Partager via

Gérer et mettre à jour les capteurs Microsoft Defender pour Identity

  • Article

Cet article explique comment configurer et gérer les capteurs Microsoft Defender pour Identity dans Microsoft Defender XDR.

Afficher les paramètres et les status du capteur Defender pour Identity

  1. Dans Microsoft Defender XDR, accédez à Paramètres, puis Identités.

    Accédez à Paramètres, puis Identités.

  2. Sélectionnez la page Capteurs , qui affiche tous vos capteurs Defender pour Identity. Pour chaque capteur, vous verrez son nom, son appartenance au domaine, le numéro de version, si les mises à jour doivent être retardées, le service status, la status du capteur, l’intégrité status, le nombre de problèmes d’intégrité et le moment où le capteur a été créé. Pour plus d’informations sur chaque colonne, consultez Détails du capteur.

    Page Capteur.

  3. Si vous sélectionnez Filtres, vous pouvez choisir les filtres qui seront disponibles. Ensuite, avec chaque filtre, vous pouvez choisir les capteurs à afficher.

    Filtres de capteur.

    Capteur filtré.

  4. Si vous sélectionnez l’un des capteurs, un volet s’affiche avec des informations sur le capteur et son status d’intégrité.

    Détails du capteur.

  5. Si vous sélectionnez l’un des problèmes d’intégrité, vous obtenez un volet contenant plus de détails à leur sujet. Si vous choisissez un problème fermé, vous pouvez le rouvrir à partir d’ici.

    Détails du problème.

  6. Si vous sélectionnez Gérer le capteur, un volet s’ouvre dans lequel vous pouvez configurer les détails du capteur.

    Gérer le capteur.

    Configurer les détails du capteur.

  7. Dans la page Capteurs , vous pouvez exporter votre liste de capteurs vers un fichier .csv en sélectionnant Exporter.

    Exporter la liste des capteurs.

Détails du capteur

La page capteurs fournit les informations suivantes sur chaque capteur :

  • Capteur : affiche le nom de l’ordinateur NetBIOS du capteur.

  • Type : affiche le type du capteur. Les valeurs possibles sont les suivantes :

    • Capteur de contrôleur de domaine

    • Capteur AD FS (Services ADFS)

    • Capteur autonome

    • Capteur ADCS (Active Directory Certificate Services). Si votre capteur est installé sur un serveur de contrôleur de domaine avec AD CS configuré, par exemple dans un environnement de test, le type de capteur est affiché en tant que capteur de contrôleur de domaine à la place.

  • Domaine : affiche le nom de domaine complet du domaine Active Directory dans lequel le capteur est installé.

  • État du service : affiche la status du service de capteur sur le serveur. Les valeurs possibles sont les suivantes :

    • En cours d’exécution : le service de capteur est en cours d’exécution

    • Démarrage : Le service de capteur démarre

    • Désactivé : le service de capteur est désactivé

    • Arrêté : le service de capteur est arrêté

    • Inconnu : le capteur est déconnecté ou inaccessible

  • État du capteur : affiche la status globale du capteur. Les valeurs possibles sont les suivantes :

    • À jour : le capteur exécute une version actuelle du capteur.

    • Obsolète : le capteur exécute une version du logiciel qui se trouve au moins trois versions derrière la version actuelle.

    • Mise à jour : le logiciel de capteur est en cours de mise à jour.

    • Échec de la mise à jour : le capteur n’a pas pu effectuer la mise à jour vers une nouvelle version.

    • Non configuré : le capteur nécessite davantage de configuration avant d’être entièrement opérationnel. Cela s’applique aux capteurs installés sur des serveurs AD FS/AD CS ou des capteurs autonomes.

    • Échec du démarrage : le capteur n’a pas extrait la configuration pendant plus de 30 minutes.

    • Synchronisation : le capteur a des mises à jour de configuration en attente, mais il n’a pas encore extrait la nouvelle configuration.

    • Déconnecté : le service Defender pour Identity n’a pas vu de communication à partir de ce capteur depuis 10 minutes.

    • Inaccessible : le contrôleur de domaine a été supprimé d’Active Directory. Toutefois, l’installation du capteur n’a pas été désinstallée et supprimée du contrôleur de domaine avant sa mise hors service. Vous pouvez supprimer cette entrée en toute sécurité.

