Управление и обновление датчиков Microsoft Defender для удостоверений

В этой статье объясняется, как настроить датчики Microsoft Defender для удостоверений в Microsoft Defender XDR и управлять ими.

Просмотр параметров и состояния датчика Defender для удостоверений

1. В Microsoft Defender XDR перейдите в раздел Параметры, а затем — Удостоверения.

   

2. Выберите страницу Датчики , на которой отображаются все датчики Defender для удостоверений. Для каждого датчика вы увидите его имя, его членство в домене, номер версии, если обновления должны быть отложены, состояние службы, состояние датчика, состояние работоспособности, количество проблем со работоспособностью и время создания датчика. Дополнительные сведения о каждом столбце см. в разделе Сведения о датчике.

   

3. Выбрав Фильтры, вы можете выбрать, какие фильтры будут доступны. Затем с помощью каждого фильтра можно выбрать датчики для отображения.

   

   

4. Если выбрать один из датчиков, появится панель со сведениями о датчике и его работоспособности.

   

5. Если вы выберете любую из проблем работоспособности, вы получите панель с дополнительными сведениями о них. Если вы выбрали закрытую проблему, ее можно открыть здесь.

   

6. Если выбрать Управление датчиком, откроется панель, где можно настроить сведения о датчике.

   

   

7. На странице Датчики список датчиков можно экспортировать в файл .csv, выбрав Экспорт.

   

Сведения о датчике

На странице датчиков содержатся следующие сведения о каждом датчике:

• Датчик: отображает имя компьютера NetBIOS датчика.

• Тип: отображает тип датчика. Возможные значения:

  • Датчик контроллера домена

  • Датчик AD FS (службы федерации Active Directory (AD FS))

  • Автономный датчик

  • Датчик ADCS (службы сертификатов Active Directory). Если датчик установлен на сервере контроллера домена с настроенным ad CS, например в среде тестирования, тип датчика отображается как датчик контроллера домена .

• Домен. Отображает полное доменное имя домена Active Directory, в котором установлен датчик.

• Состояние службы. Отображает состояние службы датчика на сервере. Возможные значения:

  • Выполняется: служба датчика запущена

  • Запуск: служба датчика запускается

  • Отключено: служба датчика отключена

  • Остановлено: служба датчика остановлена

  • Неизвестно: датчик отключен или недостижим

• Состояние датчика. Отображает общее состояние датчика. Возможные значения:

  • Актуальные сведения: датчик работает под управлением текущей версии датчика.

  • Устаревшее: датчик работает с версией программного обеспечения, которая не менее трех версий за текущей версией.

  • Обновление: программное обеспечение датчика обновляется.

  • Сбой обновления: датчику не удалось обновиться до новой версии.

  • Не настроено. Датчику требуется дополнительная настройка, прежде чем он будет полностью работать. Это относится к датчикам, установленным на серверах AD FS/ AD CS или автономных датчиках.

  • Не удалось запустить. Датчик не вытягивал конфигурацию более 30 минут.

  • Синхронизация. В датчике ожидаются обновления конфигурации, но он еще не извлек новую конфигурацию.

  • Отключено: служба Defender для удостоверений не видела никаких сообщений от этого датчика в течение 10 минут.

  • Недоступно: контроллер домена был удален из Active Directory. Однако установка датчика не была удалена и удалена с контроллера домена до его списания. Вы можете безопасно удалить эту запись.

• Версия: отображает установленную версию датчика.

• Отложенное обновление. Отображает состояние механизма отложенного обновления датчика. Возможные значения:

  • Включено

  • Отключено

• Состояние работоспособности. Отображает общее состояние работоспособности датчика с цветным значком, представляющим оповещение о работоспособности с наивысшей степенью серьезности. Возможные значения:

  • Работоспособность (зеленый значок): нет открытых проблем со работоспособностью

  • Неработоспособен (желтый значок): проблема работоспособности с наивысшей степенью серьезности — низкая

  • Неработоспособен (оранжевый значок): проблема работоспособности с наивысшей степенью серьезности — средняя

  • Неработоспособен (красный значок): самая высокая степень серьезности открытой проблемы с работоспособностью

• Проблемы со работоспособностью. Отображает количество открытых проблем работоспособности на датчике.

• Создано: отображает дату установки датчика.

Обновление датчиков

Поддержание Microsoft Defender для удостоверений датчиков в актуальном состоянии обеспечивает наилучшую защиту для вашей организации.

Служба Microsoft Defender для удостоверений обычно обновляется несколько раз в месяц с новыми обнаружениями, функциями и улучшениями производительности. Обычно эти обновления включают в себя соответствующее незначительное обновление датчиков. Пакеты обновления датчиков управляют только возможностями датчика Defender для удостоверений и обнаружения датчиков.

Типы обновления датчиков Defender для удостоверений

Датчики Defender для удостоверений поддерживают два типа обновлений:

• Обновления дополнительных версий:

  • Частый
  • Не требует установки MSI и изменений реестра
  • Перезапуск: службы датчиков Defender для удостоверений

• Основные обновления версий:

  • Редкий
  • Содержит значительные изменения
  • Перезапуск: службы датчиков Defender для удостоверений

Примечание.

• Датчики Defender для удостоверений всегда резервировать не менее 15 % доступной памяти и ЦП на контроллере домена, где он установлен. Если служба Defender для удостоверений потребляет слишком много памяти, служба автоматически останавливается и перезапускается службой обновления датчика Defender для удостоверений.

