مشاركة عبر

إدارة أجهزة استشعار Microsoft Defender for Identity وتحديثها

  • مقالة

توضح هذه المقالة كيفية تكوين أجهزة استشعار Microsoft Defender for Identity وإدارتها في Microsoft Defender XDR.

عرض إعدادات أداة استشعار Defender for Identity وحالتها

  1. في Microsoft Defender XDR، انتقل إلى الإعدادات ثم الهويات.

    انتقل إلى الإعدادات، ثم الهويات.

  2. حدد صفحة Sensors ، التي تعرض جميع مستشعرات Defender for Identity. لكل مستشعر، سترى اسمه وعضويته في المجال ورقم الإصدار، وإذا كان يجب تأخير التحديثات، وحالة الخدمة، وحالة المستشعر، والحالة الصحية، وعدد المشكلات الصحية، ومتى تم إنشاء المستشعر. للحصول على تفاصيل حول كل عمود، راجع تفاصيل المستشعر.

    صفحة المستشعر.

  3. إذا حددت عوامل التصفية، يمكنك اختيار عوامل التصفية التي ستكون متوفرة. ثم مع كل عامل تصفية، يمكنك اختيار أجهزة الاستشعار التي تريد عرضها.

    عوامل تصفية أداة الاستشعار.

    أداة استشعار تمت تصفيتها.

  4. إذا حددت أحد أدوات الاستشعار، عرض جزء يحتوي على معلومات حول المستشعر وحالته الصحية.

    تفاصيل المستشعر.

  5. إذا حددت أيا من المشكلات الصحية، فستحصل على جزء يحتوي على مزيد من التفاصيل حولها. إذا اخترت مشكلة مغلقة، يمكنك إعادة فتحها من هنا.

    تفاصيل المشكلة.

  6. إذا حددت إدارة أداة الاستشعار، فتح جزء حيث يمكنك تكوين تفاصيل المستشعر.

    إدارة أداة الاستشعار.

    تكوين تفاصيل المستشعر.

  7. في صفحة Sensors ، يمكنك تصدير قائمة أدوات الاستشعار إلى ملف .csv عن طريق تحديد Export.

    تصدير قائمة أدوات الاستشعار.

تفاصيل المستشعر

توفر صفحة أدوات الاستشعار المعلومات التالية حول كل أداة استشعار:

  • أداة الاستشعار: يعرض اسم كمبيوتر NetBIOS الخاص بجهاز الاستشعار.

  • النوع: يعرض نوع المستشعر. القيم المحتملة هي:

    • مستشعر وحدة تحكم المجال

    • مستشعر AD FS (خدمات الأمان المشترك لـ Active Directory)

    • أداة استشعار مستقلة

    • مستشعر ADCS (خدمات شهادات Active Directory). إذا تم تثبيت أداة الاستشعار على خادم وحدة تحكم مجال مع تكوين AD CS، كما هو الحال في بيئة الاختبار، يتم عرض نوع المستشعر كمستشعر وحدة تحكم المجال بدلا من ذلك.

  • المجال: يعرض اسم المجال المؤهل بالكامل لمجال Active Directory حيث تم تثبيت أداة الاستشعار.

  • حالة الخدمة: تعرض حالة خدمة الاستشعار على الخادم. القيم المحتملة هي:

    • قيد التشغيل: خدمة أداة الاستشعار قيد التشغيل

    • البدء: تبدأ خدمة أداة الاستشعار

    • معطل: تم تعطيل خدمة أداة الاستشعار

    • متوقف: تم إيقاف خدمة أداة الاستشعار

    • غير معروف: أداة الاستشعار غير متصلة أو لا يمكن الوصول إليها

  • حالة أداة الاستشعار: تعرض الحالة الإجمالية للمستشعر. القيم المحتملة هي:

    • محدث: تقوم أداة الاستشعار بتشغيل إصدار حالي من أداة الاستشعار.

    • قديم: تقوم أداة الاستشعار بتشغيل إصدار من البرنامج الذي يمثل ثلاثة إصدارات على الأقل خلف الإصدار الحالي.

    • التحديث: يتم تحديث برنامج الاستشعار.

    • فشل التحديث: فشل المستشعر في التحديث إلى إصدار جديد.

    • غير مكون: يتطلب المستشعر المزيد من التكوين قبل تشغيله بالكامل. ينطبق هذا على أدوات الاستشعار المثبتة على خوادم AD FS / AD CS أو أجهزة الاستشعار المستقلة.

    • فشل البدء: لم يسحب المستشعر التكوين لأكثر من 30 دقيقة.

    • المزامنة: يحتوي المستشعر على تحديثات تكوين معلقة، ولكنه لم يسحب التكوين الجديد بعد.

    • غير متصل: لم تشهد خدمة Defender for Identity أي اتصال من هذا المستشعر في 10 دقائق.

