Administrere og oppdatere Microsoft Defender for identitet sensorer

Denne artikkelen forklarer hvordan du konfigurerer og administrerer Microsoft Defender for identitet sensorer i Microsoft Defender XDR.

Vis innstillinger og status for Defender for identitetssensor

1. Gå til Innstillinger og deretter Identiteteri Microsoft Defender XDR.

   

2. Velg Sensorer-siden , som viser alle Defender for Identity-sensorene. For hver sensor ser du navnet, domenemedlemskapet, versjonsnummeret, hvis oppdateringene skal forsinkes, tjenestestatusen, sensorstatusen, tilstandsstatusen, antallet helseproblemer og når sensoren ble opprettet. Hvis du vil ha mer informasjon om hver kolonne, kan du se Sensordetaljer.

   

3. Hvis du velger Filtre, kan du velge hvilke filtre som skal være tilgjengelige. Deretter kan du velge hvilke sensorer som skal vises med hvert filter.

   

   

4. Hvis du velger en av sensorene, vises en rute med informasjon om sensoren og tilstanden.

   

5. Hvis du velger noen av helseproblemene, får du en rute med flere detaljer om dem. Hvis du velger et lukket problem, kan du åpne det på nytt herfra.

   

6. Hvis du velger Administrer sensor, åpnes en rute der du kan konfigurere sensordetaljene.

   

   

7. På Sensorer-siden kan du eksportere listen over sensorer til en .csv fil ved å velge Eksporter.

   

Sensordetaljer

Sensorsiden gir følgende informasjon om hver sensor:

• Sensor: Viser sensorens NetBIOS-datamaskinnavn.

• Type: Viser sensortypen. Mulige verdier er:

  • Sensor for domenekontroller

  • AD FS-sensor (Active Directory Federation Services)

  • Frittstående sensor

  • ADCS-sensor (Active Directory Certificate Services). Hvis sensoren er installert på en domenekontrollerserver med AD CS konfigurert, for eksempel i et testmiljø, vises sensortypen som domenekontrollersensor i stedet.

• Domene: Viser det fullstendige domenenavnet for Active Directory-domenet der sensoren er installert.

• Tjenestestatus: Viser statusen for sensortjenesten på serveren. Mulige verdier er:

  • Kjører: Sensortjenesten kjører

  • Start: Sensortjenesten starter

  • Deaktivert: Sensortjenesten er deaktivert

  • Stoppet: Sensortjenesten er stoppet

  • Ukjent: Sensoren er frakoblet eller kan ikke nås

• Sensorstatus: Viser sensorens generelle status. Mulige verdier er:

  • Oppdatert: Sensoren kjører en gjeldende versjon av sensoren.

  • Utdatert: Sensor kjører en versjon av programvaren som er minst tre versjoner bak den gjeldende versjonen.

  • Oppdatering: Sensorprogramvaren oppdateres.

  • Oppdatering mislyktes: Sensoren kan ikke oppdateres til en ny versjon.

  • Ikke konfigurert: Sensor krever mer konfigurasjon før den er i full drift. Dette gjelder sensorer installert på AD FS / AD CS-servere eller frittstående sensorer.

  • Start mislyktes: Sensoren trakk ikke konfigurasjon på mer enn 30 minutter.

  • Synkronisering: Sensoren har konfigurasjonsoppdateringer som venter, men den trakk ennå ikke den nye konfigurasjonen.

  • Frakoblet: Defender for Identity-tjenesten har ikke sett noen kommunikasjon fra denne sensoren på ti minutter.

  • Kan ikke nås: Domenekontrolleren ble slettet fra Active Directory. Sensorinstallasjonen ble imidlertid ikke avinstallert og fjernet fra domenekontrolleren før den ble avviklet. Du kan trygt slette denne oppføringen.

• Versjon: Viser sensorversjonen som er installert.

