共用方式為

管理及更新 適用於身分識別的 Microsoft Defender 感測器

  • 發行項

本文說明如何在 Microsoft Defender 全面偵測回應 中設定和管理 適用於身分識別的 Microsoft Defender 感測器。

檢視適用於身分識別的Defender感測器設定和狀態

  1. Microsoft Defender 全面偵測回應 中,移至 [設定],然後移至 [身分識別]

    移至 [設定],然後移至 [身分識別]。

  2. 選取 [感測器] 頁面,其會顯示所有適用於身分識別的Defender感測器。 針對每個感測器,您會看到其名稱、其網域成員資格、版本號碼、更新應該延遲、服務狀態、感測器狀態、健康情況狀態、健康情況問題數目,以及感測器建立的時間。 如需每個數據行的詳細資訊,請參閱 感測器詳細數據

    感測器頁面。

  3. 如果您選取 [篩選],您可以選擇哪些篩選條件可供使用。 然後使用每個篩選條件,您可以選擇要顯示的感測器。

    感測器篩選器。

    已篩選感測器。

  4. 如果您選取其中一個感測器,窗格會顯示感測器及其健康情況狀態的相關信息。

    感測器詳細數據。

  5. 如果您選取任何健康情況問題,您會看到一個窗格,其中包含更多相關詳細數據。 如果您選擇已關閉的問題,您可以從這裡重新開啟。

    問題詳細數據。

  6. 如果您選取 [管理感測器],則會開啟窗格,您可以在其中設定感測器詳細數據。

    管理感測器。

    設定感測器詳細數據。

  7. 在 [ 感測器] 頁面中, 您可以選取 [匯出],將感測器清單匯出至 .csv 檔案。

    匯出感測器清單。

感測器詳細數據

感測器頁面提供每個感測器的下列資訊:

  • 感測器:顯示感測器的 NetBIOS 計算機名稱。

  • 類型:顯示感測器的類型。 可能的值為:

    • 域控制器感測器

    • AD FS 感測器 (Active Directory 同盟服務)

    • 獨立感測器

    • ADCS 感測器 (Active Directory 憑證服務) 。 如果您的感測器安裝在已設定AD CS的域控制器伺服器上,例如在測試環境中,感測器類型會改為顯示為 域控制器感測器

  • 網域:顯示安裝感測器之 Active Directory 網域的完整功能變數名稱。

  • 服務狀態:顯示伺服器上感測器服務的狀態。 可能的值為:

    • 執行中:感測器服務正在執行

    • 啟動:感測器服務正在啟動

    • 已停用:感測器服務已停用

    • 已停止:感測器服務已停止

    • 未知:感測器已中斷連線或無法連線

  • 感測器狀態:顯示感測器的整體狀態。 可能的值為:

    • 最新:感測器正在執行目前版本的感測器。

    • 已過期:感測器執行的軟體版本至少比目前版本后三個版本。

    • 更新:感測器軟體正在更新。

    • 更新失敗:感測器無法更新為新版本。

    • 未設定:感測器需要更多設定,才能完全運作。 這適用於安裝在AD FS/AD CS 伺服器或獨立感測器上的感測器。

    • 啟動失敗:感測器未提取設定超過 30 分鐘。

    • 同步處理:感測器有擱置中的組態更新,但尚未提取新的設定。

    • 已中斷連線:適用於身分識別的Defender服務在10分鐘內未看到來自此感測器的任何通訊。

    • 無法連線:域控制器已從 Active Directory 中刪除。 不過,感測器安裝不會在解除委任之前從域控制器卸載並移除。 您可以安全地刪除此專案。

  • 版本:顯示已安裝的感測器版本。

  • 延遲更新:顯示感測器的延遲更新機制狀態。 可能的值為:

    • Enabled

    • 停用

  • 健康情況狀態:顯示感測器的整體健康情況狀態,其色彩圖示代表最高嚴重性開啟健康情況警示。 可能的值為:

    • 健康 (綠色圖示) :沒有開啟的健康情況問題

    • (黃色圖示) 狀況不良 :開啟的最高嚴重性健康情況問題偏低

    • 不健康 (橙色圖示) :開啟的最高嚴重性健康情況問題為中度

    • (紅色圖示) 狀況不良 :開啟的最高嚴重性健康情況問題偏高

  • 健康情況問題:顯示感測器上已開啟的健康情況問題計數。

  • 建立日期:顯示感測器的安裝日期

更新感測器

將 適用於身分識別的 Microsoft Defender 感測器保持在最新狀態,可為您的組織提供最佳的可能保護。

適用於身分識別的 Microsoft Defender 服務通常一個月會更新幾次,並改善新的偵測、功能和效能。 這些更新通常包含對應的感測器次要更新。 感測器更新套件只會控制適用於身分識別的Defender感測器和感測器偵測功能。

適用於身分識別的 Defender 感測器更新類型

適用於身分識別的Defender感測器支援兩種更新:

  • 次要版本更新:

    • 頻繁
    • 不需要安裝 MSI,也不需要變更登錄
    • 重新啟動:適用於身分識別的Defender感測器服務

  • 主要版本更新:

    • 罕見
    • 包含重大變更
    • 重新啟動:適用於身分識別的Defender感測器服務

注意事項

  • 適用於身分識別的 Defender 感測器一律會在安裝它的域控制器上保留至少 15% 的可用記憶體和 CPU。 如果適用於身分識別的 Defender 服務耗用太多記憶體,適用於身分識別的 Defender 感測器更新程式服務會自動停止並重新啟動服務。

延遲的感測器更新

由於進行中適用於身分識別的 Defender 開發和發行更新的速度很快,您可以決定將感測器的子集群組定義為延遲的更新通道,以允許漸進式感測器更新程式。 適用於身分識別的 Defender 可讓您選擇感測器的更新方式,並將每個感測器設定為 延遲更新 候選專案。

每次更新適用於身分識別的 Defender 服務時,系統都會自動更新未選取延遲更新的感測器。 設定為 延遲更新 的感測器會在每次服務更新正式發行后,延遲 72 小時更新。

延遲的更新選項可讓您選取特定感測器作為自動更新通道,以自動推出所有更新,並將其餘感測器設定為延遲更新,讓您有時間確認自動更新的感測器成功。

注意事項

如果發生錯誤且感測器未更新,請開啟支援票證。 若要進一步強化您的 Proxy,只與您的工作區通訊,請參閱 Proxy 設定

感測器與 Azure 雲端服務之間的驗證會使用強式憑證式相互驗證。 客戶端憑證會在感測器安裝時建立為自我簽署憑證,有效期為 2 年。 感測器更新程式服務負責在現有憑證到期之前產生新的自我簽署憑證。 憑證會針對後端使用 2 階段驗證程式來復原,以避免滾動憑證中斷驗證的情況。

每個更新都會在所有支援的操作系統上進行測試和驗證,以對您的網路和作業造成最小的影響。

若要將感測器設定為延遲更新:

  1. 在 [ 感測器] 頁面中,選取您要為延遲更新設定的感測器。

  2. 取 [啟用延遲更新] 按鈕。

    啟用延遲更新。

  3. 在確認視窗中,選取 [ 啟用]

若要停用延遲的更新,請選取感測器,然後選取 [ 停用延遲更新] 按鈕。

感測器更新程式

每隔幾分鐘,適用於身分識別的Defender感測器就會檢查其是否具有最新版本。 在適用於身分識別的 Defender 雲端服務更新為較新版本之後,適用於身分識別的 Defender 感測器服務會啟動更新程式:

  1. 適用於身分識別的Defender雲端服務會更新為最新版本。

  2. 適用於身分識別的 Defender 感測器更新程式服務會瞭解有更新的版本。

  3. 未設定為 [延遲更新 ] 的感測器會依據感測器在感測器上啟動更新程式:

    1. 適用於身分識別的 Defender 感測器更新程式服務會從雲端服務提取更新版本, (cab 檔格式) 。
    2. 適用於身分識別的 Defender 感測器更新程式會驗證檔案簽章。
    3. 適用於身分識別的 Defender 感測器更新程式服務會將 cab 檔案解壓縮到感測器安裝資料夾中的新資料夾。 根據預設,它會擷取至 C:\Program Files\Azure 進階威脅防護感測器<版本號碼>
    4. 適用於身分識別的 Defender 感測器服務會指向從 cab 檔案擷取的新檔案。
    5. 適用於身分識別的 Defender 感測器更新程式服務會重新啟動適用於身分識別的 Defender 感測器服務。

      注意事項

      次要感測器更新不會安裝 MSI、不變更任何登錄值或任何系統檔案。 即使是擱置中的重新啟動也不會影響感測器更新。

    6. 感測器會根據新更新的版本執行。
    7. 感測器會從 Azure 雲端服務接收許可。 您可以在 [感測器 ] 頁面中 確認感測器狀態。
    8. 下一個感測器會啟動更新程式。

  4. 針對 延遲更新 選取的感測器會在適用於身分識別的Defender雲端服務更新72小時後開始其更新程式。 這些感測器接著會使用與自動更新感測器相同的更新程式。

對於無法完成更新程式的任何感測器,會觸發相關的 健康情況警示 ,並以通知傳送。

感測器更新失敗。

以無訊息方式更新適用於身分識別的Defender感測器

使用下列命令以無訊息方式更新適用於身分識別的 Defender 感測器:

語法

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

安裝選項

名稱 語法 無訊息安裝的必要專案? 描述
安靜 /quiet 執行不顯示任何 UI 且沒有提示的安裝程式。
說明 /幫助 提供說明和快速參考。 顯示安裝命令的正確使用方式,包括所有選項和行為的清單。
NetFrameworkCommandLineArguments=“/q” NetFrameworkCommandLineArguments=“/q” 指定 .Net Framework 安裝的參數。 必須設定 為強制執行 .Net Framework 的無提示安裝。

範例

若要以無訊息方式更新適用於身分識別的Defender感測器:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

設定 Proxy 設定

建議您在安裝期間 使用命令行參數來設定初始 Proxy 設定。 如果您稍後需要更新 Proxy 設定,請使用 CLIPowerShell

如果您先前已透過 WinINet 或登錄機碼來設定 Proxy 設定,而且需要加以更新,則必須使用原先使用的 相同方法

如需詳細資訊, 請參閱設定端點 Proxy 和因特網聯機設定

後續步驟