Verwalten und Aktualisieren von Microsoft Defender for Identity Sensoren
In diesem Artikel wird erläutert, wie Sie Microsoft Defender for Identity Sensoren in Microsoft Defender XDR konfigurieren und verwalten.
Anzeigen der Defender for Identity-Sensoreinstellungen und -status
Wechseln Sie Microsoft Defender XDR zu Einstellungen und dann Identitäten.
Wählen Sie die Seite Sensoren aus, auf der alle Defender for Identity-Sensoren angezeigt werden. Für jeden Sensor werden der Name, die Domänenmitgliedschaft, die Versionsnummer, wenn Updates verzögert werden sollen, der Dienst status, der sensor status, die Integrität status, die Anzahl der Integritätsprobleme und der Zeitpunkt der Sensorerstellung angezeigt. Ausführliche Informationen zu den einzelnen Spalten finden Sie unter Sensordetails.
Wenn Sie Filter auswählen, können Sie auswählen, welche Filter verfügbar sein sollen. Anschließend können Sie mit jedem Filter auswählen, welche Sensoren angezeigt werden sollen.
Wenn Sie einen der Sensoren auswählen, wird ein Bereich mit Informationen zum Sensor und dessen Integrität status angezeigt.
Wenn Sie eines der Integritätsprobleme auswählen, erhalten Sie einen Bereich mit weiteren Details dazu. Wenn Sie ein geschlossenes Problem auswählen, können Sie es hier erneut öffnen.
Wenn Sie Sensor verwalten auswählen, wird ein Bereich geöffnet, in dem Sie die Sensordetails konfigurieren können.
Auf der Seite Sensoren können Sie Ihre Liste der Sensoren in eine .csv-Datei exportieren, indem Sie Exportieren auswählen.
Sensordetails
Die Seite "Sensoren" enthält die folgenden Informationen zu den einzelnen Sensoren:
Sensor: Zeigt den NetBIOS-Computernamen des Sensors an.
Typ: Zeigt den Typ des Sensors an. Die folgenden Werte sind möglich:
Domänencontrollersensor
AD FS-Sensor (Active Directory-Verbunddienste (AD FS))
Eigenständiger Sensor
ADCS-Sensor (Active Directory-Zertifikatdienste). Wenn Ihr Sensor auf einem Domänencontrollerserver installiert ist, auf dem AD CS konfiguriert ist, z. B. in einer Testumgebung, wird der Sensortyp stattdessen als Domänencontrollersensor angezeigt.
Domäne: Zeigt den vollqualifizierten Domänennamen der Active Directory-Domäne an, in der der Sensor installiert ist.
Dienststatus: Zeigt die status des Sensordiensts auf dem Server an. Die folgenden Werte sind möglich:
Wird ausgeführt: Der Sensordienst wird ausgeführt
Wird gestartet: Der Sensordienst wird gestartet
Deaktiviert: Sensordienst ist deaktiviert
Beendet: Der Sensordienst wurde beendet.
Unbekannt: Der Sensor ist getrennt oder nicht erreichbar.
Sensorstatus: Zeigt die gesamte status des Sensors an. Die folgenden Werte sind möglich:
Aktuell: Auf dem Sensor wird eine aktuelle Version des Sensors ausgeführt.
Veraltet: Der Sensor führt eine Version der Software aus, die mindestens drei Versionen hinter der aktuellen Version aufweist.
Aktualisieren: Die Sensorsoftware wird aktualisiert.
Fehler beim Aktualisieren: Der Sensor konnte nicht auf eine neue Version aktualisiert werden.
Nicht konfiguriert: Der Sensor erfordert mehr Konfiguration, bevor er vollständig betriebsbereit ist. Dies gilt für Sensoren, die auf AD FS-/AD CS-Servern oder eigenständigen Sensoren installiert sind.
Fehler beim Starten: Der Sensor hat die Konfiguration länger als 30 Minuten nicht pullt.
Synchronisierung: Für den Sensor stehen Konfigurationsupdates aus, die neue Konfiguration wurde jedoch noch nicht abgerufen.
Getrennt: Der Defender for Identity-Dienst hat in 10 Minuten keine Kommunikation von diesem Sensor gesehen.
Nicht erreichbar: Der Domänencontroller wurde aus Active Directory gelöscht. Die Sensorinstallation wurde jedoch nicht deinstalliert und vom Domänencontroller entfernt, bevor er außer Betrieb genommen wurde. Sie können diesen Eintrag sicher löschen.
Version: Zeigt die installierte Sensorversion an.
