通过

管理和更新 Microsoft Defender for Identity 传感器

  • 项目

本文介绍了如何在 Microsoft Defender XDR 中配置和管理 Microsoft Defender for Identity 传感器。

查看 Defender for Identity 传感器设置和状态

  1. Microsoft Defender XDR 中,依次转至设置标识

    转到“设置”,然后选择“标识”。

  2. 选择“传感器”页面,其中显示了所有 Defender for Identity 传感器。 对于每个传感器,你将看到其名称、其域成员身份、版本号、是否应延迟更新、服务状态、传感器状态、运行状况状态、运行状况问题数量以及创建传感器的时间。 关于每个列的详细信息,请参阅传感器详细信息

    “传感器”页面。

  3. 如果选择“筛选器”,则可以选择出可用的筛选器。 然后,通过每个筛选器,选择要显示的传感器。

    传感器筛选器。

    筛选的传感器。

  4. 如果选择其中一个传感器,则会显示一个窗格,其中包含有关传感器及其运行状况的信息。

    传感器详细信息。

  5. 如果选择了任何一个运行状况问题,将出现一个窗格,其中包含这些问题的更多详细信息。 如果选择一个已解决的问题,可以从此处重新打开该问题。

    问题详细信息。

  6. 如果选择“管理传感器”,则会打开一个窗格,可在其中配置传感器详细信息。

    管理传感器。

    配置传感器详细信息。

  7. 在“传感器”页面上,可选择“导出”将传感器列表导出到 .csv 文件。

    导出传感器列表。

传感器详细信息

传感器页面中提供了有关每个传感器的以下信息:

  • 传感器:显示传感器的 NetBIOS 计算机名称。

  • 类型:显示传感器的类型。 可能的值为:

    • 域控制器传感器

    • AD FS 传感器(Active Directory 联合身份验证服务)

    • 独立传感器

    • ADCS 传感器(Active Directory 证书服务)。 如果传感器安装在配置了 AD CS 的域控制器服务器上(例如在测试环境中),则传感器类型将显示为“域控制器传感器”。

  • :显示安装传感器的 Active Directory 域的完全限定域名。

  • 服务状态:显示服务器上的传感器服务的状态。 可能的值为:

    • 正在运行:传感器服务正在运行

    • 正在启动:传感器服务正在启动

    • 已禁用:传感器服务已禁用

    • 已停止:传感器服务已停止

    • 未知:传感器已断开连接或无法访问

  • 传感器状态:显示传感器的总体状态。 可能的值为:

    • 最新:传感器正在运行当前版本的传感器。

    • 过时:传感器正在运行的软件版本至少落后于当前版本三个版本。

    • 正在更新:传感器软件正在更新。

    • 更新失败:传感器未能更新到新版本。

    • 未配置:传感器需要更多配置才能完全投入使用。 这适用于安装在 AD FS/AD CS 服务器上的传感器或独立传感器。

    • 启动失败:传感器拉取配置的时间不超过 30 分钟。

    • 正在同步:传感器正在等待配置更新,但尚未拉取新配置。

    • 已断开连接:Defender for Identity 服务在 10 分钟内未收到来自该传感器的任何通信。

    • 无法访问:域控制器已从 Active Directory 中删除。 但是,在解除授权之前,既不会卸载传感器安装程序,也不会将其从域控制器中删除。 可以安全地删除此条目。

  • 版本:显示已安装的传感器版本。

  • 延迟更新:显示传感器的延迟更新机制状态。 可能的值为:

    • 已启用

    • 已禁用

  • 运行状况状态:显示传感器的总体运行状况状态,彩色图标代表最严重的运行状况警报。 可能的值为:

    • 正常(绿色图标):没有待解决的运行状况问题

    • 不正常(黄色图标):最严重的运行状况问题的程度级别为低

    • 不正常(橙色图标):最严重的运行状况问题的程度级别为中等

    • 不正常(红色图标):最严重的运行状况问题的程度级别为高

  • 运行状况问题:显示传感器上未解决的运行状况问题的数量。

  • 已创建:显示传感器的安装日期

更新传感器

确保 Microsoft Defender for Identity 传感器保持最新状态,为组织提供最佳保护。

Microsoft Defender for Identity 服务通常每月更新数次,并进行了新的检测、功能和性能改进。 通常,这些更新包括传感器的相应次要更新。通常情况下,这些更新包括传感器相应的次要更新。 传感器更新包仅控制 Defender for Identity 传感器和传感器检测功能。

Defender for Identity 传感器更新类型

Defender for Identity 传感器支持两类更新:

  • 次要版本更新:

    • 经常
    • 无需安装 MSI,也无需更改注册表
    • 已重启:Defender for Identity 传感器服务

  • 主要版本更新:

