通过

管理和更新Microsoft Defender for Identity传感器

  • 项目

本文介绍如何在 Microsoft Defender XDR 中配置和管理Microsoft Defender for Identity传感器。

查看 Defender for Identity 传感器设置和状态

  1. Microsoft Defender XDR中,依次转到“设置”和“标识”。

    依次转到“设置”和“标识”。

  2. 选择“ 传感器 ”页,其中显示所有 Defender for Identity 传感器。 对于每个传感器,你将看到其名称、域成员身份、版本号、更新是否应延迟、服务状态、传感器状态、运行状况、运行状况问题数以及创建传感器的时间。 有关每列的详细信息,请参阅 传感器详细信息

    传感器页。

  3. 如果选择“ 筛选器”,则可以选择可用的筛选器。 然后,通过每个筛选器,你可以选择要显示的传感器。

    传感器筛选器。

    已筛选的传感器。

  4. 如果选择其中一个传感器,将显示一个窗格,其中包含有关传感器及其运行状况状态的信息。

    传感器详细信息。

  5. 如果选择任何运行状况问题,你将看到一个窗格,其中包含有关这些问题的更多详细信息。 如果选择已关闭的问题,可以从此处重新打开它。

    问题详细信息。

  6. 如果选择“ 管理传感器”,则会打开一个窗格,可在其中配置传感器详细信息。

    管理传感器。

    配置传感器详细信息。

  7. “传感器 ”页中,可以通过选择“ 导出”将传感器列表导出到 .csv 文件。

    导出传感器列表。

传感器详细信息

“传感器”页提供有关每个传感器的以下信息:

  • 传感器:显示传感器的 NetBIOS 计算机名称。

  • 类型:显示传感器的类型。 可能的值是:

    • 域控制器传感器

    • AD FS 传感器 (Active Directory 联合身份验证服务)

    • 独立传感器

    • ADCS 传感器 (Active Directory 证书服务) 。 如果传感器安装在配置了 AD CS 的域控制器服务器上(例如在测试环境中),则传感器类型将改为显示为 域控制器传感器

  • :显示安装了传感器的 Active Directory 域的完全限定域名。

  • 服务状态:显示服务器上传感器服务的状态。 可能的值是:

    • 正在运行:传感器服务正在运行

    • 正在启动:传感器服务正在启动

    • 已禁用:传感器服务已禁用

    • 已停止:传感器服务已停止

    • 未知:传感器断开连接或无法访问

  • 传感器状态:显示传感器的整体状态。 可能的值是:

    • 最新:传感器运行的是传感器的当前版本。

    • 已过时:传感器运行的软件版本至少落后当前版本三个版本。

    • 正在更新:传感器软件正在更新。

    • 更新失败:传感器无法更新到新版本。

    • 未配置:传感器在完全运行之前需要进行更多配置。 这适用于安装在 AD FS/AD CS 服务器或独立传感器上的传感器。

    • 启动失败:传感器未拉取配置超过 30 分钟。

    • 正在同步:传感器的配置更新挂起,但尚未拉取新配置。

    • 已断开连接:Defender for Identity 服务在 10 分钟内未看到来自此传感器的任何通信。

    • 无法访问:域控制器已从 Active Directory 中删除。 但是,在解除授权之前,传感器安装未卸载并从域控制器中删除。 可以安全地删除此项。

  • 版本:显示已安装的传感器版本。

  • 延迟更新:显示传感器的延迟更新机制状态。 可能的值是:

    • 已启用

    • Disabled

  • 运行状况状态:使用表示最高严重性打开运行状况警报的彩色图标显示传感器的整体运行状况状态。 可能的值是:

    • 正常 (绿色图标) :无打开的运行状况问题

    • 不正常的 (黄色图标) :打开的运行状况问题的最高严重性较低

    • 运行状况不佳 (橙色图标) :打开的运行状况问题的最高严重性为中等

    • 不正常 (红色图标) :打开的运行状况问题的最高严重性为高

  • 运行状况问题:显示传感器上打开的运行状况问题计数。

  • 创建:显示传感器的安装日期

更新传感器

使Microsoft Defender for Identity传感器保持最新状态,为组织提供最佳保护。

Microsoft Defender for Identity服务通常每月更新几次,其中包含新的检测、功能和性能改进。 通常,这些更新包括传感器的相应次要更新。 传感器更新包仅控制 Defender for Identity 传感器和传感器检测功能。

Defender for Identity 传感器更新类型

Defender for Identity 传感器支持两种类型的更新:

  • 次要版本更新:

    • 频繁
    • 无需安装 MSI,也无需更改注册表
    • 已重启:Defender for Identity 传感器服务

  • 主要版本更新:

