Microsoft Defender for Identity sensoren beheren en bijwerken

In dit artikel wordt uitgelegd hoe u Microsoft Defender for Identity sensoren in Microsoft Defender XDR configureert en beheert.

Instellingen en status van Defender for Identity-sensor weergeven

1. Ga in Microsoft Defender XDR naar Instellingen en vervolgens Naar Identiteiten.

   

2. Selecteer de pagina Sensoren , waarop al uw Defender for Identity-sensoren worden weergegeven. Voor elke sensor ziet u de naam, het domeinlidmaatschap, het versienummer, of updates moeten worden vertraagd, de servicestatus, sensorstatus, status, het aantal statusproblemen en wanneer de sensor is gemaakt. Zie Sensordetails voor meer informatie over elke kolom.

   

3. Als u Filters selecteert, kunt u kiezen welke filters beschikbaar zijn. Vervolgens kunt u bij elk filter kiezen welke sensoren u wilt weergeven.

   

   

4. Als u een van de sensoren selecteert, wordt er een deelvenster weergegeven met informatie over de sensor en de status ervan.

   

5. Als u een van de statusproblemen selecteert, krijgt u een deelvenster met meer informatie hierover. Als u een gesloten probleem kiest, kunt u het hier opnieuw openen.

   

6. Als u Sensor beheren selecteert, wordt er een deelvenster geopend waarin u de sensordetails kunt configureren.

   

   

7. Op de pagina Sensoren kunt u uw lijst met sensoren exporteren naar een .csv-bestand door Exporteren te selecteren.

   

Sensordetails

De pagina sensoren bevat de volgende informatie over elke sensor:

• Sensor: geeft de NetBIOS-computernaam van de sensor weer.

• Type: geeft het type van de sensor weer. Mogelijke waarden zijn:

  • Domeincontrollersensor

  • AD FS-sensor (Active Directory Federation Services)

  • Zelfstandige sensor

  • ADCS-sensor (Active Directory Certificate Services). Als uw sensor is geïnstalleerd op een domeincontrollerserver waarop AD CS is geconfigureerd, zoals in een testomgeving, wordt het sensortype in plaats daarvan weergegeven als domeincontrollersensor .

• Domein: geeft de volledig gekwalificeerde domeinnaam weer van het Active Directory-domein waar de sensor is geïnstalleerd.

• Servicestatus: geeft de status van de sensorservice op de server weer. Mogelijke waarden zijn:

  • Actief: Sensorservice wordt uitgevoerd

  • Starten: Sensorservice wordt gestart

  • Uitgeschakeld: Sensorservice is uitgeschakeld

  • Gestopt: Sensorservice is gestopt

  • Onbekend: sensor is losgekoppeld of onbereikbaar

• Sensorstatus: geeft de algehele status van de sensor weer. Mogelijke waarden zijn:

  • Up-to-date: Sensor voert een huidige versie van de sensor uit.

  • Verouderd: Sensor voert een versie van de software uit die ten minste drie versies achter de huidige versie heeft.

  • Bijwerken: Sensorsoftware wordt bijgewerkt.

  • Bijwerken is mislukt: Sensor kan niet worden bijgewerkt naar een nieuwe versie.

  • Niet geconfigureerd: sensor vereist meer configuratie voordat deze volledig operationeel is. Dit geldt voor sensoren die zijn geïnstalleerd op AD FS/AD CS-servers of zelfstandige sensoren.

  • Starten is mislukt: de sensor heeft de configuratie gedurende meer dan 30 minuten niet opgehaald.

  • Synchroniseren: de sensor heeft configuratie-updates in behandeling, maar de nieuwe configuratie is nog niet opgehaald.

  • Verbinding verbroken: de Defender for Identity-service heeft al 10 minuten geen communicatie van deze sensor gezien.

  • Niet bereikbaar: de domeincontroller is verwijderd uit Active Directory. De sensorinstallatie is echter niet verwijderd van de domeincontroller voordat deze buiten gebruik werd gesteld. U kunt deze vermelding veilig verwijderen.

• Versie: geeft de geïnstalleerde sensorversie weer.

