Microsoft Defender for Identity センサーの管理と更新
この記事では、Microsoft Defender XDR で Microsoft Defender for Identity センサーを構成および管理する方法について説明します。
Defender for Identity センサーの設定と状態を表示する
Microsoft Defender XDR で、[設定]、[ID] の順に進みます。
[センサー] ページを選択すると、Defender for Identity センサーがすべて表示されます。 センサーごとに、その名前、ドメイン メンバーシップ、バージョン番号、更新を延期する必要がある場合、サービスの状態、センサーの状態、正常性状態、正常性の問題の数、センサーが作成された日時が表示されます。 各列の詳細については、「センサーの詳細」を参照してください。
[フィルター] を選択すると、使用できるフィルターを選択できます。 続いて、各フィルターでは表示するセンサーを選択できます。
いずれかのセンサーを選択すると、ウィンドウにセンサーとその正常性状態に関する情報が表示されます。
正常性の問題のいずれかを選択すると、その詳細を示すウィンドウが表示されます。 終了した問題を選択すると、ここから再開することができます。
[センサーの管理] を選択 すると、センサーの詳細を構成できるウィンドウが開きます。
センサーのページで、[エクスポート] を選択してセンサーの一覧を .csv ファイルにエクスポートできます。
センサーの詳細
センサーのページには、各センサーに関する次の情報が表示されます。
センサー: センサーの NetBIOS コンピューター名を表示します。
種類: センサーの種類を表示します。 次のいずれかの値になります。
ドメイン コントローラー センサー
AD FS センサー (Active Directory フェデレーション サービス)
スタンドアロン センサー
ADCS センサー (Active Directory 証明書サービス)。 AD CS が構成されたドメイン コントローラー サーバーにセンサーがインストールされている場合 (テスト環境など)、センサーの種類は代わりにドメイン コントローラー センサーとして表示されます。
ドメイン: センサーがインストールされている Active Directory ドメインの完全修飾ドメイン名を表示します。
サービスの状態: サーバー上のセンサー サービスの状態を表示します。 次のいずれかの値になります。
実行中: センサー サービスが実行されています
開始中: センサー サービスが開始中です
無効: センサー サービスが無効です
停止: センサー サービスが停止しています
不明: センサーが切断されているか、到達できません
センサーの状態: センサーの全体的な状態が表示されます。 次のいずれかの値になります。
最新: センサーは、センサーの現在のバージョンを実行しています。
古い: センサーは、現在のバージョンより少なくとも 3 バージョン以前のソフトウェア バージョンを実行しています。
更新中: センサー ソフトウェアが更新中です。
更新に失敗: センサーを新しいバージョンに更新できませんでした。
未構成: センサーを完全に動作する前に、より詳細な構成が必要です。 これは、AD FS/AD CS サーバーまたはスタンドアロン センサーにインストールされているセンサーに適用されます。
開始に失敗:センサーが 30 分以上構成をプルしませんでした。
同期中: センサーには構成の更新が保留中ですが、新しい構成がまだプルされていません。
切断: Defender for Identity サービスでは、このセンサーからの通信が 10 分間表示されていません。
到達不能: ドメイン コントローラーが Active Directory から削除されました。 ただし、センサーのインストールがアンインストールされず、使用停止になる前にドメイン コントローラーから削除されませんでした。 このエントリは安全に削除できます。
バージョン: インストールされているセンサーのバージョンが表示されます。
遅延更新: センサーの遅延更新メカニズムの状態を表示します。 次のいずれかの値になります。
Enabled
無効
正常性状態: センサーの全体的な正常性状態を表示します。最も重大度の高い未解決の正常性アラートは色付きアイコンで示されます。 次のいずれかの値になります。
正常 (緑色のアイコン): 未解決の正常性の問題はありません
正常ではない (黄色のアイコン): 最も重要度の高い未解決の正常性問題は低度です
正常ではない (オレンジ色のアイコン): 最も重要度の高い未解決の正常性問題は中度です
正常ではない (赤色のアイコン): 最も重要度の高い未解決の正常性問題は高度です
正常性の問題: センサーで開始された正常性の問題の数を表示します。
作成: センサーがインストールされた日付を表示します
センサーを更新
Microsoft Defender for Identity センサーを最新の状態に保つことで、組織に最適な保護が提供されます。
Microsoft Defender for Identity サービスは通常の場合、新しい検出・機能・パフォーマンスの向上のために月に数回更新されます。 通常、これらの更新プログラムには、センサーに対応するマイナー更新が含まれます。 センサー更新パッケージは、Defender for Identity センサーとセンサー検出機能のみを制御します。
Defender for Identity センサーの更新の種類
Defender for Identity センサーでは、次の 2 種類の更新をサポートしています:
マイナー バージョンの更新:
- 頻度
- MSI のインストールもレジストリの変更も必要ありません
- 再起動: Defender for Identity センサー サービス
メジャー バージョンの更新:
- レア
- 重要な変更が含まれています
- 再起動: Defender for Identity センサー サービス
Note
- Defender for Identity センサーは、インストールされているドメイン コントローラーで使用可能なメモリと CPU の少なくとも 15% を常にリザーブします。 Defender for Identity サービスで消費されるメモリが多すぎると、Defender for Identity センサー アップデーター サービスによってサービスが自動的に停止および再起動されます。
遅延センサーの更新
Defender for Identity の継続的な開発とリリースの更新の速度が速い場合は、センサーのサブセット グループを遅延更新リングとして定義し、センサーの更新プロセスを段階的に行うことができます。 Defender for Identity を使用すると、センサーの更新方法を選択し、各センサーを 遅延更新 候補として設定できます。
