Zarządzanie czujnikami Microsoft Defender for Identity i aktualizowanie ich

W tym artykule wyjaśniono, jak skonfigurować czujniki Microsoft Defender for Identity i zarządzać nimi w Microsoft Defender XDR.

Wyświetlanie ustawień i stanu czujnika usługi Defender for Identity

1. W Microsoft Defender XDR przejdź do pozycji Ustawienia, a następnie pozycję Tożsamości.

   

2. Wybierz stronę Czujniki , na której są wyświetlane wszystkie czujniki usługi Defender for Identity. Dla każdego czujnika zobaczysz jego nazwę, członkostwo w domenie, numer wersji, jeśli aktualizacje powinny być opóźnione, stan usługi, stan czujnika, stan kondycji, liczbę problemów zdrowotnych i czas utworzenia czujnika. Aby uzyskać szczegółowe informacje o każdej kolumnie, zobacz Szczegóły czujnika.

   

3. Jeśli wybierzesz pozycję Filtry, możesz wybrać, które filtry będą dostępne. Następnie za pomocą każdego filtru możesz wybrać czujniki do wyświetlenia.

   

   

4. W przypadku wybrania jednego z czujników zostanie wyświetlone okienko z informacjami o czujniku i jego stanie kondycji.

   

5. Jeśli wybierzesz dowolny z problemów z kondycją, otrzymasz okienko z bardziej szczegółowymi informacjami na ich temat. Jeśli wybierzesz zamknięty problem, możesz go ponownie otworzyć tutaj.

   

6. Jeśli wybierzesz pozycję Zarządzaj czujnikiem, zostanie otwarte okienko, w którym można skonfigurować szczegóły czujnika.

   

   

7. Na stronie Czujniki możesz wyeksportować listę czujników do pliku .csv, wybierając pozycję Eksportuj.

   

Szczegóły czujnika

Strona czujników zawiera następujące informacje o każdym czujniku:

• Czujnik: wyświetla nazwę komputera NetBIOS czujnika.

• Typ: wyświetla typ czujnika. Możliwe wartości to:

  • Czujnik kontrolera domeny

  • Czujnik usług AD FS (Active Directory Federation Services)

  • Czujnik autonomiczny

  • Czujnik ADCS (Usługi certyfikatów Active Directory). Jeśli czujnik jest zainstalowany na serwerze kontrolera domeny z skonfigurowaną usługą AD CS, na przykład w środowisku testowym, typ czujnika jest wyświetlany jako czujnik kontrolera domeny .

• Domena: wyświetla w pełni kwalifikowaną nazwę domeny usługi Active Directory, w której zainstalowano czujnik.

• Stan usługi: wyświetla stan usługi czujnika na serwerze. Możliwe wartości to:

  • Uruchomione: usługa czujnika jest uruchomiona

  • Uruchamianie: usługa czujnika jest uruchamiana

  • Wyłączone: usługa czujnika jest wyłączona

  • Zatrzymano: usługa czujnika jest zatrzymana

  • Nieznany: Czujnik jest odłączony lub nieosiągalny

• Stan czujnika: wyświetla ogólny stan czujnika. Możliwe wartości to:

  • Aktualne: czujnik uruchamia bieżącą wersję czujnika.

  • Nieaktualne: czujnik korzysta z wersji oprogramowania, która jest co najmniej trzy wersje za bieżącą wersją.

  • Aktualizowanie: Oprogramowanie czujnika jest aktualizowane.

  • Aktualizacja nie powiodła się: nie można zaktualizować czujnika do nowej wersji.

  • Nie skonfigurowano: czujnik wymaga większej konfiguracji, zanim będzie w pełni operacyjny. Dotyczy to czujników zainstalowanych na serwerach usług AD FS/AD CS lub czujnikach autonomicznych.

  • Uruchamianie nie powiodło się: czujnik nie ściągał konfiguracji przez więcej niż 30 minut.

  • Synchronizacja: czujnik ma oczekujące aktualizacje konfiguracji, ale nie ściągnął jeszcze nowej konfiguracji.

  • Odłączone: usługa Defender for Identity nie widziała żadnej komunikacji z tego czujnika w ciągu 10 minut.

  • Nieosiągalne: kontroler domeny został usunięty z usługi Active Directory. Jednak instalacja czujnika nie została odinstalowana i usunięta z kontrolera domeny przed jego likwidacją. Możesz bezpiecznie usunąć ten wpis.

• Wersja: wyświetla zainstalowaną wersję czujnika.