  • Version : affiche la version du capteur installée.

  • Mise à jour retardée : affiche l’état du mécanisme de mise à jour retardée du capteur. Les valeurs possibles sont les suivantes :

    • Activé

    • Désactivé

  • Status d’intégrité : affiche l’status d’intégrité globale du capteur avec une icône colorée représentant l’alerte d’intégrité ouverte de gravité la plus élevée. Les valeurs possibles sont les suivantes :

    • Sain (icône verte) : aucun problème d’intégrité ouvert

    • Non sain (icône jaune) : le problème d’intégrité ouvert de gravité la plus élevée est faible

    • Non sain (icône orange) : le problème d’intégrité ouvert de gravité la plus élevée est moyen

    • Non sain (icône rouge) : le problème d’intégrité ouvert de gravité le plus élevé est élevé

  • Problèmes d’intégrité : affiche le nombre de problèmes d’intégrité ouverts sur le capteur.

  • Créé : affiche la date à laquelle le capteur a été installé.

Mise à jour de vos capteurs

La mise à jour de vos capteurs Microsoft Defender pour Identity offre la meilleure protection possible pour vos organization.

Le service Microsoft Defender for Identity est généralement mis à jour plusieurs fois par mois avec de nouvelles détections, fonctionnalités et améliorations des performances. Ces mises à jour incluent fréquemment une mise à jour secondaire correspondante pour les capteurs. Les packages de mise à jour de capteur contrôlent uniquement les fonctionnalités de détection et de capteur Defender pour l’identité.

Types de mise à jour du capteur Defender pour Identity

Les capteurs Defender pour Identity prennent en charge deux types de mises à jour :

  • Mises à jour de version mineures :

    • Fréquent
    • Ne nécessite aucune installation MSI et aucune modification du Registre
    • Redémarré : services de capteur Defender pour Identity

  • Mises à jour de la version principale :

    • Rare
    • Contient des modifications importantes
    • Redémarré : services de capteur Defender pour Identity

Remarque

  • Les capteurs Defender pour Identity réservent toujours au moins 15 % de la mémoire et du processeur disponibles sur le contrôleur de domaine sur lequel il est installé. Si le service Defender pour Identity consomme trop de mémoire, le service est automatiquement arrêté et redémarré par le service de mise à jour du capteur Defender pour Identity.

Mise à jour différée du capteur

Compte tenu de la rapidité des mises à jour en cours de développement et de mise en production de Defender pour Identity, vous pouvez décider de définir un groupe de sous-ensembles de vos capteurs en tant qu’anneau de mise à jour différée, ce qui permet un processus de mise à jour progressive des capteurs. Defender pour Identity vous permet de choisir la façon dont vos capteurs sont mis à jour et de définir chaque capteur comme candidat de mise à jour différée .

Les capteurs non sélectionnés pour la mise à jour différée sont mis à jour automatiquement, chaque fois que le service Defender pour Identity est mis à jour. Les capteurs définis sur Mise à jour différée sont mis à jour dans un délai de 72 heures, après la publication officielle de chaque mise à jour du service.

L’option de mise à jour différée vous permet de sélectionner des capteurs spécifiques en tant qu’anneau de mise à jour automatique, sur lequel toutes les mises à jour sont déployées automatiquement, et de configurer le reste de vos capteurs pour qu’ils se mettent à jour en temps voulu, ce qui vous donne le temps de confirmer que les capteurs mis à jour automatiquement ont réussi.

Remarque

Si une erreur se produit et qu’un capteur ne se met pas à jour, ouvrez un ticket de support. Pour renforcer davantage votre proxy pour qu’il communique uniquement avec votre espace de travail, consultez Configuration du proxy.

L’authentification entre vos capteurs et le service cloud Azure utilise une authentification mutuelle forte basée sur des certificats. Le certificat client est créé lors de l’installation du capteur en tant que certificat auto-signé, valide pendant 2 ans. Le service Sensor Updater est chargé de générer un nouveau certificat auto-signé avant l’expiration du certificat existant. Les certificats sont roulés avec un processus de validation en deux phases sur le back-end pour éviter une situation où un certificat propagé interrompt l’authentification.

Chaque mise à jour est testée et validée sur tous les systèmes d’exploitation pris en charge pour avoir un impact minimal sur votre réseau et vos opérations.

Pour définir une mise à jour différée d’un capteur :

  1. Dans la page Capteurs , sélectionnez le capteur que vous souhaitez définir pour les mises à jour retardées.

  2. Sélectionnez le bouton Mise à jour différée activée .

    Activer la mise à jour différée.

  3. Dans la fenêtre de confirmation, sélectionnez Activer.

Pour désactiver les mises à jour retardées, sélectionnez le capteur, puis sélectionnez le bouton Mise à jour différée désactivée .

Processus de mise à jour du capteur

Toutes les quelques minutes, les capteurs Defender pour Identity case activée s’ils disposent de la dernière version. Une fois le service cloud Defender pour Identity mis à jour vers une version plus récente, le service de capteur Defender pour Identity démarre le processus de mise à jour :

  1. Le service cloud Defender pour Identity met à jour la dernière version.

  2. Le service de mise à jour du capteur Defender pour Identity apprend qu’il existe une version mise à jour.

  3. Les capteurs qui ne sont pas définis sur Mise à jour différée démarrent le processus de mise à jour sur un capteur par capteur :

    1. Le service de mise à jour du capteur Defender pour Identity extrait la version mise à jour du service cloud (au format de fichier cab).
    2. Le générateur de mise à jour du capteur Defender pour Identity valide la signature du fichier.
    3. Le service de mise à jour du capteur Defender pour Identity extrait le fichier cab dans un nouveau dossier dans le dossier d’installation du capteur. Par défaut, il est extrait dans le numéro> de version du capteur<C :\Program Files\Azure Advanced Threat Protection
    4. Le service de capteur Defender pour Identity pointe vers les nouveaux fichiers extraits du fichier cab.
    5. Le service de mise à jour de capteur Defender pour Identity redémarre le service de capteur Defender pour Identity.

      Remarque

      Les mises à jour mineures du capteur n’installent aucune MSI, ne modifient aucune valeur de Registre ni aucun fichier système. Même un redémarrage en attente n’a pas d’impact sur une mise à jour du capteur.

    6. Les capteurs s’exécutent en fonction de la version nouvellement mise à jour.
    7. Le capteur reçoit l’autorisation du service cloud Azure. Vous pouvez vérifier status capteur dans la page Capteurs.
    8. Le capteur suivant démarre le processus de mise à jour.

  4. Les capteurs sélectionnés pour la mise à jour différée démarrent leur processus de mise à jour 72 heures après la mise à jour du service cloud Defender pour Identity. Ces capteurs utilisent ensuite le même processus de mise à jour que les capteurs mis à jour automatiquement.

Pour tout capteur qui ne parvient pas à terminer le processus de mise à jour, une alerte d’intégrité appropriée est déclenchée et envoyée sous forme de notification.

Échec de mise à jour du capteur.

Mettre à jour le capteur Defender pour Identity en mode silencieux

Utilisez la commande suivante pour mettre à jour le capteur Defender pour Identity en mode silencieux :

Syntaxe :

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Options d’installation :

Nom Syntaxe Obligatoire pour l’installation sans assistance ? Description
Tranquille /quiet Oui Exécute le programme d’installation qui n’affiche aucune interface utilisateur et aucune invite.
Aide /Aide Non Fournit de l’aide et des informations de référence rapides. Affiche l’utilisation correcte de la commande d’installation, y compris une liste de toutes les options et comportements.
NetFrameworkCommandLineArguments="/q » NetFrameworkCommandLineArguments="/q » Oui Spécifie les paramètres de l’installation du .Net Framework. Doit être défini pour appliquer l’installation sans assistance du .Net Framework.

Exemples :

Pour mettre à jour le capteur Defender pour Identity en mode silencieux :

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Configurer les paramètres du proxy

Nous vous recommandons de configurer les paramètres de proxy initiaux lors de l’installation à l’aide de commutateurs de ligne de commande. Si vous devez mettre à jour vos paramètres de proxy ultérieurement, utilisez l’interface CLI ou PowerShell.

Si vous avez précédemment configuré vos paramètres de proxy via WinINet ou une clé de Registre et que vous devez les mettre à jour, vous devez utiliser la même méthode que celle utilisée à l’origine.

Pour plus d’informations, consultez Configurer les paramètres de proxy de point de terminaison et de connectivité Internet.

Étapes suivantes