Gestire e aggiornare i sensori Microsoft Defender per identità
Questo articolo illustra come configurare e gestire i sensori Microsoft Defender per identità in Microsoft Defender XDR.
Visualizzare le impostazioni e lo stato del sensore defender per identità
In Microsoft Defender XDR passare a Impostazioni e quindi identità.
Selezionare la pagina Sensori , che visualizza tutti i sensori defender per identità. Per ogni sensore, verranno visualizzati il nome, l'appartenenza al dominio, il numero di versione, se gli aggiornamenti devono essere ritardati, lo stato del servizio, lo stato del sensore, lo stato di integrità, il numero di problemi di integrità e la data di creazione del sensore. Per informazioni dettagliate su ogni colonna, vedere Dettagli del sensore.
Se si seleziona Filtri, è possibile scegliere quali filtri saranno disponibili. Quindi, con ogni filtro, è possibile scegliere quali sensori visualizzare.
Se si seleziona uno dei sensori, verrà visualizzato un riquadro con informazioni sul sensore e sul relativo stato di integrità.
Se si seleziona uno dei problemi di integrità, si otterrà un riquadro con altri dettagli su di essi. Se si sceglie un problema chiuso, è possibile riaprirlo da qui.
Se si seleziona Gestisci sensore, verrà aperto un riquadro in cui è possibile configurare i dettagli del sensore.
Nella pagina Sensori è possibile esportare l'elenco di sensori in un file di .csv selezionando Esporta.
Dettagli del sensore
La pagina dei sensori fornisce le informazioni seguenti su ogni sensore:
Sensore: visualizza il nome del computer NetBIOS del sensore.
Tipo: visualizza il tipo del sensore. I valori possibili sono:
Sensore controller di dominio
Sensore AD FS (Active Directory Federation Services)
Sensore autonomo
Sensore ADCS (Servizi certificati Active Directory). Se il sensore è installato in un server controller di dominio con Servizi certificati Active Directory configurato, ad esempio in un ambiente di test, il tipo di sensore viene visualizzato come sensore controller di dominio .
Dominio: visualizza il nome di dominio completo del dominio di Active Directory in cui è installato il sensore.
Stato servizio: visualizza lo stato del servizio sensore nel server. I valori possibili sono:
In esecuzione: il servizio sensore è in esecuzione
Avvio: Avvio del servizio sensore
Disabilitato: il servizio sensore è disabilitato
Arrestato: il servizio sensore viene arrestato
Sconosciuto: il sensore è disconnesso o non raggiungibile
Stato del sensore: visualizza lo stato complessivo del sensore. I valori possibili sono:
Aggiornato: il sensore esegue una versione corrente del sensore.
Obsoleto: sensore esegue una versione del software che è almeno tre versioni dietro la versione corrente.
Aggiornamento: il software del sensore viene aggiornato.
Aggiornamento non riuscito: il sensore non è riuscito a eseguire l'aggiornamento a una nuova versione.
Non configurato: il sensore richiede più configurazione prima che sia completamente operativo. Questo vale per i sensori installati in server AD FS/AD CS o sensori autonomi.
Avvio non riuscito: il sensore non ha eseguito il pull della configurazione per più di 30 minuti.
Sincronizzazione: il sensore dispone di aggiornamenti della configurazione in sospeso, ma non ha ancora eseguito il pull della nuova configurazione.
Disconnesso: il servizio Defender per identità non ha visto alcuna comunicazione da questo sensore da 10 minuti.
Non raggiungibile: il controller di dominio è stato eliminato da Active Directory. Tuttavia, l'installazione del sensore non è stata disinstallata e rimossa dal controller di dominio prima che venisse rimossa. È possibile eliminare questa voce in modo sicuro.
Versione: visualizza la versione del sensore installata.
Aggiornamento ritardato: visualizza lo stato del meccanismo di aggiornamento ritardato del sensore. I valori possibili sono:
Abilitato
Disattivato
Stato di integrità: visualizza lo stato di integrità complessivo del sensore con un'icona colorata che rappresenta l'avviso di integrità aperto con la gravità più alta. I valori possibili sono:
Integro (icona verde): Nessun problema di integrità aperto
Non integro (icona gialla): il problema di integrità aperto con la massima gravità è basso
Non integro (icona arancione): il problema di integrità con la gravità più alta aperta è medio
Non integro (icona rossa): il problema di integrità aperto con la massima gravità è elevato
Problemi di integrità: visualizza il conteggio dei problemi di integrità aperti nel sensore.
Creato: visualizza la data di installazione del sensore
Aggiornamento dei sensori
Mantenere aggiornati i sensori Microsoft Defender per identità offre la migliore protezione possibile per l'organizzazione.
Il servizio Microsoft Defender per identità viene in genere aggiornato alcune volte al mese con nuovi rilevamenti, funzionalità e miglioramenti delle prestazioni. In genere questi aggiornamenti includono un aggiornamento secondario corrispondente ai sensori. I pacchetti di aggiornamento dei sensori controllano solo le funzionalità di rilevamento del sensore e del sensore Defender for Identity.
Tipi di aggiornamento del sensore Defender per identità
I sensori defender per identità supportano due tipi di aggiornamenti:
Aggiornamenti della versione secondaria:
- Frequente
- Non richiede alcuna installazione dell'identità del servizio gestito e nessuna modifica del Registro di sistema
- Riavviato: servizi del sensore Defender per identità
Aggiornamenti delle versioni principali:
- Raro
- Contiene modifiche significative
- Riavviato: servizi del sensore Defender per identità
Nota
- I sensori defender per identità riservano sempre almeno il 15% della memoria e della CPU disponibili nel controller di dominio in cui è installato. Se il servizio Defender per identità usa troppa memoria, il servizio viene arrestato e riavviato automaticamente dal servizio di aggiornamento del sensore Defender per identità.
Aggiornamento ritardato del sensore
Data la velocità rapida degli aggiornamenti di sviluppo e rilascio di Defender for Identity in corso, è possibile decidere di definire un gruppo di subset dei sensori come anello di aggiornamento ritardato, consentendo un processo di aggiornamento graduale dei sensori. Defender per identità consente di scegliere come aggiornare i sensori e impostare ogni sensore come candidato per l'aggiornamento ritardato .
I sensori non selezionati per l'aggiornamento ritardato vengono aggiornati automaticamente, ogni volta che viene aggiornato il servizio Defender per identità. I sensori impostati su Aggiornamento ritardato vengono aggiornati con un ritardo di 72 ore, dopo il rilascio ufficiale di ogni aggiornamento del servizio.
L'opzione di aggiornamento ritardato consente di selezionare sensori specifici come anello di aggiornamento automatico, in cui tutti gli aggiornamenti vengono implementati automaticamente, e di impostare il resto dei sensori per l'aggiornamento in caso di ritardo, dandoti il tempo di confermare che i sensori aggiornati automaticamente hanno avuto esito positivo.
Nota
Se si verifica un errore e un sensore non viene aggiornato, aprire un ticket di supporto. Per rafforzare ulteriormente il proxy per comunicare solo con l'area di lavoro, vedere Configurazione del proxy.
L'autenticazione tra i sensori e il servizio cloud di Azure usa l'autenticazione reciproca avanzata basata su certificati. Il certificato client viene creato durante l'installazione del sensore come certificato autofirma, valido per 2 anni. Il servizio Sensor Updater è responsabile della generazione di un nuovo certificato autofirmati prima della scadenza del certificato esistente. Il rollback dei certificati viene eseguito con un processo di convalida in due fasi rispetto al back-end per evitare una situazione in cui un certificato in sequenza interrompe l'autenticazione.
Ogni aggiornamento viene testato e convalidato in tutti i sistemi operativi supportati per causare un impatto minimo sulla rete e sulle operazioni.
Per impostare un sensore per l'aggiornamento ritardato:
Nella pagina Sensori selezionare il sensore da impostare per gli aggiornamenti ritardati.