• Opóźniona aktualizacja: wyświetla stan mechanizmu opóźnionej aktualizacji czujnika. Możliwe wartości to:

  • Włączone

  • Wyłączona

• Stan kondycji: wyświetla ogólny stan kondycji czujnika z kolorową ikoną reprezentującą alert o kondycji o najwyższej ważności. Możliwe wartości to:

  • W dobrej kondycji (zielona ikona): Brak otwartych problemów ze zdrowiem

  • Nieprawidłowa kondycja (żółta ikona): problem z kondycją o najwyższej ważności jest niski

  • Nieprawidłowa kondycja (pomarańczowa ikona): Problem z kondycją o najwyższej ważności jest średni

  • Nieprawidłowa kondycja (czerwona ikona): problem z kondycją o najwyższej ważności jest wysoki

• Problemy z kondycją: wyświetla liczbę otwartych problemów z kondycją czujnika.

• Utworzono: wyświetla datę zainstalowania czujnika

Aktualizowanie czujników

Aktualizowanie czujników Microsoft Defender for Identity zapewnia najlepszą możliwą ochronę organizacji.

Usługa Microsoft Defender for Identity jest zwykle aktualizowana kilka razy w miesiącu o nowe funkcje, funkcje i ulepszenia wydajności. Zazwyczaj te aktualizacje obejmują odpowiednią niewielką aktualizację czujników. Pakiety aktualizacji czujników kontrolują tylko funkcje wykrywania czujników i czujników usługi Defender for Identity.

Typy aktualizacji czujnika usługi Defender for Identity

Czujniki usługi Defender for Identity obsługują dwa rodzaje aktualizacji:

• Aktualizacje wersji pomocniczych:

  • Częsty
  • Nie wymaga instalacji msi i żadnych zmian w rejestrze
  • Ponowne uruchomienie: usługi czujnika usługi Defender for Identity

• Aktualizacje wersji głównych:

  • Rzadki
  • Zawiera istotne zmiany
  • Ponowne uruchomienie: usługi czujnika usługi Defender for Identity

Uwaga

• Czujniki usługi Defender for Identity zawsze rezerwują co najmniej 15% dostępnej pamięci i procesora CPU dostępnego na kontrolerze domeny, na którym jest zainstalowany. Jeśli usługa Defender for Identity zużywa zbyt dużo pamięci, usługa zostanie automatycznie zatrzymana i ponownie uruchomiona przez usługę aktualizacji czujnika usługi Defender for Identity.

Opóźniona aktualizacja czujnika

Biorąc pod uwagę szybkość ciągłego opracowywania i wydawania aktualizacji usługi Defender for Identity, możesz zdecydować się na zdefiniowanie podzestawu czujników jako opóźnionego pierścienia aktualizacji, co pozwala na stopniowy proces aktualizacji czujnika. Usługa Defender for Identity umożliwia wybranie sposobu aktualizowania czujników i ustawianie każdego czujnika jako kandydata do aktualizacji opóźnionej .

Czujniki, które nie są wybierane do opóźnionej aktualizacji, są aktualizowane automatycznie przy każdej aktualizacji usługi Defender for Identity. Czujniki ustawione na Opóźnione aktualizowanie są aktualizowane z opóźnieniem wynoszącym 72 godziny po oficjalnej wersji każdej aktualizacji usługi.

Opcja opóźnionej aktualizacji umożliwia wybranie konkretnych czujników jako pierścienia automatycznej aktualizacji, na którym wszystkie aktualizacje są wdrażane automatycznie, i ustawienie pozostałych czujników do aktualizacji z opóźnieniem, co daje czas na potwierdzenie, że automatycznie zaktualizowane czujniki zakończyły się pomyślnie.

Uwaga

Jeśli wystąpi błąd, a czujnik nie zostanie zaktualizowany, otwórz bilet pomocy technicznej. Aby jeszcze bardziej wzmocnić zabezpieczenia serwera proxy w celu komunikowania się tylko z obszarem roboczym, zobacz Konfiguracja serwera proxy.

Uwierzytelnianie między czujnikami a usługą w chmurze platformy Azure korzysta z silnego, opartego na certyfikatach wzajemnego uwierzytelniania. Certyfikat klienta jest tworzony podczas instalacji czujnika jako certyfikat z podpisem własnym, ważny przez 2 lata. Usługa Sensor Updater jest odpowiedzialna za generowanie nowego certyfikatu z podpisem własnym przed wygaśnięciem istniejącego certyfikatu. Certyfikaty są wdrażane z dwufazowym procesem weryfikacji względem zaplecza, aby uniknąć sytuacji, w której certyfikat stopniowy przerywa uwierzytelnianie.

Każda aktualizacja jest testowana i weryfikowana we wszystkich obsługiwanych systemach operacyjnych, co ma minimalny wpływ na sieć i operacje.