    • لا يمكن الوصول إليها: تم حذف وحدة التحكم بالمجال من Active Directory. ومع ذلك، لم يتم إلغاء تثبيت المستشعر وإزالته من وحدة التحكم بالمجال قبل إيقاف تشغيله. يمكنك حذف هذا الإدخال بأمان.

  • الإصدار: يعرض إصدار المستشعر المثبت.

  • التحديث المتأخر: يعرض حالة آلية التحديث المتأخرة للمستشعر. القيم المحتملة هي:

    • تمكين

    • ذوي الاحتياجات الخاصه

  • الحالة الصحية: يعرض الحالة الصحية العامة للمستشعر مع أيقونة ملونة تمثل أعلى درجة من الخطورة للتنبيه الصحي المفتوح. القيم المحتملة هي:

    • صحي (أيقونة خضراء): لا توجد مشكلات صحية مفتوحة

    • غير سليم (أيقونة صفراء): أعلى خطورة فتح مشكلة الصحة منخفضة

    • غير سليم (أيقونة برتقالية): أعلى خطورة فتح مشكلة الصحة متوسطة

    • غير سليم (أيقونة حمراء): أعلى خطورة فتح مشكلة الصحة عالية

  • مشكلات الصحة: يعرض عدد المشكلات الصحية المفتوحة على أداة الاستشعار.

  • تم الإنشاء: يعرض تاريخ تثبيت أداة الاستشعار

تحديث أدوات الاستشعار الخاصة بك

الحفاظ على تحديث أجهزة الاستشعار Microsoft Defender for Identity، يوفر أفضل حماية ممكنة لمؤسستك.

يتم تحديث خدمة Microsoft Defender for Identity عادة عدة مرات في الشهر مع اكتشافات وميزات وتحسينات أداء جديدة. عادة ما تتضمن هذه التحديثات تحديثا ثانويا مطابقا لأجهزة الاستشعار. تتحكم حزم تحديث المستشعر فقط في مستشعر Defender for Identity وقدرات الكشف عن المستشعر.

أنواع تحديثات مستشعر Defender for Identity

تدعم مستشعرات Defender for Identity نوعين من التحديثات:

  • تحديثات الإصدار الثانوي:

    • مُتَكَرِّر
    • لا يتطلب تثبيت MSI، ولا توجد تغييرات في السجل
    • تمت إعادة التشغيل: خدمات مستشعر Defender for Identity

  • تحديثات الإصدار الرئيسية:

    • نادر
    • يحتوي على تغييرات كبيرة
    • تمت إعادة التشغيل: خدمات مستشعر Defender for Identity

ملاحظة

  • تحتفظ مستشعرات Defender for Identity دائما بنسبة 15٪ على الأقل من الذاكرة المتوفرة ووحدة المعالجة المركزية المتوفرة على وحدة التحكم بالمجال حيث تم تثبيتها. إذا كانت خدمة Defender for Identity تستهلك الكثير من الذاكرة، يتم إيقاف الخدمة وإعادة تشغيلها تلقائيا بواسطة خدمة تحديث مستشعر Defender for Identity.

تحديث مستشعر متأخر

نظرا للسرعة السريعة لتطوير Defender for Identity المستمر وتحديثات الإصدار، قد تقرر تحديد مجموعة فرعية من أدوات الاستشعار الخاصة بك كحلقة تحديث متأخرة، ما يسمح بعملية تحديث مستشعر تدريجية. يمكنك Defender for Identity من اختيار كيفية تحديث أدوات الاستشعار الخاصة بك وتعيين كل أداة استشعار كمرشح تحديث متأخر .

يتم تحديث أدوات الاستشعار غير المحددة للتحديث المتأخر تلقائيا، في كل مرة يتم فيها تحديث خدمة Defender for Identity. يتم تحديث أدوات الاستشعار التي تم تعيينها إلى التحديث المتأخر على تأخير 72 ساعة، بعد الإصدار الرسمي لكل تحديث خدمة.

يتيح لك خيار التحديث المتأخر تحديد أجهزة استشعار معينة كحلقة تحديث تلقائية، يتم طرح جميع التحديثات عليها تلقائيا، وتعيين بقية أدوات الاستشعار الخاصة بك للتحديث عند التأخير، مما يمنحك الوقت للتأكد من نجاح أدوات الاستشعار المحدثة تلقائيا.

ملاحظة

إذا حدث خطأ ولم يتم تحديث أداة استشعار، فافتح تذكرة دعم. لمزيد من تقوية الوكيل للاتصال بمساحة العمل الخاصة بك فقط، راجع تكوين الوكيل.

تستخدم المصادقة بين أدوات الاستشعار وخدمة سحابة Azure مصادقة متبادلة قوية تستند إلى الشهادة. يتم إنشاء شهادة العميل عند تثبيت المستشعر كشهادة موقعة ذاتيا، صالحة لمدة عامين. خدمة Sensor Updater مسؤولة عن إنشاء شهادة موقعة ذاتيا جديدة قبل انتهاء صلاحية الشهادة الموجودة. يتم طرح الشهادات مع عملية تحقق من الصحة على مرحلتين مقابل الواجهة الخلفية لتجنب الموقف الذي تكسر فيه الشهادة المتداولة المصادقة.