• Forsinket oppdatering: Viser sensorens forsinkede oppdateringsmekanismetilstand. Mulige verdier er:

  • Aktivert

  • Ufør

• Tilstandsstatus: Viser den generelle tilstandsstatusen til sensoren med et farget ikon som representerer det høyeste varselet om alvorlighetsgrad åpen tilstand. Mulige verdier er:

  • Sunt (grønt ikon): Ingen åpnede helseproblemer

  • Ikke-sunn (gult ikon): Det høyeste alvorsgraden åpnet helseproblemet er lavt

  • Ikke-sunn (oransje ikon): Det høyeste alvorsgrad åpnet helseproblemet er middels

  • Ikke-sunn (rødt ikon): Det høyeste alvorsgraden åpnet helseproblemet er høyt

• Helseproblemer: Viser antall åpne helseproblemer på sensoren.

• Opprettet: Viser datoen sensoren ble installert

Oppdatere sensorene

Å holde Microsoft Defender for identitet sensorer oppdatert gir best mulig beskyttelse for organisasjonen.

Tjenesten Microsoft Defender for identitet oppdateres vanligvis et par ganger i måneden med nye oppdagelser, funksjoner og ytelsesforbedringer. Vanligvis inkluderer disse oppdateringene en tilsvarende mindre oppdatering av sensorene. Sensoroppdateringspakker kontrollerer bare Funksjonene for Defender for identitetssensor og sensorgjenkjenning.

Oppdateringstyper for Defender for identitetssensor

Defender for Identity-sensorer støtter to typer oppdateringer:

• Oppdateringer for underordnede versjoner:

  • Hyppig
  • Krever ingen MSI-installasjon, og ingen registerendringer
  • Startet på nytt: Defender for identitetssensortjenester

• Viktige versjonsoppdateringer:

  • Sjelden
  • Inneholder betydelige endringer
  • Startet på nytt: Defender for identitetssensortjenester

Obs!

• Defender for Identity-sensorer reserverer alltid minst 15 % av det tilgjengelige minnet og CPU-en som er tilgjengelig på domenekontrolleren der det er installert. Hvis Defender for Identity-tjenesten bruker for mye minne, stoppes tjenesten automatisk og startes på nytt av oppdateringstjenesten Defender for Identity-sensor.

Forsinket sensoroppdatering

Gitt den raske hastigheten på pågående Defender for identitetsutvikling og utgivelsesoppdateringer, kan du bestemme deg for å definere en delsettgruppe av sensorene dine som en forsinket oppdateringsring, noe som gir en gradvis sensoroppdateringsprosess. Defender for Identity gjør det mulig å velge hvordan sensorene oppdateres og angi hver sensor som en forsinket oppdateringskandidat .

Sensorer som ikke er valgt for forsinket oppdatering, oppdateres automatisk, hver gang Defender for Identity-tjenesten oppdateres. Sensorer satt til forsinket oppdatering oppdateres på en forsinkelse på 72 timer, etter den offisielle utgivelsen av hver tjenesteoppdatering.

Det forsinkede oppdateringsalternativet gjør det mulig å velge bestemte sensorer som en automatisk oppdateringsring, der alle oppdateringer rulles ut automatisk, og sette resten av sensorene til å oppdatere ved forsinkelse, noe som gir deg tid til å bekrefte at de automatisk oppdaterte sensorene var vellykkede.

Obs!

Hvis det oppstår en feil og en sensor ikke oppdateres, åpner du en støtteforespørsel. Hvis du vil herde proxyen ytterligere for bare å kommunisere med arbeidsområdet, kan du se Proxy-konfigurasjonen.

Godkjenning mellom sensorene og Azure-skytjenesten bruker sterk, sertifikatbasert gjensidig godkjenning. Klientsertifikatet opprettes ved sensorinstallasjonen som et selvsignert sertifikat, gyldig i 2 år. Sensoroppdateringstjenesten er ansvarlig for å generere et nytt selvsignert sertifikat før det eksisterende sertifikatet utløper. Sertifikatene rulles med en 2-faset valideringsprosess mot serverdelen for å unngå en situasjon der et rullende sertifikat bryter godkjenningen.

Hver oppdatering testes og valideres på alle operativsystemer som støttes, for å forårsake minimal innvirkning på nettverket og operasjonene.