• Vertraagde update: geeft de status van het mechanisme voor vertraagde updates van de sensor weer. Mogelijke waarden zijn:

  • Ingeschakeld

  • Uitgeschakeld

• Status: geeft de algehele status van de sensor weer met een gekleurd pictogram dat de hoogste ernst van de open statuswaarschuwing aangeeft. Mogelijke waarden zijn:

  • In orde (groen pictogram): Geen geopende statusproblemen

  • Niet in orde (geel pictogram): het statusprobleem met de hoogste ernst is laag

  • Niet in orde (oranje pictogram): het statusprobleem met de hoogste ernst is gemiddeld

  • Niet in orde (rood pictogram): het statusprobleem met de hoogste ernst is hoog

• Statusproblemen: geeft het aantal geopende statusproblemen op de sensor weer.

• Gemaakt: geeft de datum weer waarop de sensor is geïnstalleerd

Uw sensoren bijwerken

Het up-to-date houden van uw Microsoft Defender for Identity sensoren biedt de best mogelijke bescherming voor uw organisatie.

De Microsoft Defender for Identity-service wordt doorgaans een paar keer per maand bijgewerkt met nieuwe detecties, functies en prestatieverbeteringen. Deze updates bevatten doorgaans een overeenkomstige kleine update van de sensoren. Sensorupdatepakketten beheren alleen de mogelijkheden van de Defender for Identity-sensor en sensordetectie.

Updatetypen voor Defender for Identity-sensor

Defender for Identity-sensoren ondersteunen twee soorten updates:

• Secundaire versie-updates:

  • Veelvuldig
  • Vereist geen MSI-installatie en geen registerwijzigingen
  • Opnieuw gestart: Defender for Identity-sensorservices

• Belangrijke versie-updates:

  • Zeldzaam
  • Bevat belangrijke wijzigingen
  • Opnieuw gestart: Defender for Identity-sensorservices

Opmerking

• Defender for Identity-sensoren reserveren altijd ten minste 15% van het beschikbare geheugen en DE CPU die beschikbaar zijn op de domeincontroller waarop deze is geïnstalleerd. Als de Defender for Identity-service te veel geheugen verbruikt, wordt de service automatisch gestopt en opnieuw gestart door de Defender for Identity-sensorupdater-service.

Vertraagde sensorupdate

Gezien de snelle snelheid van de ontwikkeling en release-updates van Defender for Identity, kunt u besluiten om een subsetgroep van uw sensoren te definiëren als een vertraagde updatering, waardoor een geleidelijk updateproces van de sensor mogelijk is. Met Defender for Identity kunt u kiezen hoe uw sensoren worden bijgewerkt en elke sensor instellen als een kandidaat voor vertraagde updates .

Sensoren die niet zijn geselecteerd voor vertraagde updates, worden automatisch bijgewerkt telkens wanneer de Defender for Identity-service wordt bijgewerkt. Sensoren die zijn ingesteld op Vertraagde update , worden bijgewerkt met een vertraging van 72 uur, na de officiële release van elke service-update.

Met de optie voor vertraagde updates kunt u specifieke sensoren selecteren als een automatische updatering, waarop alle updates automatisch worden geïmplementeerd, en de rest van uw sensoren instellen om bij vertraging bij te werken, zodat u de tijd hebt om te bevestigen dat de automatisch bijgewerkte sensoren zijn geslaagd.

Opmerking

Als er een fout optreedt en een sensor niet wordt bijgewerkt, opent u een ondersteuningsticket. Zie Proxyconfiguratie om uw proxy verder te beperken om alleen met uw werkruimte te communiceren.

Verificatie tussen uw sensoren en de Azure-cloudservice maakt gebruik van sterke, op certificaten gebaseerde wederzijdse verificatie. Het clientcertificaat wordt bij de sensorinstallatie gemaakt als een zelfondertekend certificaat, dat 2 jaar geldig is. De Sensor Updater-service is verantwoordelijk voor het genereren van een nieuw zelfondertekend certificaat voordat het bestaande certificaat verloopt. De certificaten worden gerolld met een tweefasenvalidatieproces tegen de back-end om te voorkomen dat een rollend certificaat de verificatie onderbreekt.

Elke update wordt getest en gevalideerd op alle ondersteunde besturingssystemen om minimale impact te hebben op uw netwerk en bewerkingen.