يتم اختبار كل تحديث والتحقق من صحته على جميع أنظمة التشغيل المدعومة لإحداث الحد الأدنى من التأثير على شبكتك وعملياتك.

لتعيين أداة استشعار للتحديث المتأخر:

  1. في صفحة Sensors ، حدد أداة الاستشعار التي تريد تعيينها للتحديثات المتأخرة.

  2. حدد زر تمكين التحديث المتأخر .

    تمكين التحديث المتأخر.

  3. في نافذة التأكيد، حدد تمكين.

لتعطيل التحديثات المتأخرة، حدد أداة الاستشعار ثم حدد زر تعطيل التحديث المتأخر .

عملية تحديث أداة الاستشعار

كل بضع دقائق، تتحقق مستشعرات Defender for Identity مما إذا كان لديها أحدث إصدار. بعد تحديث خدمة سحابة Defender for Identity إلى إصدار أحدث، تبدأ خدمة استشعار Defender for Identity عملية التحديث:

  1. يتم تحديث خدمة Defender for Identity السحابية إلى أحدث إصدار.

  2. تعلم خدمة محدث مستشعر Defender for Identity أن هناك إصدارا محدثا.

  3. تبدأ أجهزة الاستشعار التي لم يتم تعيينها إلى التحديث المتأخر عملية التحديث على أداة استشعار حسب المستشعر:

    1. تسحب خدمة محدث مستشعر Defender for Identity الإصدار المحدث من الخدمة السحابية (بتنسيق ملف cab).
    2. يتحقق محدث مستشعر Defender for Identity من صحة توقيع الملف.
    3. تستخرج خدمة محدث مستشعر Defender for Identity ملف الكابينة إلى مجلد جديد في مجلد تثبيت المستشعر. بشكل افتراضي، يتم استخراجه إلى C:\Program Files\رقم> إصدار Azure Advanced Threat Protection Sensor<
    4. تشير خدمة مستشعر Defender for Identity إلى الملفات الجديدة المستخرجة من ملف cab.
    5. تقوم خدمة محدث مستشعر Defender for Identity بإعادة تشغيل خدمة أداة استشعار Defender for Identity.

      ملاحظة

      لا تقوم تحديثات المستشعر الثانوية بتثبيت MSI أو تغيير قيم التسجيل أو أي ملفات نظام. حتى إعادة التشغيل المعلقة لا تؤثر على تحديث أداة الاستشعار.

    6. تعمل أجهزة الاستشعار استنادا إلى الإصدار المحدث حديثا.
    7. يتلقى المستشعر تصريحا من خدمة سحابة Azure. يمكنك التحقق من حالة المستشعر في صفحة Sensors .
    8. يبدأ المستشعر التالي عملية التحديث.

  4. تبدأ أجهزة الاستشعار المحددة للتحديث المتأخر عملية التحديث الخاصة بها بعد 72 ساعة من تحديث خدمة سحابة Defender for Identity. ستستخدم أجهزة الاستشعار هذه بعد ذلك نفس عملية التحديث مثل أدوات الاستشعار المحدثة تلقائيا.

بالنسبة لأي أداة استشعار تفشل في إكمال عملية التحديث، يتم تشغيل تنبيه صحي ذي صلة، ويتم إرساله كإخطار.

فشل تحديث أداة الاستشعار.

تحديث مستشعر Defender for Identity بصمت

استخدم الأمر التالي لتحديث مستشعر Defender for Identity بصمت:

بناء الجملة:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

خيارات التثبيت:

الاسم إعراب إلزامي للتثبيت الصامت؟ الوصف
هدوء /هدوء نعم تشغيل المثبت الذي لا يعرض واجهة مستخدم ولا توجد مطالبات.
تعليمات /تعليمات لا يوفر التعليمات والمرجع السريع. يعرض الاستخدام الصحيح لأمر الإعداد بما في ذلك قائمة بجميع الخيارات والسلوكيات.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" نعم يحدد معلمات تثبيت .Net Framework. يجب تعيين لفرض التثبيت الصامت ل .Net Framework.

أمثلة:

لتحديث أداة استشعار Defender for Identity بصمت:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

تكوين إعدادات الوكيل

نوصي بتكوين إعدادات الوكيل الأولية أثناء التثبيت باستخدام مفاتيح سطر الأوامر. إذا كنت بحاجة إلى تحديث إعدادات الوكيل لاحقا، فاستخدم إما CLI أو PowerShell.

إذا قمت مسبقا بتكوين إعدادات الوكيل عبر WinINet أو مفتاح تسجيل وتحتاج إلى تحديثها، فستحتاج إلى استخدام نفس الطريقة التي استخدمتها في الأصل.

لمزيد من المعلومات، راجع تكوين إعدادات وكيل نقطة النهاية والاتصال بالإنترنت.

الخطوات التالية