Slik angir du en sensor til forsinket oppdatering:

1. Velg sensoren du vil angi for forsinkede oppdateringer, på Sensorer-siden .

2. Velg knappen Aktivert forsinket oppdatering .

   

3. Velg Aktiver i bekreftelsesvinduet.

Hvis du vil deaktivere forsinkede oppdateringer, velger du sensoren og velger knappen Deaktivert forsinket oppdatering .

Sensoroppdateringsprosess

Med noen få minutters mellomrom kontrollerer Defender for Identity-sensorer om de har den nyeste versjonen. Når skytjenesten Defender for Identity er oppdatert til en nyere versjon, starter Defender for Identity-sensortjenesten oppdateringsprosessen:

1. Defender for Identity-skytjenesten oppdateres til den nyeste versjonen.

2. Defender for identity sensor updater-tjenesten lærer at det finnes en oppdatert versjon.

3. Sensorer som ikke er satt til Forsinket oppdatering , starter oppdateringsprosessen på sensorbasis:

   1. Defender for identity sensor updater-tjenesten henter den oppdaterte versjonen fra skytjenesten (i cab-filformat).
   2. Defender for identity sensor updater validerer filsignaturen.
   3. Defender for identity sensor updater service pakker ut cab-filen til en ny mappe i sensorens installasjonsmappe. Som standard pakkes den ut til C:\Program Files\Azure Advanced Threat Protection Sensor<versjonsnummer>
   4. Defender for Identitetssensortjenesten peker til de nye filene som er pakket ut fra cab-filen.
   5. Defender for identity sensor updater-tjenesten starter Defender for Identity-sensortjenesten på nytt.

      Obs!

      Mindre sensoroppdateringer installerer ingen MSI, endrer ingen registerverdier eller systemfiler. Selv en ventende omstart påvirker ikke en sensoroppdatering.

   6. Sensorer kjører basert på den nylig oppdaterte versjonen.
   7. Sensor mottar klarering fra Azure-skytjenesten. Du kan bekrefte sensorstatusen på Sensorer-siden .
   8. Den neste sensoren starter oppdateringsprosessen.

4. Sensorer valgt for forsinket oppdatering starter oppdateringsprosessen 72 timer etter at Defender for Identity-skytjenesten er oppdatert. Disse sensorene vil deretter bruke samme oppdateringsprosess som automatisk oppdaterte sensorer.

For enhver sensor som ikke fullfører oppdateringsprosessen, utløses et relevant tilstandsvarsel , og sendes som et varsel.

Oppdater Defender for Identity-sensoren stille

Bruk følgende kommando til stille oppdatering av Defender for Identity-sensoren:

Syntaks:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Installasjonsalternativer:

Navn	Syntaks	Obligatorisk for stille installasjon?	Beskrivelse
Stille	/stille	Ja	Kjører installasjonsprogrammet som viser ingen brukergrensesnitt og ingen ledetekster.
Hjelp	/hjelp	Nei	Gir hjelp og hurtigreferanse. Viser riktig bruk av installasjonskommandoen, inkludert en liste over alle alternativer og virkemåter.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Ja	Angir parameterne for .Net Framework-installasjonen. Må angis for å fremtvinge stille installasjon av .Net Framework.

Eksempler:

Slik oppdaterer du Defender for Identity-sensoren stille:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Konfigurer proxy-innstillinger

Vi anbefaler at du konfigurerer de første proxy-innstillingene under installasjonen ved hjelp av kommandolinjebrytere. Hvis du må oppdatere proxy-innstillingene senere, kan du bruke enten CLI eller PowerShell.

Hvis du tidligere hadde konfigurert proxy-innstillingene via WinINet eller en registernøkkel og må oppdatere dem, må du bruke samme metode som du opprinnelig brukte.

Hvis du vil ha mer informasjon, kan du se Konfigurere proxy- og Internett-tilkoblingsinnstillinger for endepunkt.

Neste trinn

• Konfigurer videresending av hendelse
• Forutsetninger for Defender for identitet
• Ta en titt på Defender for Identity-forumet!