Een sensor instellen op vertraagde update:

1. Selecteer op de pagina Sensoren de sensor die u wilt instellen voor vertraagde updates.

2. Selecteer de knop Vertraagde update ingeschakeld .

   

3. Selecteer Inschakelen in het bevestigingsvenster.

Als u vertraagde updates wilt uitschakelen, selecteert u de sensor en selecteert u vervolgens de knop Vertraagde update uitgeschakeld .

Sensorupdateproces

Elke paar minuten controleren Defender for Identity-sensoren of ze de nieuwste versie hebben. Nadat de Defender for Identity-cloudservice is bijgewerkt naar een nieuwere versie, start de Defender for Identity-sensorservice het updateproces:

1. Defender for Identity-cloudservice wordt bijgewerkt naar de nieuwste versie.

2. Defender for Identity Sensor Updater-service leert dat er een bijgewerkte versie is.

3. Sensoren die niet zijn ingesteld op Vertraagde update , starten het updateproces op sensorbasis:

   1. Defender for Identity Sensor Updater-service haalt de bijgewerkte versie op uit de cloudservice (in cab-bestandsindeling).
   2. Defender for Identity sensor updater valideert de bestandshandtekening.
   3. Defender for Identity Sensor Updater-service extraheert het cab-bestand naar een nieuwe map in de installatiemap van de sensor. Standaard wordt deze geëxtraheerd naar het versienummer> van C:\Program Files\Azure Advanced Threat Protection Sensor<
   4. De Defender for Identity-sensorservice verwijst naar de nieuwe bestanden die zijn geëxtraheerd uit het cab-bestand.
   5. De Defender for Identity Sensor Updater-service start de Defender for Identity-sensorservice opnieuw op.

      Opmerking

      Kleine sensorupdates installeren geen MSI, wijzigen geen registerwaarden of systeembestanden. Zelfs een herstart in behandeling heeft geen invloed op een sensorupdate.

   6. Sensoren worden uitgevoerd op basis van de zojuist bijgewerkte versie.
   7. Sensor krijgt toestemming van de Azure-cloudservice. U kunt de sensorstatus controleren op de pagina Sensoren .
   8. De volgende sensor start het updateproces.

4. Sensoren die zijn geselecteerd voor Vertraagde update starten hun updateproces 72 uur nadat de Defender for Identity-cloudservice is bijgewerkt. Deze sensoren gebruiken vervolgens hetzelfde updateproces als automatisch bijgewerkte sensoren.

Voor elke sensor die het updateproces niet kan voltooien, wordt een relevante statuswaarschuwing geactiveerd en als een melding verzonden.

De Defender for Identity-sensor op de achtergrond bijwerken

Gebruik de volgende opdracht om de Defender for Identity-sensor op de achtergrond bij te werken:

Syntaxis:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Installatieopties:

Naam	Syntaxis	Verplicht voor installatie op de achtergrond?	Beschrijving
Rustig	/rustig	Ja	Het installatieprogramma wordt uitgevoerd zonder gebruikersinterface en zonder prompts.
Help	/Help	Nee	Biedt hulp en snelle naslaginformatie. Geeft het juiste gebruik van de installatieopdracht weer, inclusief een lijst met alle opties en gedrag.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Ja	Hiermee geeft u de parameters voor de .Net Framework-installatie. Moet worden ingesteld om de installatie op de achtergrond van .Net Framework af te dwingen.

Voorbeelden:

De Defender for Identity-sensor op de achtergrond bijwerken:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Proxy-instellingen configureren

U wordt aangeraden de initiële proxy-instellingen tijdens de installatie te configureren met behulp van opdrachtregelswitches. Als u uw proxy-instellingen later wilt bijwerken, gebruikt u de CLI of PowerShell.

Als u uw proxy-instellingen eerder hebt geconfigureerd via WinINet of een registersleutel en u deze wilt bijwerken, moet u dezelfde methode gebruiken die u oorspronkelijk hebt gebruikt.

Zie Instellingen voor eindpuntproxy en internetverbinding configureren voor meer informatie.

Volgende stappen

• Doorsturen van gebeurtenissen configureren
• Vereisten voor Defender for Identity
• Bekijk het Defender for Identity-forum.