設定適用於身分識別的 Microsoft Defender 感測器設定

在本文中，您將瞭解如何正確設定適用於身分識別的 Microsoft Defender 感測器設定，以開始查看數據。您必須執行其他設定和整合，以利用適用於身分識別的 Defender 的完整功能。

檢視和設定感測器設定

安裝適用於身分識別的 Defender 感測器之後，請執行下列動作來檢視和設定適用於身分識別的 Defender 感測器設定：

設定下列感測器詳細資料：

名稱	描述
描述	選用。輸入適用於身分識別的Defender感測器的描述。
域控制器 (FQDN)	適用於身分識別的 Defender 獨立感測器和安裝在 AD FS/ AD CS 伺服器上的感測器是必要的，而且無法修改適用於身分識別的 Defender 感測器。輸入域控制器的完整 FQDN，然後選取加號將其新增至清單。例如， DC1.domain1.test.local。針對您在網域控制器清單中定義的任何伺服器： - 所有由適用於身分識別的 Defender 獨立感測器透過埠鏡像監視流量的域控制器，都必須列在域控制器清單中。如果域控制器未列在域控制器清單中，則可疑活動的偵測可能無法如預期般運作。 - 清單中至少一個域控制器應該是全域編錄。這可讓適用於身分識別的Defender解析樹系中其他網域中的電腦和用戶物件。
擷取網路適配器	此為必要動作。 - 針對適用於身分識別的 Defender 感測器，所有用於與組織中其他電腦通訊的網路適配器。 - 針對專用伺服器上適用於身分識別的 Defender 獨立感測器，選取設定為目的地鏡像埠的網路適配器。這些網路介面卡會接收鏡像的網域控制器流量。

使用下列程式來驗證適用於身分識別的Defender感測器安裝。

注意事項

如果您要安裝在 AD FS 或 AD CS 伺服器上，您將使用一組不同的驗證。如需詳細資訊，請參閱驗證 AD FS/AD CS 伺服器上的成功部署。

若要驗證適用於身分識別的Defender感測器是否已成功部署：

檢查您的感測器電腦上是否正在執行 Azure 進階威脅防護感測器 服務。儲存適用於身分識別的 Defender 感測器設定之後，可能需要幾秒鐘的時間，服務才會啟動。
如果服務未啟動，請檢閱預設%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs位於 的 Microsoft.Tri.sensor-Errors.log 檔案，其中 <sensor version> 是您部署的版本。

本節說明如何確認安全性警示是否如預期般觸發。

使用下列步驟中的範例時，請務必將和 contoso.azure 分別取代contosodc.contoso.azure為適用於身分識別的Defender感測器和功能變數名稱的 FQDN。

在已加入成員的裝置上，開啟命令提示字元並輸入 nslookup
輸入 server ，以及安裝適用於身分識別的 Defender 感測器之域控制器的 FQDN 或 IP 位址。例如：server contosodc.contoso.azure
輸入 ls -d contoso.azure
針對您想要測試的每個感測器重複上述兩個步驟。
存取您執行連線測試之計算機的裝置詳細數據頁面，例如從 [ 裝置 ] 頁面、搜尋裝置名稱，或從 Defender 入口網站的其他位置。
在 [裝置詳細數據] 索引標籤上，選取 [時程表 ] 索引標籤以檢視下列活動：
- 事件：對指定功能變數名稱執行的 DNS 查詢
- 動作類型 MdiDnsQuery

如果您要測試的域控制器或 AD FS/ AD CS 是您已部署的第一個感測器，請等候至少 15 分鐘，再驗證該域控制器的任何邏輯活動，讓資料庫後端完成初始微服務部署。

適用於身分識別的Defender版本會經常更新。在 [Microsoft Defender 全面偵測回應>> 設定身分識別] 頁面中檢查最新版本。

現在您已設定初始設定步驟，您可以設定更多設定。如需詳細資訊，請移至下列任何頁面：