    • 罕见
    • 包含重大更改
    • 已重启:Defender for Identity 传感器服务

注意

  • Defender for Identity 传感器始终保留安装该传感器的域控制器上至少 15% 的可用内存和 CPU。 如果 Defender for Identity 服务消耗过多内存,则 Defender for Identity 传感器更新程序服务会自动停止并重启该服务。

延迟的传感器更新

鉴于 Defender for Identity 开发和发布更新的速度很快,你可能会决定将传感器的子集定义为延迟更新环,从而允许逐步进行传感器更新过程。 使用 Defender for Identity,你可以选择更新传感器的方式,并将每个传感器设置为 延迟更新 候选项。

每次更新 Defender for Identity 服务时,都会自动更新未选择延迟更新的传感器。 每个服务更新正式发布后,设置为 “延迟更新 ”的传感器会在延迟 72 小时后更新。

使用 延迟更新 选项,可以选择特定传感器作为自动更新通道,所有更新都会自动推出,并将其余传感器设置为延迟更新,从而有时间确认自动更新的传感器是否成功。

注意

如果发生错误且传感器未更新,请开具支持票证。 若要进一步强化代理以仅与工作区通信,请参阅 代理配置

传感器与 Azure 云服务之间的身份验证使用基于证书的强相互身份验证。 客户端证书在传感器安装时创建为自签名证书,有效期为 2 年。 传感器更新程序服务负责在现有证书过期之前生成新的自签名证书。 证书通过针对后端的 2 阶段验证过程进行滚动,以避免滚动证书中断身份验证的情况。

每个更新都会在所有受支持的操作系统上进行测试和验证,以尽量减少对网络和操作的影响。

若要将传感器设置为延迟更新,请执行以下操作:

  1. “传感器 ”页中,选择要为延迟更新设置的传感器。

  2. 选择 “启用延迟更新 ”按钮。

    启用延迟更新。

  3. 在确认窗口中,选择“ 启用”。

若要禁用延迟更新,请选择传感器,然后选择 “禁用延迟更新 ”按钮。

传感器更新过程

每隔几分钟,Defender for Identity 传感器检查它们是否具有最新版本。 Defender for Identity 云服务更新到较新版本后,Defender for Identity 传感器服务将启动更新过程:

  1. Defender for Identity 云服务更新到最新版本。

  2. Defender for Identity 传感器更新程序服务了解到有更新的版本。

  3. 未设置为 “延迟更新 ”的传感器按传感器启动传感器更新过程:

    1. Defender for Identity 传感器更新程序服务以 cab 文件格式) 从云服务 (拉取更新的版本。
    2. Defender for Identity 传感器更新程序验证文件签名。
    3. Defender for Identity 传感器更新程序服务将 cab 文件提取到传感器安装文件夹中的新文件夹。 默认情况下,它提取到 C:\Program Files\Azure 高级威胁防护传感器<版本号>
    4. Defender for Identity 传感器服务指向从 cab 文件提取的新文件。
    5. Defender for Identity 传感器更新程序服务重启 Defender for Identity 传感器服务。

      注意

      次要传感器更新不安装 MSI、不更改注册表值或任何系统文件。 即使是挂起的重启也不会影响传感器更新。

    6. 传感器基于最新更新的版本运行。
    7. 传感器接收来自 Azure 云服务的许可。 可以在“传感器”页中验证 传感器 状态。
    8. 下一个传感器启动更新过程。

  4. 选择“ 延迟更新” 的传感器在 Defender for Identity 云服务更新 72 小时后启动更新过程。 然后,这些传感器将使用与自动更新的传感器相同的更新过程。

对于无法完成更新过程的任何传感器,将触发相关的 运行状况警报 ,并作为通知发送。

传感器更新失败。

以无提示方式更新 Defender for Identity 传感器

使用以下命令以无提示方式更新 Defender for Identity 传感器:

语法

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

安装选项

名称 语法 对于无提示安装是必需的? 说明
安静 /quiet 运行安装程序,不显示 UI 和提示。
帮助 /帮助 提供帮助和快速参考。 显示安装程序命令的正确用法,包括所有选项和行为的列表。
NetFrameworkCommandLineArguments=“/q” NetFrameworkCommandLineArguments=“/q” 指定 .Net Framework 安装的参数。 必须设置为强制 .Net Framework 的无提示安装。

示例

以无提示方式更新 Defender for Identity 传感器:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

配置代理设置

建议在安装过程中 使用命令行开关配置初始代理设置。 如果需要稍后更新代理设置,请使用 CLIPowerShell

如果以前通过 WinINet 或注册表项配置了代理设置,并且需要更新它们,则需要使用最初使用的 相同方法

有关详细信息,请参阅 配置终结点代理和 Internet 连接设置

后续步骤