Verzögertes Update: Zeigt den Status des verzögerten Aktualisierungsmechanismus des Sensors an. Die folgenden Werte sind möglich:
Aktiviert
Deaktiviert
Integritäts-status: Zeigt die allgemeine status des Sensors mit einem farbigen Symbol an, das den höchsten Schweregrad der offenen Integritätswarnung darstellt. Die folgenden Werte sind möglich:
Fehlerfrei (grünes Symbol):Keine geöffneten Integritätsprobleme
Nicht fehlerfrei (gelbes Symbol):Der höchste Schweregrad des geöffneten Integritätsproblems ist niedrig.
Nicht fehlerfrei (orangefarbenes Symbol): Der höchste Schweregrad des geöffneten Integritätsproblems ist mittel
Nicht fehlerfrei (rotes Symbol): Der höchste Schweregrad des geöffneten Integritätsproblems ist hoch
Integritätsprobleme: Zeigt die Anzahl der geöffneten Integritätsprobleme auf dem Sensor an.
Erstellt: Zeigt das Datum an, an dem der Sensor installiert wurde.
Aktualisieren Ihrer Sensoren
Wenn Sie Ihre Microsoft Defender for Identity Sensoren auf dem neuesten Stand halten, bieten Sie den bestmöglichen Schutz für Ihre organization.
Der Microsoft Defender for Identity-Dienst wird in der Regel einige Male im Monat mit neuen Erkennungen, Features und Leistungsverbesserungen aktualisiert. Normalerweise umfassen diese Updates ein entsprechendes kleineres Update für die Sensoren. Sensorupdatepakete steuern nur die Sensor- und Sensorerkennungsfunktionen von Defender for Identity.
Updatetypen des Defender for Identity-Sensors
Defender for Identity-Sensoren unterstützen zwei Arten von Updates:
Nebenversionsupdates:
- Häufig
- Erfordert keine MSI-Installation und keine Registrierungsänderungen
- Neu gestartet: Defender for Identity-Sensordienste
Hauptversionsupdates:
- Selten
- Enthält wichtige Änderungen
- Neu gestartet: Defender for Identity-Sensordienste
Hinweis
- Defender for Identity-Sensoren reservieren immer mindestens 15 % des verfügbaren Arbeitsspeichers und der CPU, die auf dem Domänencontroller verfügbar sind, auf dem sie installiert sind. Wenn der Defender for Identity-Dienst zu viel Arbeitsspeicher belegt, wird der Dienst automatisch beendet und vom Defender for Identity-Sensorupdatedienst neu gestartet.
Verzögertes Sensorupdate
Angesichts der schnellen Laufenden Entwicklung und Releaseupdates von Defender for Identity können Sie sich entscheiden, eine Teilmenge Ihrer Sensoren als verzögerten Updatering zu definieren, was einen graduellen Sensorupdateprozess ermöglicht. Mit Defender for Identity können Sie auswählen, wie Ihre Sensoren aktualisiert werden, und jeden Sensor als Kandidaten für verzögerte Updates festlegen.
Sensoren, die nicht für verzögerte Updates ausgewählt sind, werden jedes Mal automatisch aktualisiert, wenn der Defender for Identity-Dienst aktualisiert wird. Sensoren, die auf Verzögertes Update festgelegt sind, werden nach der offiziellen Veröffentlichung jedes Dienstupdates mit einer Verzögerung von 72 Stunden aktualisiert.
Mit der Option verzögertes Update können Sie bestimmte Sensoren als automatischen Updatering auswählen, auf dem alle Updates automatisch eingeführt werden, und festlegen, dass die restlichen Sensoren verzögert aktualisiert werden, sodass Sie zeit haben, zu bestätigen, dass die automatisch aktualisierten Sensoren erfolgreich waren.
Hinweis
Wenn ein Fehler auftritt und ein Sensor nicht aktualisiert wird, öffnen Sie ein Supportticket. Informationen zur weiteren Härtung Ihres Proxys, um nur mit Ihrem Arbeitsbereich zu kommunizieren, finden Sie unter Proxykonfiguration.
Die Authentifizierung zwischen Ihren Sensoren und dem Azure-Clouddienst verwendet eine starke, zertifikatbasierte gegenseitige Authentifizierung. Das Clientzertifikat wird bei der Sensorinstallation als selbstsigniertes Zertifikat erstellt, das 2 Jahre gültig ist. Der Sensor Updater-Dienst ist dafür verantwortlich, ein neues selbstsigniertes Zertifikat zu generieren, bevor das vorhandene Zertifikat abläuft. Die Zertifikate werden mit einem 2-Phasen-Validierungsprozess für das Back-End gerollt, um eine Situation zu vermeiden, in der die Authentifizierung durch ein paralleles Zertifikat unterbrochen wird.
Jedes Update wird auf allen unterstützten Betriebssystemen getestet und überprüft, um minimale Auswirkungen auf Ihr Netzwerk und Ihre Vorgänge zu verursachen.
