Condividi tramite

Configurare le impostazioni del sensore Microsoft Defender per identità

  • Articolo

In questo articolo si apprenderà come configurare correttamente le impostazioni del sensore Microsoft Defender per identità per iniziare a visualizzare i dati. Sarà necessario eseguire una configurazione e un'integrazione aggiuntive per sfruttare le funzionalità complete di Defender per identità.

Visualizzare e configurare le impostazioni del sensore

Dopo aver installato il sensore Defender per identità, eseguire le operazioni seguenti per visualizzare e configurare le impostazioni del sensore Defender per identità:

  1. In Microsoft Defender XDR passare a Impostazioni>Identità>Sensori. Ad esempio:

    Screenshot della pagina Sensori.

    Nella pagina Sensori vengono visualizzati tutti i sensori defender per identità, elencando i dettagli seguenti per ogni sensore:

    • Nome sensore
    • Appartenenza al dominio del sensore
    • Numero di versione del sensore
    • Indica se gli aggiornamenti devono essere ritardati
    • Stato del servizio sensore
    • Stato del sensore
    • Stato di integrità del sensore
    • Numero di problemi di integrità
    • Al momento della creazione del sensore

    Per altre informazioni, vedere Dettagli del sensore.

  2. Selezionare Filtri per selezionare i filtri da visualizzare. Ad esempio:

    Screenshot dei filtri del sensore.

  3. Usare i filtri visualizzati per determinare quali sensori visualizzare. Ad esempio:

    Screenshot di un elenco filtrato di sensori.

  4. Selezionare un sensore per visualizzare un riquadro dei dettagli con altre informazioni sul sensore e sul relativo stato di integrità. Ad esempio:

    Screenshot di un riquadro dei dettagli del sensore.

  5. Scorrere verso il basso e selezionare Gestisci sensore per visualizzare un riquadro in cui è possibile configurare i dettagli del sensore. Ad esempio:

    Screenshot dell'opzione Gestisci sensore.

  6. Configurare i dettagli del sensore seguenti:

    Nome Descrizione
    Descrizione Facoltativo. Immettere una descrizione per il sensore Defender per identità.
    Controller di dominio (FQDN) Obbligatorio per i sensori e i sensori autonomi di Defender for Identity installati nei server AD FS/AD CS e non può essere modificato per il sensore Defender per identità.

    Immettere il nome di dominio completo del controller di dominio e selezionare il segno più per aggiungerlo all'elenco. Ad esempio, DC1.domain1.test.local.

    Per tutti i server definiti nell'elenco Controller di dominio :

    - Tutti i controller di dominio il cui traffico viene monitorato tramite il mirroring delle porte dal sensore autonomo Defender per identità devono essere elencati nell'elenco Controller di dominio . Se un controller di dominio non è elencato nell'elenco Controller di dominio , il rilevamento di attività sospette potrebbe non funzionare come previsto.

    - Almeno un controller di dominio nell'elenco deve essere un catalogo globale. In questo modo Defender per identità consente di risolvere gli oggetti computer e utente in altri domini della foresta.
    Acquisire schede di rete Obbligatorio.

    - Per i sensori defender per identità, tutte le schede di rete usate per la comunicazione con altri computer dell'organizzazione.

    - Per Il sensore autonomo defender per identità in un server dedicato, selezionare le schede di rete configurate come porta mirror di destinazione. Queste schede di rete ricevono il traffico del controller di dominio con mirroring.

  7. Nella pagina Sensori selezionare Esporta per esportare un elenco dei sensori in un file .csv . Ad esempio:

    Screenshot dell'esportazione di un elenco di sensori.

Convalidare le installazioni

Usare le procedure seguenti per convalidare l'installazione del sensore Defender per identità.

Nota

Se si esegue l'installazione in un server AD FS o AD CS, si userà un set diverso di convalide. Per altre informazioni, vedere Convalidare la distribuzione corretta nei server AD FS/AD CS.

Convalidare la distribuzione riuscita

Per verificare che il sensore Defender per identità sia stato distribuito correttamente:

  1. Verificare che il servizio sensore Azure Advanced Threat Protection sia in esecuzione nel computer sensore. Dopo aver salvato le impostazioni del sensore Defender per identità, l'avvio del servizio potrebbe richiedere alcuni secondi.

  2. Se il servizio non viene avviato, esaminare il file Microsoft.Tri.sensor-Errors.log , che per impostazione predefinita si trova in %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, dove <sensor version> è la versione distribuita.

Verificare la funzionalità degli avvisi di sicurezza

Questa sezione descrive come verificare che gli avvisi di sicurezza vengano attivati come previsto.

Quando si usano gli esempi nei passaggi seguenti, assicurarsi di sostituire contosodc.contoso.azure e contoso.azure con il nome di dominio completo del sensore e del nome di dominio di Defender per identità rispettivamente.

  1. In un dispositivo aggiunto a un membro aprire un prompt dei comandi e immettere nslookup

  2. Immettere server e l'FQDN o l'indirizzo IP del controller di dominio in cui è installato il sensore Defender per identità. Ad esempio: server contosodc.contoso.azure

  3. Immettere ls -d contoso.azure

  4. Ripetere i due passaggi precedenti per ogni sensore da testare.

  5. Accedere alla pagina dei dettagli del dispositivo per il computer da cui è stato eseguito il test di connettività, ad esempio dalla pagina Dispositivi , cercando il nome del dispositivo o da un'altra posizione nel portale di Defender.

  6. Nella scheda Dettagli dispositivo selezionare la scheda Sequenza temporale per visualizzare l'attività seguente:

    • Eventi: query DNS eseguite su un nome di dominio specificato
    • Tipo di azione MdiDnsQuery

Se il controller di dominio o AD FS/AD CS che si sta testando è il primo sensore distribuito, attendere almeno 15 minuti prima di verificare qualsiasi attività logica per tale controller di dominio, consentendo al back-end del database di completare le distribuzioni di microservizi iniziali.

Verificare la versione più recente del sensore disponibile

La versione di Defender per identità viene aggiornata di frequente. Verificare la versione più recente nella pagina identità delle impostazioni>> di Microsoft Defender XDR.

Contenuto correlato

Dopo aver configurato i passaggi di configurazione iniziali, è possibile configurare altre impostazioni. Per altre informazioni, passare a una qualsiasi delle pagine seguenti:

Passaggio successivo

Raccolta di eventi con Microsoft Defender per identità »