Настройка параметров датчика Microsoft Defender для удостоверений
Из этой статьи вы узнаете, как правильно настроить параметры датчика Microsoft Defender для удостоверений, чтобы начать просматривать данные. Вам потребуется выполнить дополнительную настройку и интеграцию, чтобы воспользоваться всеми возможностями Defender для удостоверений.
Просмотр и настройка параметров датчика
После установки датчика Defender для удостоверений выполните следующие действия, чтобы просмотреть и настроить параметры датчика Defender для удостоверений.
В Microsoft Defender XDR выберите Параметры>Датчики удостоверений>. Например:
На странице Датчики отображаются все датчики Defender для удостоверений со следующими сведениями для каждого датчика:
- Имя датчика
- Членство датчика в домене
- Номер версии датчика
- Следует ли отложить обновления
- Состояние службы датчика
- Состояние датчика
- Состояние работоспособности датчика
- Количество проблем работоспособности
- При создании датчика
Дополнительные сведения см. в разделе Сведения о датчике.
Выберите Фильтры , чтобы выбрать фильтры, которые нужно просмотреть. Например:
Используйте отображаемые фильтры, чтобы определить, какие датчики следует отображать. Например:
Выберите датчик, чтобы отобразить область сведений с дополнительными сведениями о датчике и его работоспособности. Например:
Прокрутите вниз и выберите Управление датчиком , чтобы отобразить панель, в которой можно настроить сведения о датчике. Например:
Настройте следующие сведения о датчике:
Имя Описание Описание Необязательный параметр. Введите описание датчика Defender для удостоверений. Контроллеры домена (полное доменное имя) Требуется для автономных датчиков и датчиков Defender для удостоверений, установленных на серверах AD FS и AD CS, и не может быть изменен для датчика Defender для удостоверений.
Введите полное полное доменное имя контроллера домена и выберите знак "плюс", чтобы добавить его в список. Например, DC1.domain1.test.local.
Для всех серверов, определяемых в списке контроллеров домена :
— Все контроллеры домена, трафик которых отслеживается с помощью зеркального отображения портов автономным датчиком Defender для удостоверений, должны быть перечислены в списке Контроллеры домена . Если контроллер домена не указан в списке Контроллеры домена , обнаружение подозрительных действий может работать не так, как ожидалось.
— По крайней мере один контроллер домена в списке должен быть глобальным каталогом. Это позволяет Defender для удостоверений разрешать объекты компьютеров и пользователей в других доменах в лесу.Запись сетевых адаптеров Обязательно.
— Для датчиков Defender для удостоверений — все сетевые адаптеры, которые используются для связи с другими компьютерами в вашей организации.
— Для автономного датчика Defender для удостоверений на выделенном сервере выберите сетевые адаптеры, настроенные в качестве конечного порта зеркало. Такие сетевые адаптеры получают зеркальный трафик контроллера домена.На странице Датчики выберите Экспорт , чтобы экспортировать список датчиков в файл.csv . Например:
Проверка установок
Используйте следующие процедуры для проверки установки датчика Defender для удостоверений.
Примечание.
При установке на сервере AD FS или AD CS вы будете использовать другой набор проверок. Дополнительные сведения см. в разделе Проверка успешного развертывания на серверах AD FS или AD CS.
Проверка успешного развертывания
Чтобы убедиться, что датчик Defender для удостоверений успешно развернут, выполните следующие действия:
Убедитесь, что служба датчика Расширенной защиты от угроз Azure запущена на компьютере с датчиком. После сохранения параметров датчика Defender для удостоверений может потребоваться несколько секунд для запуска службы.
Если служба не запускается, просмотрите файл Microsoft.Tri.sensor-Errors.log , расположенный по умолчанию в
%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, где<sensor version>— развернутая версия.
Проверка функциональности оповещений системы безопасности
В этом разделе описывается, как проверить, активируются ли оповещения системы безопасности должным образом.
При использовании примеров в следующих шагах обязательно замените contosodc.contoso.azure и contoso.azure полным доменным именем датчика Defender для удостоверений и доменного имени соответственно.
На устройстве, присоединенном к участнику, откройте командную строку и введите
nslookupВведите
serverполное доменное имя или IP-адрес контроллера домена, на котором установлен датчик Defender для удостоверений. Пример:server contosodc.contoso.azureВведите
ls -d contoso.azureПовторите предыдущие два шага для каждого датчика, который требуется протестировать.
Перейдите на страницу сведений об устройстве для компьютера, с которым вы выполнили тест подключения, например на странице Устройства , найдите имя устройства или из другого места на портале Defender.
На вкладке Сведения об устройстве выберите вкладку Временная шкала , чтобы просмотреть следующие действия:
- События: запросы DNS, выполняемые к указанному доменному имени
- Тип действия MdiDnsQuery
Если контроллер домена или AD FS/AD CS, который вы тестируете, является первым развернутым датчиком, подождите по крайней мере 15 минут, прежде чем проверять любое логическое действие для этого контроллера домена, что позволит серверной части базы данных завершить начальные развертывания микрослужб.
Проверка последней доступной версии датчика
Версия Defender для удостоверений часто обновляется. Проверьте последнюю версию на странице Microsoft Defender XDR Параметры>Удостоверенияо программе>.
Связанные материалы
Теперь, когда вы настроили начальные шаги настройки, можно настроить дополнительные параметры. Дополнительные сведения см. на любой из приведенных ниже страниц:
- Настройка тегов сущностей: конфиденциальной, honeytoken и Exchange Server
- Настройка исключений обнаружения
- Настройка уведомлений: проблемы работоспособности, оповещения и системный журнал