配置Microsoft Defender for Identity传感器设置

本文介绍如何正确配置Microsoft Defender for Identity传感器设置以开始查看数据。需要执行其他配置和集成，以利用 Defender for Identity 的完整功能。

查看和配置传感器设置

安装 Defender for Identity 传感器后，执行以下操作以查看和配置 Defender for Identity 传感器设置：

配置以下传感器详细信息：

名称	说明
说明	可选。输入 Defender for Identity 传感器的说明。
域控制器 (FQDN)	对于安装在 AD FS/AD CS 服务器上的 Defender for Identity 独立传感器和传感器是必需的，并且不能修改 Defender for Identity 传感器。输入域控制器的完整 FQDN，然后选择加号将其添加到列表中。例如 DC1.domain1.test.local。对于在 “域控制器 ”列表中定义的任何服务器： - 必须在域控制器列表中列出通过 Defender for Identity 独立传感器通过端口镜像监视其流量的所有域控制器。如果域控制器未在 “域控制器 ”列表中列出，则可疑活动的检测可能无法按预期运行。 - 列表中至少有一个域控制器应为全局编录。这使 Defender for Identity 能够解析林中其他域中的计算机和用户对象。
捕获网络适配器	必填。 - 对于 Defender for Identity 传感器，用于与组织中的其他计算机通信的所有网络适配器。 - 对于专用服务器上的 Defender for Identity 独立传感器，请选择配置为目标镜像端口的网络适配器。这些网络适配器将接收镜像的域控制器流量。

使用以下过程验证 Defender for Identity 传感器的安装。

注意

如果要在 AD FS 或 AD CS 服务器上安装，将使用一组不同的验证。有关详细信息，请参阅验证 AD FS/AD CS 服务器上的成功部署。

若要验证是否已成功部署 Defender for Identity 传感器，请执行以下操作：

检查 Azure 高级威胁防护传感器 服务是否在传感器计算机上运行。保存 Defender for Identity 传感器设置后，服务可能需要几秒钟才能启动。
如果服务未启动，请查看 Microsoft.Tri.sensor-Errors.log 文件，该文件默认位于 %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs，其中 <sensor version> 是部署的版本。

本部分介绍如何验证是否按预期触发了安全警报。

使用以下步骤中的示例时，请确保将和 contoso.azure 分别替换为 contosodc.contoso.azure Defender for Identity 传感器和域名的 FQDN。

在已加入成员的设备上，打开命令提示符并输入 nslookup
输入 server 和安装 Defender for Identity 传感器的域控制器的 FQDN 或 IP 地址。例如：server contosodc.contoso.azure
输入 ls -d contoso.azure
对要测试的每个传感器重复上述两个步骤。
通过搜索设备名称或从 Defender 门户中的其他位置访问运行连接测试的计算机的设备详细信息页（例如，从“ 设备 ”页）。
在“设备详细信息”选项卡上，选择“ 时间线 ”选项卡以查看以下活动：
- 事件：对指定域名执行的 DNS 查询
- 操作类型 MdiDnsQuery

如果要测试的域控制器或 AD FS/AD CS 是已部署的第一个传感器，请至少等待 15 分钟，然后验证该域控制器的任何逻辑活动，从而允许数据库后端完成初始微服务部署。

Defender for Identity 版本经常更新。在“Microsoft Defender XDR设置标识>关于”>页中检查最新版本。

配置初始配置步骤后，可以配置更多设置。有关详细信息，请转到以下任一页面：