Отложенное обновление датчика

Учитывая быструю скорость разработки и выпуска обновлений Defender для удостоверений, вы можете определить подмножество датчиков как круг отложенного обновления, что позволяет постепенно обновлять датчики. Defender для удостоверений позволяет выбрать способ обновления датчиков и настроить каждый датчик в качестве кандидата на отложенное обновление .

Датчики, не выбранные для отложенного обновления, обновляются автоматически при каждом обновлении службы Defender для удостоверений. Датчики, для которых задано значение Отложенное обновление , обновляются с задержкой в 72 часа после официального выпуска каждого обновления службы.

Параметр отложенного обновления позволяет выбрать определенные датчики в качестве круга автоматического обновления, на котором все обновления развертываются автоматически, и настроить остальные датчики для обновления с задержкой, что дает вам время для подтверждения успешности автоматического обновления датчиков.

Примечание.

Если возникает ошибка и датчик не обновляется, откройте запрос в службу поддержки. Дополнительные сведения о том, что прокси-сервер будет взаимодействовать только с рабочей областью, см. в разделе Конфигурация прокси-сервера.

Проверка подлинности между датчиками и облачной службой Azure использует надежную взаимную проверку подлинности на основе сертификатов. Сертификат клиента создается при установке датчика как самозаверяющий сертификат, действительный в течение 2 лет. Служба Sensor Updater отвечает за создание нового самозаверяющего сертификата до истечения срока действия существующего сертификата. Сертификаты сверты с двухэтапной проверкой на серверной части, чтобы избежать ситуации, когда последовательный сертификат нарушает проверку подлинности.

Каждое обновление тестируется и проверяется во всех поддерживаемых операционных системах, чтобы обеспечить минимальное влияние на сеть и операции.

Чтобы настроить отложенное обновление датчика, выполните следующие действия.

1. На странице Датчики выберите датчик, который нужно настроить для отложенных обновлений.

2. Нажмите кнопку Включено отложенное обновление .

   

3. В окне подтверждения выберите Включить.

Чтобы отключить отложенные обновления, выберите датчик и нажмите кнопку Отключено отложенное обновление .

Процесс обновления датчика

Каждые несколько минут датчики Defender для удостоверений проверка, имеют ли они последнюю версию. После обновления облачной службы Defender для удостоверений до более новой версии служба датчика Defender для удостоверений запускает процесс обновления:

1. Облачная служба Defender для удостоверений обновляется до последней версии.

2. Служба обновления датчика Defender для удостоверений узнает, что существует обновленная версия.

3. Датчики, для которых не задано значение Отложенное обновление , запускают процесс обновления на основе датчика по датчику:

   1. Служба обновления датчика Defender для удостоверений извлекает обновленную версию из облачной службы (в формате CAB-файла).
   2. Средство обновления датчика Defender для удостоверений проверяет сигнатуру файла.
   3. Служба обновления датчика Defender для удостоверений извлекает CAB-файл в новую папку в папке установки датчика. По умолчанию он извлекается в C:\Program Files\Azure Advanced Threat Protection Sensor<number> version
   4. Служба датчика Defender для удостоверений указывает на новые файлы, извлеченные из CAB-файла.
   5. Служба обновления датчика Defender для удостоверений перезапускает службу датчика Defender для удостоверений.

      Примечание.

      Незначительные обновления датчика не устанавливаются без msi, не изменяются значения реестра или системные файлы. Даже ожидающий перезапуск не влияет на обновление датчика.

   6. Датчики работают на основе новой обновленной версии.
   7. Датчик получает разрешение из облачной службы Azure. Вы можете проверить состояние датчика на странице Датчики .
   8. Следующий датчик запускает процесс обновления.

4. Датчики, выбранные для отложенного обновления , начинают процесс обновления через 72 часа после обновления облачной службы Defender для удостоверений. Затем эти датчики будут использовать тот же процесс обновления, что и автоматически обновляемые датчики.

Для любого датчика, который не завершает процесс обновления, активируется соответствующее оповещение о работоспособности и отправляется в виде уведомления.

Автоматическое обновление датчика Defender для удостоверений

Используйте следующую команду, чтобы автоматически обновить датчик Defender для удостоверений:

Синтаксис:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Параметры установки:

Имя	Синтаксис	Обязательно для автоматической установки?	Описание
Тихий	/quiet	Да	Запускает установщик без отображения пользовательского интерфейса и запросов.
Справка	/Справка	Нет	Предоставляет справку и краткие справочные материалы. Отображает правильное использование команды установки, включая список всех параметров и поведения.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Да	Задает параметры для установки .NET Framework. Должен быть задан для принудительной автоматической установки .NET Framework.

Примеры:

Чтобы автоматически обновить датчик Defender для удостоверений, выполните следующие действия:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Настройка параметров прокси-сервера

Рекомендуется настраивать начальные параметры прокси-сервера во время установки с помощью параметров командной строки. Если вам потребуется обновить параметры прокси-сервера позже, используйте CLI или PowerShell.

Если вы ранее настроили параметры прокси-сервера с помощью WinINet или раздела реестра и необходимо обновить их, вам потребуется использовать тот же метод , который использовался изначально.

Дополнительные сведения см. в разделе Настройка параметров прокси-сервера конечной точки и подключения к Интернету.

Дальнейшие действия

• Настройка пересылки событий
• Предварительные требования к Defender для удостоверений
• Посетите форум Defender для удостоверений!