遅延更新で選択されていないセンサーは、Defender for Identity サービスが更新されるたびに自動的に更新されます。 遅延更新に設定されたセンサーは、各サービス更新プログラムの公式リリース後に 72 時間の遅延で更新されます。
遅延更新オプションを使用すると、すべての更新プログラムが自動的にロールアウトされる自動更新リングとして特定のセンサーを選択し、残りのセンサーを遅延時に更新するように設定し、自動的に更新されたセンサーが成功したことを確認する時間を提供します。
Note
エラーが発生してセンサーが更新されない場合は、サポート チケットを開きます。 ワークスペースのみと通信するようにしてプロキシをより強化するには、「プロキシの構成」を参照してください。
センサーと Azure クラウド サービス間の認証では、強力な証明書ベースの相互認証が使用されます。 クライアント証明書は、センサーのインストール時に自己署名証明書として作成され、2 年間有効です。 Sensor Updater サービスは、既存の証明書の有効期限が切れる前に、新しい自己署名証明書を生成する役割を担います。 証明書は、ローリング証明書が認証を中断する状況を回避するために、バックエンドに対して 2 フェーズの検証プロセスでロールされます。
各更新プログラムは、ネットワークと操作への影響を最小限に抑えるために、サポートされているすべてのオペレーティング システムでテストおよび検証されます。
センサーに遅延更新を設定するには:
センサーのページで、遅延更新を設定するセンサーを選択します。
[遅延更新を有効にする] ボタンを選択します。
確認ウィンドウで [有効] を選択します。
遅延更新を無効にするには、センサーを選択してから [遅延更新を無効にする] ボタンを選択します。
センサーの更新プロセス
数分ごとに、Defender for Identity センサーは最新バージョンであるかを確認します。 Defender for Identity クラウド サービスが新しいバージョンに更新されると、Defender for Identity センサー サービスによって更新プロセスが開始します。
Defender for Identity クラウド サービスによって最新バージョンに更新されます。
Defender for Identity センサー アップデーター サービスは、更新されたバージョンがあることを学習します。
遅延更新を設定していないセンサーは、センサーごとに更新プロセスを開始します。
- Defender for Identity センサーアップデーター サービスは、クラウド サービス (cab ファイル形式) から更新バージョンをプルします。
- Defender for Identity センサー アップデーターは、ファイル署名を検証します。
- Defender for Identity センサー アップデーター サービスは、センサーのインストール フォルダー内の新しいフォルダーに cab ファイルを抽出します。 デフォルト設定では、C:\Program Files\Azure Advanced Threat Protection Sensor<バージョン番号>に抽出されます
- Defender for Identity センサー サービスは、cab ファイルから抽出された新しいファイルを指示します。
- Defender for Identity センサー アップデーター サービスは、Defender for Identity センサー サービスを再起動します。
Note
マイナー センサーの更新は MSI をインストールせず、レジストリ値やシステム ファイルを変更しません。 保留中の再起動であっても、センサーの更新には影響しません。
- センサーは、新しく更新されたバージョンに基づいて実行されます。
- センサーは、Azure クラウド サービスからクリアランスを受け取ります。 センサーの状態は、センサーのページで確認できます。
- 次のセンサーは、更新プロセスを開始します。
遅延更新に選択されているセンサーは、Defender for Identity クラウド サービスが更新されてから 72 時間後に更新プロセスを開始します。 これらのセンサーは、自動的に更新されたセンサーと同じ更新プロセスを使用します。
更新プロセスの完了に失敗したセンサーの場合、関連する正常性アラートがトリガーされ、通知として送信されます。
Defender for Identity センサーをサイレント モードで更新する
Defender for Identity センサーをサイレント更新するには、次のコマンドを使用します。
構文:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]
インストール オプション:
Name | 構文 | Mandatory for silent installation? | 説明 |
---|---|---|---|
Quiet | /quiet | はい | Runs the installer displaying no UI and no prompts. |
Help | /help | いいえ | Provides help and quick reference. Displays the correct use of the setup command including a list of all options and behaviors. |
NetFrameworkCommandLineArguments="/q" | NetFrameworkCommandLineArguments="/q" | はい | .Net Framework インストールのパラメーターを指定します。 .Net Framework のサイレント インストールを強制するように設定する必要があります。 |
例:
Defender for Identity センサーをサイレント モードで更新するには:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"
プロキシ設定の構成
インストール時に コマンド ライン スイッチを使用してプロキシの初期設定を構成することをお勧めします。 後でプロキシ設定を更新する必要がある場合は、CLI または PowerShell を使用します。
以前に WinINet またはレジストリ キーを使用してプロキシ設定を構成していて、それらを更新する必要がある場合は、最初に使用したのと同じ方法を使用する必要があります。
詳しくは、「エンドポイント プロキシとインターネット接続の設定を構成する」を参照してください。