So legen Sie ein verzögertes Update für einen Sensor fest:
Wählen Sie auf der Seite Sensoren den Sensor aus, den Sie für verzögerte Updates festlegen möchten.
Wählen Sie die Schaltfläche Verzögerte Aktualisierung aktiviert aus.
Wählen Sie im Bestätigungsfenster Aktivieren aus.
Um verzögerte Updates zu deaktivieren, wählen Sie den Sensor und dann die Schaltfläche Verzögertes Update deaktiviert aus.
Sensoraktualisierungsprozess
Defender for Identity-Sensoren überprüfen alle paar Minuten, ob sie über die neueste Version verfügen. Nachdem der Defender for Identity-Clouddienst auf eine neuere Version aktualisiert wurde, startet der Defender for Identity-Sensordienst den Updatevorgang:
Der Defender for Identity-Clouddienst aktualisiert auf die neueste Version.
Der Defender for Identity-Sensorupdatedienst lernt, dass es eine aktualisierte Version gibt.
Sensoren, die nicht auf Verzögerte Aktualisierung festgelegt sind, starten den Aktualisierungsprozess auf einem Sensor nach Sensor:
- Der Defender for Identity-Sensorupdatedienst ruft die aktualisierte Version aus dem Clouddienst (im CAB-Dateiformat) ab.
- Das Defender for Identity-Sensorupdate überprüft die Dateisignatur.
- Der Defender for Identity-Sensorupdatedienst extrahiert die CAB-Datei in einen neuen Ordner im Installationsordner des Sensors. Standardmäßig wird sie in die Versionsnummer "C:\Programme\Azure Advanced Threat Protection Sensor<"> extrahiert.
- Der Defender for Identity-Sensordienst verweist auf die neuen Dateien, die aus der CAB-Datei extrahiert wurden.
- Der Defender for Identity-Sensorupdatedienst startet den Defender for Identity-Sensordienst neu.
Hinweis
Kleinere Sensorupdates installieren keine MSI, ändern keine Registrierungswerte oder Systemdateien. Selbst ein ausstehender Neustart wirkt sich nicht auf ein Sensorupdate aus.
- Sensoren werden basierend auf der neu aktualisierten Version ausgeführt.
- Der Sensor erhält die Freigabe vom Azure-Clouddienst. Sie können den Sensor status auf der Seite Sensoren überprüfen.
- Der nächste Sensor startet den Aktualisierungsvorgang.
Für verzögertes Update ausgewählte Sensoren starten ihren Updateprozess 72 Stunden nach der Aktualisierung des Defender for Identity-Clouddiensts. Diese Sensoren verwenden dann den gleichen Aktualisierungsprozess wie automatisch aktualisierte Sensoren.
Für jeden Sensor, der den Updatevorgang nicht abschließen kann, wird eine relevante Integritätswarnung ausgelöst und als Benachrichtigung gesendet.
Automatisches Aktualisieren des Defender for Identity-Sensors
Verwenden Sie den folgenden Befehl, um den Defender for Identity-Sensor automatisch zu aktualisieren:
Syntax:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]
Installationsoptionen:
| Name | Syntax | Obligatorisch für die automatische Installation? | Beschreibung |
|---|---|---|---|
| Ruhig | /quiet | Ja | Führt das Installationsprogramm aus und zeigt keine Benutzeroberfläche und keine Eingabeaufforderungen an. |
| Hilfe | /Hilfe | Nein | Bietet Hilfe und Kurzübersicht. Zeigt die korrekte Verwendung des Setupbefehls an, einschließlich einer Liste aller Optionen und Verhaltensweisen. |
| NetFrameworkCommandLineArguments="/q" | NetFrameworkCommandLineArguments="/q" | Ja | Gibt die Parameter für die .NET Framework-Installation an. Muss festgelegt werden, um die automatische Installation von .NET Framework zu erzwingen. |
Beispiele:
So aktualisieren Sie den Defender for Identity-Sensor im Hintergrund:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"
Konfigurieren von Proxyeinstellungen
Es wird empfohlen, die anfänglichen Proxyeinstellungen während der Installation mithilfe von Befehlszeilenschaltern zu konfigurieren. Wenn Sie Ihre Proxyeinstellungen später aktualisieren müssen, verwenden Sie entweder die CLI oder PowerShell.
Wenn Sie Ihre Proxyeinstellungen zuvor entweder über WinINet oder einen Registrierungsschlüssel konfiguriert haben und diese aktualisieren müssen, müssen Sie dieselbe Methode verwenden, die Sie ursprünglich verwendet haben.
Weitere Informationen finden Sie unter Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen.