Konfigurowanie ustawień czujnika Microsoft Defender for Identity
W tym artykule dowiesz się, jak poprawnie skonfigurować ustawienia czujnika Microsoft Defender for Identity, aby rozpocząć wyświetlanie danych. Musisz wykonać dodatkową konfigurację i integrację, aby skorzystać z pełnych możliwości usługi Defender for Identity.
Wyświetlanie i konfigurowanie ustawień czujnika
Po zainstalowaniu czujnika usługi Defender for Identity wykonaj następujące czynności, aby wyświetlić i skonfigurować ustawienia czujnika usługi Defender for Identity:
W Microsoft Defender XDR przejdź do pozycji Ustawienia>Czujniki tożsamości>. Przykład:
Na stronie Czujniki są wyświetlane wszystkie czujniki usługi Defender for Identity z listą następujących szczegółów na czujnik:
- Nazwa czujnika
- Członkostwo w domenie czujnika
- Numer wersji czujnika
- Czy aktualizacje powinny być opóźnione
- Stan usługi czujnika
- Stan czujnika
- Stan kondycji czujnika
- Liczba problemów z kondycją
- Po utworzeniu czujnika
Aby uzyskać więcej informacji, zobacz Szczegóły czujnika.
Wybierz pozycję Filtry , aby wybrać filtry, które mają być widoczne. Przykład:
Użyj wyświetlonych filtrów, aby określić, które czujniki mają być wyświetlane. Przykład:
Wybierz czujnik, aby wyświetlić okienko szczegółów z większą ilością informacji o czujniku i jego stanie kondycji. Przykład:
Przewiń w dół i wybierz pozycję Zarządzaj czujnikiem , aby wyświetlić okienko, w którym można skonfigurować szczegóły czujnika. Przykład:
Skonfiguruj następujące szczegóły czujnika:
Name (Nazwa) Opis Opis Fakultatywny. Wprowadź opis czujnika usługi Defender for Identity. Kontrolery domeny (FQDN) Wymagane dla autonomicznych czujników i czujników usługi Defender for Identity zainstalowanych na serwerach usług AD FS/AD CS i nie można ich modyfikować dla czujnika usługi Defender for Identity.
Wprowadź pełną nazwę FQDN kontrolera domeny i wybierz znak plus, aby dodać go do listy. Na przykład DC1.domain1.test.local.
Dla wszystkich serwerów zdefiniowanych na liście Kontrolery domeny :
— Wszystkie kontrolery domeny, których ruch jest monitorowany za pośrednictwem dublowania portów przez czujnik autonomiczny usługi Defender for Identity, muszą być wymienione na liście Kontrolery domeny . Jeśli kontroler domeny nie znajduje się na liście Kontrolery domeny , wykrywanie podejrzanych działań może nie działać zgodnie z oczekiwaniami.
— Co najmniej jeden kontroler domeny na liście powinien być wykazem globalnym. Dzięki temu usługa Defender for Identity może rozpoznawać obiekty komputerów i użytkowników w innych domenach w lesie.Przechwytywanie kart sieciowych Wymagane.
— W przypadku czujników usługi Defender for Identity wszystkie karty sieciowe używane do komunikacji z innymi komputerami w organizacji.
— W przypadku czujnika autonomicznego usługi Defender for Identity na dedykowanym serwerze wybierz karty sieciowe skonfigurowane jako docelowy port dublowania. Te karty sieciowe odbierają ruch dublowanego kontrolera domeny.Na stronie Czujniki wybierz pozycję Eksportuj , aby wyeksportować listę czujników do pliku .csv . Przykład:
Weryfikowanie instalacji
Poniższe procedury umożliwiają zweryfikowanie instalacji czujnika usługi Defender for Identity.
Uwaga
Jeśli instalujesz na serwerze usług AD FS lub AD CS, użyjesz innego zestawu walidacji. Aby uzyskać więcej informacji, zobacz Weryfikowanie pomyślnego wdrożenia na serwerach usług AD FS/AD CS.
Weryfikowanie pomyślnego wdrożenia
Aby sprawdzić, czy czujnik usługi Defender for Identity został pomyślnie wdrożony:
Sprawdź, czy usługa czujnika Azure Advanced Threat Protection jest uruchomiona na maszynie czujnika. Po zapisaniu ustawień czujnika usługi Defender for Identity uruchomienie usługi może potrwać kilka sekund.
Jeśli usługa nie zostanie uruchomiona, przejrzyj plik Microsoft.Tri.sensor-Errors.log znajdujący się domyślnie pod adresem
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, gdzie<sensor version>jest wdrożona wersja.
Weryfikowanie funkcji alertów zabezpieczeń
W tej sekcji opisano sposób sprawdzania, czy alerty zabezpieczeń są wyzwalane zgodnie z oczekiwaniami.
Podczas korzystania z przykładów w poniższych krokach należy zastąpić contosodc.contoso.azure nazwę contoso.azure FQDN czujnika i domeny usługi Defender for Identity oraz nazwą domeny.
Na urządzeniu dołączonym do członka otwórz wiersz polecenia i wprowadź polecenie
nslookupWprowadź
servernazwę FQDN lub adres IP kontrolera domeny, na którym jest zainstalowany czujnik usługi Defender for Identity. Przykład:server contosodc.contoso.azureWejść
ls -d contoso.azurePowtórz dwa poprzednie kroki dla każdego czujnika, który chcesz przetestować.
Uzyskaj dostęp do strony szczegółów urządzenia dla komputera, z którego został uruchomiony test łączności, na przykład ze strony Urządzenia , wyszukując nazwę urządzenia lub z innego miejsca w portalu usługi Defender.
Na karcie Szczegóły urządzenia wybierz kartę Oś czasu , aby wyświetlić następujące działanie:
- Zdarzenia: zapytania DNS wykonywane pod określoną nazwą domeny
- Typ akcji MdiDnsQuery
Jeśli testowy kontroler domeny lub usług AD FS/AD CS jest pierwszym wdrożonym czujnikiem, poczekaj co najmniej 15 minut przed zweryfikowaniem jakiegokolwiek działania logicznego dla tego kontrolera domeny, umożliwiając zapleczu bazy danych ukończenie początkowych wdrożeń mikrousług.
Weryfikowanie najnowszej dostępnej wersji czujnika
Wersja usługi Defender for Identity jest często aktualizowana. Sprawdź najnowszą wersję na stronietożsamości ustawień>> Microsoft Defender XDR— informacje.
Zawartość pokrewna
Po skonfigurowaniu początkowych kroków konfiguracji można skonfigurować więcej ustawień. Aby uzyskać więcej informacji, przejdź do dowolnej z poniższych stron:
- Ustawianie tagów jednostek: poufne, honeytoken i Exchange Server
- Konfigurowanie wykluczeń wykrywania
- Konfigurowanie powiadomień: problemy z kondycją, alerty i dziennik Syslog