poistaa viivästyneet päivitykset käytöstä, valitse tunnistin ja valitse sitten Käytöstä poistettu viivästetty päivitys -painike.

Tunnistimen päivitysprosessi

Defender for Identity -tunnistimet tarkistavat muutaman minuutin välein, onko heillä uusin versio. Kun Defender for Identity -pilvipalvelu on päivitetty uudempaa versiota varten, Defender for Identity -tunnistinpalvelu aloittaa päivitysprosessin:

  1. Defender for Identity -pilvipalvelu päivittää uusimpaan versioon.

  2. Defender for Identity -tunnistimen päivityspalvelu saa tietää, että on olemassa päivitetty versio.

  3. Tunnistimet, joita ei ole asetettu viivästetyksi päivitykseksi , käynnistävät päivitysprosessin tunnistimen perusteella:

    1. Defender for Identity -tunnistimen päivityspalvelu hakee päivitetyn version pilvipalvelusta (cab-tiedostomuodossa).
    2. Defender for Identity -tunnistimen päivitystoiminto vahvistaa tiedoston allekirjoituksen.
    3. Defender for Identity -tunnistimen päivityspalvelu poimii cab-tiedoston uuteen kansioon tunnistimen asennuskansiossa. Oletusarvoisesti se puretaan C:\Program Files\Azure Advanced Threat Protection -tunnistimen<versionumeroon>
    4. Defender for Identity -tunnistinpalvelu osoittaa cab-tiedostosta purettuihin uusiin tiedostoihin.
    5. Defender for Identity -tunnistimen päivityspalvelu käynnistää Defender for Identity -tunnistinpalvelun uudelleen.

      Huomautus

      Pienet tunnistinpäivitykset eivät asenna MSI:tä, eivät muuta rekisteriarvoja tai järjestelmätiedostoja. Edes odottava uudelleenkäynnistys ei vaikuta tunnistimen päivitykseen.

    6. Tunnistimet suoritetaan äskettäin päivitetyn version perusteella.
    7. Tunnistin saa selvityksen Azuren pilvipalvelusta. Voit tarkistaa tunnistimen tilan Sensorit-sivulla .
    8. Seuraava tunnistin aloittaa päivitysprosessin.

  4. Viivästetylle päivitykselle valitut tunnistimet aloittavat päivitysprosessinsa 72 tuntia Defender for Identity -pilvipalvelun päivityksen jälkeen. Nämä tunnistimet käyttävät sitten samaa päivitysprosessia kuin automaattisesti päivitetyt anturit.

Jos tunnistin ei suorita päivitysprosessia loppuun, käynnistetään asianmukainen kuntoilmoitus , joka lähetetään ilmoituksena.

Tunnistimen päivityksessä on virhe.

Päivitä Defender for Identity -tunnistin taustalla

Päivitä Defender for Identity -tunnistin taustalla seuraavan komennon avulla:

Syntaksi:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Asennusasetukset:

Nimi Syntaksi Pakollinen hiljaisessa asennuksessa? Kuvaus
Hiljainen /hiljainen Kyllä Suorittaa asennusohjelman näyttäen käyttöliittymän ja kehotteet.
Ohje /Apua Ei Sisältää ohjeen ja pikaoppaan. Näyttää oikean asennuskomennon käytön, mukaan lukien luettelon kaikista vaihtoehdoista ja toiminnoista.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Kyllä Määrittää .Net Framework -asennuksen parametrit. On määritettävä, jotta .Net Frameworkin hiljainen asennus voidaan ottaa käyttöön.

Esimerkkejä:

Defender for Identity -tunnistimen automaattinen päivittäminen:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Välityspalvelimen asetusten määrittäminen

Suosittelemme, että määrität alustavat välityspalvelinasetukset asennuksen aikana komentorivivalitsimia käyttämällä. Jos sinun on päivitettävä välityspalvelimen asetukset myöhemmin, käytä joko komentorivikäyttöliittymää tai PowerShelliä.

Jos olet aiemmin määrittänyt välityspalvelimen asetukset joko WinINetin tai rekisteriavaimen kautta ja sinun on päivitettävä ne, sinun on käytettävä samaa menetelmää , jota käytit alun perin.

Lisätietoja on kohdassa Päätepisteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen.

Seuraavat vaiheet