    • Rare
    • 包含重大更改
    • 已重启:Defender for Identity 传感器服务

注意

  • Defender for Identity 传感器始终在安装了该传感器的域控制器上预留至少 15%的可用内存和 CPU。 如果 Defender for Identity 服务占用过多的内存,则该服务会自动停止,并由 Defender for Identity 传感器更新程序服务重新启动。

传感器延迟更新

鉴于当前 Defender for Identity 开发和发布更新的速度很快,你可能会决定将传感器的子集组定义为延迟更新环,从而逐步完成传感器更新。 Defender for Identity 使你能够选择传感器的更新方式,并将每个传感器设置为延迟更新候选项。

每次更新 Defender for Identity 服务时,未选择延迟更新的传感器都会自动更新。 设置为延迟更新的传感器会在每次服务更新正式发布后延迟 72 小时更新。

通过延迟更新选项,选择特定的传感器作为自动更新通道,所有更新在该通道上都会自动进行,在该通道上自动推出所有更新,并将其余传感器设置为延迟更新,从而有时间确认自动更新的传感器是否成功。

注意

如果发生错误且传感器未更新,请开具支持票据。 若要进一步强化代理,使其只与工作区通信,请参阅代理配置

传感器与 Azure 云服务之间的身份验证使用基于证书的严格相互身份验证。 客户端证书是在安装传感器时创建的自签名证书,有效期为 2 年。 传感器更新程序服务负责在现有证书过期之前生成新的自签名证书。 滚动浏览证书时需要通过针对后端的两阶段式验证过程,以避免滚动浏览的证书会破坏身份验证的情况。

每次更新都会在所有支持的操作系统上进行测试和验证,以尽量减少对网络和操作的影响。

要将传感器设置为延迟更新:

  1. 在“传感器”页中,选择要设置为延迟更新的传感器。

  2. 选择“已启用延迟更新”按钮。

    启用延迟更新。

  3. 在确认窗口中选择“启用”。

若要禁用延迟更新,请选择相应传感器,然后选择“已禁用延迟更新”按钮。

传感器更新流程

Defender for Identity 传感器每隔几分钟就会检查它们是否具有最新版本。 将 Defender for Identity 云服务更新到较新版本后,Defender for Identity 传感器服务将启动更新流程:

  1. Defender for Identity 云服务更新到最新版本。

  2. Defender for Identity 传感器更新程序服务了解到有更新的版本。

  3. 未设置为延迟更新的传感器会逐个启动更新流程:

    1. Defender for Identity 传感器更新程序服务从云服务获取更新版本(采用 cab 文件格式)。
    2. Defender for Identity 传感器更新程序会验证文件签名。
    3. Defender for Identity 传感器更新程序服务将 cab 文件提取到传感器安装文件夹中的新文件夹内。 默认情况下,它会提取到 C:\Program Files\Azure Advanced Threat Protection Sensor<version number>
    4. Defender for Identity 传感器服务指向从 cab 文件中提取的新文件。
    5. Defender for Identity 传感器更新程序服务会重新启动 Defender for Identity 传感器服务。

      注意

      次要传感器更新不安装 MSI、不更改注册表值或任何系统文件。 即使等待重启也不会影响传感器更新。

    6. 传感器根据最新更新的版本运行。
    7. 传感器从 Azure 云服务接收许可。 可在“传感器”页中验证传感器状态。
    8. 下一个传感器会启动更新过程。

  4. 选择延迟更新的传感器会在 Defender for Identity 云服务更新 72 小时后开始更新过程。 然后,这些传感器将使用与自动更新传感器相同的更新流程。

对于任何未能完成更新流程的传感器,都会触发相关的运行状况警报,并作为通知发送。

传感器更新失败。

以无提示方式更新 Defender for Identity 传感器

使用如下命令无提示更新 Defender for Identity 传感器:

语法:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

安装选项

名称 语法 是否是无提示安装所必需的? 说明
无提示 /quiet 在不显示 UI 且无提示的情况下运行安装程序。
帮助 /help 提供帮助和快速引用。 显示安装命令的正确使用方法,包括一个显示全部选项和行为的列表。
NetFrameworkCommandLineArguments=“/q” NetFrameworkCommandLineArguments=“/q” 指定 .Net Framework 安装的参数。 必须设置为强制进行 .Net Framework 无提示安装。

示例:

若要以无提示方式更新 Defender for Identity 传感器,请执行以下操作:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

配置代理设置

我们建议在安装过程中使用命令行开关配置初始代理设置。 如果稍后需要更新代理设置,请使用 CLIPowerShell

如果以前通过 WinINet 或注册表项配置了代理设置,并且需要更新,则需要使用最初使用的相同方法

有关详细信息,请参阅配置端点代理和 Internet 连接设置

后续步骤