Selezionare il pulsante Abilitato aggiornamento ritardato .
Nella finestra di conferma selezionare Abilita.
Per disabilitare gli aggiornamenti ritardati, selezionare il sensore e quindi selezionare il pulsante Aggiornamento ritardato disabilitato .
Processo di aggiornamento del sensore
Ogni pochi minuti, i sensori defender per identità verificano se hanno la versione più recente. Dopo che il servizio cloud Defender per identità è stato aggiornato a una versione più recente, il servizio sensore Defender per identità avvia il processo di aggiornamento:
Il servizio cloud Defender for Identity viene aggiornato alla versione più recente.
Il servizio di aggiornamento del sensore Defender per identità apprende che è disponibile una versione aggiornata.
I sensori che non sono impostati su Aggiornamento ritardato avviano il processo di aggiornamento in base al sensore:
- Il servizio di aggiornamento del sensore Defender per identità esegue il pull della versione aggiornata dal servizio cloud (in formato file cab).
- Defender for Identity sensor updater convalida la firma del file.
- Il servizio di aggiornamento del sensore Defender per identità estrae il file CAB in una nuova cartella nella cartella di installazione del sensore. Per impostazione predefinita viene estratto in C:\Programmi\Numero> di versione del sensore<di Azure Advanced Threat Protection
- Il servizio sensore Defender per identità punta ai nuovi file estratti dal file CAB.
- Il servizio di aggiornamento del sensore Defender per identità riavvia il servizio del sensore Defender per identità.
Nota
Gli aggiornamenti secondari dei sensori non installano identità del servizio gestito, non modificano valori del Registro di sistema o file di sistema. Anche un riavvio in sospeso non influisce su un aggiornamento del sensore.
- I sensori vengono eseguiti in base alla versione appena aggiornata.
- Il sensore riceve l'autorizzazione dal servizio cloud di Azure. È possibile verificare lo stato del sensore nella pagina Sensori .
- Il sensore successivo avvia il processo di aggiornamento.
I sensori selezionati per l'aggiornamento ritardato avviano il processo di aggiornamento 72 ore dopo l'aggiornamento del servizio cloud Defender for Identity. Questi sensori useranno quindi lo stesso processo di aggiornamento dei sensori aggiornati automaticamente.
Per qualsiasi sensore che non riesce a completare il processo di aggiornamento, viene attivato un avviso di integrità pertinente e viene inviato come notifica.
Aggiornare automaticamente il sensore Defender per identità
Usare il comando seguente per aggiornare automaticamente il sensore Defender per identità:
Sintassi:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]
Opzioni di installazione:
| Nome | Sintassi | Obbligatorio per l'installazione invisibile all'utente? | Descrizione |
|---|---|---|---|
| Tranquillo | /quiet | Sì | Esegue il programma di installazione senza interfaccia utente e senza prompt. |
| Guida | /Guida | No | Fornisce guida e informazioni di riferimento rapide. Visualizza l'uso corretto del comando di installazione, incluso un elenco di tutte le opzioni e i comportamenti. |
| NetFrameworkCommandLineArguments="/q" | NetFrameworkCommandLineArguments="/q" | Sì | Specifica i parametri per l'installazione di .Net Framework. Deve essere impostato per applicare l'installazione invisibile all'utente di .Net Framework. |
Esempi:
Per aggiornare il sensore Defender per identità in modo invisibile all'utente:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"
Configurare le impostazioni proxy
È consigliabile configurare le impostazioni proxy iniziali durante l'installazione usando le opzioni della riga di comando. Se è necessario aggiornare le impostazioni proxy in un secondo momento, usare l'interfaccia della riga di comando o PowerShell.
Se le impostazioni proxy sono state configurate in precedenza tramite WinINet o una chiave del Registro di sistema ed è necessario aggiornarle, è necessario usare lo stesso metodo usato in origine.
Per altre informazioni, vedere Configurare le impostazioni di connettività Internet e proxy dell'endpoint.