Aby ustawić czujnik na opóźnione aktualizacje:

1. Na stronie Czujniki wybierz czujnik, który chcesz ustawić dla opóźnionych aktualizacji.

2. Wybierz przycisk Włączone opóźnione aktualizowanie .

   

3. W oknie potwierdzenia wybierz pozycję Włącz.

Aby wyłączyć opóźnione aktualizacje, wybierz czujnik, a następnie wybierz przycisk Wyłączona opóźniona aktualizacja .

Proces aktualizacji czujnika

Co kilka minut czujniki usługi Defender for Identity sprawdzają, czy mają najnowszą wersję. Po zaktualizowaniu usługi w chmurze Defender for Identity do nowszej wersji usługa czujnika Defender for Identity uruchamia proces aktualizacji:

1. Usługa Defender for Identity w chmurze aktualizuje najnowszą wersję.

2. Usługa updater czujnika usługi Defender for Identity dowiaduje się, że istnieje zaktualizowana wersja.

3. Czujniki, które nie mają ustawionej wartości Opóźniona aktualizacja , uruchamiają proces aktualizacji czujnika według czujnika:

   1. Usługa updater czujnika usługi Defender for Identity pobiera zaktualizowaną wersję z usługi w chmurze (w formacie pliku cab).
   2. Moduł aktualizujący czujnika usługi Defender for Identity weryfikuje podpis pliku.
   3. Usługa updater czujnika usługi Defender for Identity wyodrębnia plik cab do nowego folderu w folderze instalacyjnym czujnika. Domyślnie jest wyodrębniany do numeru> wersji C:\Program Files\Azure Advanced Threat Protection Sensor<
   4. Usługa czujnika defender for Identity wskazuje na nowe pliki wyodrębnione z pliku cab.
   5. Usługa updater czujnika usługi Defender for Identity ponownie uruchamia usługę czujnika usługi Defender for Identity.

      Uwaga

      Drobne aktualizacje czujników nie instalują tożsamości usługi zarządzanej, nie zmieniają żadnych wartości rejestru ani żadnych plików systemowych. Nawet oczekujące ponowne uruchomienie nie ma wpływu na aktualizację czujnika.

   6. Czujniki działają na podstawie nowo zaktualizowanej wersji.
   7. Czujnik odbiera zezwolenie z usługi w chmurze platformy Azure. Stan czujnika można sprawdzić na stronie Czujniki .
   8. Następny czujnik uruchamia proces aktualizacji.

4. Czujniki wybrane do opóźnionej aktualizacji rozpoczynają proces aktualizacji 72 godziny po zaktualizowaniu usługi Defender for Identity w chmurze. Czujniki te będą następnie używać tego samego procesu aktualizacji co automatycznie aktualizowane czujniki.

Dla każdego czujnika, który nie ukończy procesu aktualizacji, zostanie wyzwolony odpowiedni alert kondycji i zostanie wysłany jako powiadomienie.

Dyskretne aktualizowanie czujnika usługi Defender for Identity

Użyj następującego polecenia, aby dyskretnie zaktualizować czujnik usługi Defender for Identity:

Składnia:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Opcje instalacji:

Name (Nazwa)	Składnia	Obowiązkowe w przypadku instalacji dyskretnej?	Opis
Spokojny	/spokojny	Tak	Uruchamia instalatora bez interfejsu użytkownika i bez monitów.
Pomoc	/Pomoc	Nie	Zapewnia pomoc i szybkie informacje. Wyświetla poprawne użycie polecenia konfiguracji, w tym listę wszystkich opcji i zachowań.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Tak	Określa parametry instalacji programu .Net Framework. Należy ustawić, aby wymusić instalację dyskretną platformy .Net Framework.

Przykłady:

Aby dyskretnie zaktualizować czujnik usługi Defender for Identity:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Konfigurowanie ustawień serwera proxy

Zalecamy skonfigurowanie początkowych ustawień serwera proxy podczas instalacji przy użyciu przełączników wiersza polecenia. Jeśli chcesz później zaktualizować ustawienia serwera proxy, użyj interfejsu wiersza polecenia lub programu PowerShell.

Jeśli ustawienia serwera proxy zostały wcześniej skonfigurowane za pośrednictwem sieci WinINet lub klucza rejestru i trzeba je zaktualizować, należy użyć tej samej metody , która została pierwotnie użyta.

Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień serwera proxy punktu końcowego i łączności z Internetem.

Następne kroki

• Konfigurowanie przekazywania zdarzeń
• Wymagania wstępne usługi Defender for Identity
• Zapoznaj się z forum Usługi Defender for Identity!