Microsoft Defender for Identity érzékelő beállításainak konfigurálása

Ebből a cikkből megtudhatja, hogyan konfigurálhatja megfelelően Microsoft Defender for Identity érzékelőbeállításokat az adatok megtekintésének megkezdéséhez. További konfigurációt és integrációt kell végeznie, hogy kihasználhassa a Defender for Identity összes funkcióját.

Érzékelőbeállítások megtekintése és konfigurálása

Miután telepítette a Defender for Identity érzékelőt, tegye a következőket a Defender for Identity érzékelőbeállításainak megtekintéséhez és konfigurálásához:

1. A Microsoft Defender XDR lépjen a Beállítások>Identitásérzékelők> területre. Például:

   

   Az Érzékelők lapon megjelenik az identitáshoz készült Defender összes érzékelője, és az érzékelőnkénti alábbi adatokat sorolja fel:

   • Érzékelő neve
   • Érzékelő tartománytagság
   • Érzékelő verziószáma
   • Azt határozza meg, hogy a frissítések késnek-e
   • Érzékelőszolgáltatás állapota

   • Érzékelő állapota
   • Érzékelő állapotának állapota
   • Az állapotproblémák száma
   • Az érzékelő létrehozásakor

   További információ: Érzékelő részletei.

2. Válassza a Szűrők lehetőséget a látható szűrők kiválasztásához. Például:

   

3. A megjelenített szűrőkkel meghatározhatja, hogy mely érzékelők jelenjenek meg. Például:

   

4. Válasszon ki egy érzékelőt, hogy megjelenítsen egy részletek panelt, amely további információkat tartalmaz az érzékelőről és állapotáról. Például:

   

5. Görgessen le, és válassza az Érzékelő kezelése lehetőséget egy panel megjelenítéséhez, ahol konfigurálhatja az érzékelő részleteit. Például:

   

6. Konfigurálja a következő érzékelőadatokat:

   Name (Név)	Leírás
   Leírás	Szabadon választható. Adja meg a Defender for Identity érzékelő leírását.
   Tartományvezérlők (FQDN)	A Defender for Identity önálló érzékelőihez és az AD FS-/AD CS-kiszolgálókra telepített érzékelőkhöz szükséges, és nem módosíthatók a Defender for Identity érzékelőhöz. Adja meg a tartományvezérlő teljes teljes tartománynevét, és a pluszjelet választva vegye fel a listára. Például : DC1.domain1.test.local. A Tartományvezérlők listában megadott kiszolgálók esetében: – Az összes olyan tartományvezérlőnek szerepelnie kell a Tartományvezérlők listában, amelyek forgalmát az identitáshoz készült Defender önálló érzékelője porttükrözéssel figyeli . Ha egy tartományvezérlő nem szerepel a Tartományvezérlők listában, előfordulhat, hogy a gyanús tevékenységek észlelése nem a várt módon működik. – A listában legalább egy tartományvezérlőnek globális katalógusnak kell lennie. Ez lehetővé teszi, hogy a Defender for Identity feloldja az erdő más tartományaiban lévő számítógép- és felhasználói objektumokat.
   Hálózati adapterek rögzítése	Szükséges. – A Defender for Identity érzékelői esetében a szervezet más számítógépeivel való kommunikációhoz használt összes hálózati adapter. – A dedikált kiszolgálón található önálló Defender for Identity-érzékelő esetében válassza ki a céltükrportként konfigurált hálózati adaptereket. Ezek a hálózati adapterek fogadják a tükrözött tartományvezérlő forgalmát.

7. Az Érzékelők lapon válassza az Exportálás lehetőséget az érzékelők listájának .csv fájlba való exportálásához. Például:

   

Telepítések ellenőrzése

Az alábbi eljárásokkal ellenőrizheti a Defender for Identity-érzékelő telepítését.

Sikeres üzembe helyezés ellenőrzése

A Defender for Identity érzékelő sikeres üzembe helyezésének ellenőrzése:

1. Ellenőrizze, hogy az Azure Advanced Threat Protection érzékelőszolgáltatás fut-e az érzékelőgépen. A Defender for Identity érzékelőbeállításainak mentése után eltarthat néhány másodpercig, amíg a szolgáltatás elindul.

2. Ha a szolgáltatás nem indul el, tekintse át az alapértelmezett helyen %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logstalálható Microsoft.Tri.sensor-Errors.log fájlt, ahol <sensor version> az üzembe helyezett verzió található.

Biztonsági riasztási funkciók ellenőrzése

Ez a szakasz azt ismerteti, hogyan ellenőrizheti, hogy a biztonsági riasztások a várt módon aktiválódnak-e.

Ha a következő lépésekben szereplő példákat használja, cserélje le contosodc.contoso.azure a és contoso.azure a értéket a Defender for Identity-érzékelő teljes tartománynevére és tartománynevére.

1. Egy taghoz csatlakoztatott eszközön nyisson meg egy parancssort, és írja be a következőt: nslookup

2. Adja meg server annak a tartományvezérlőnek a teljes tartománynevét vagy IP-címét, amelyen a Defender for Identity érzékelő telepítve van. Például: server contosodc.contoso.azure

3. Belép ls -d contoso.azure

4. Ismételje meg az előző két lépést minden tesztelni kívánt érzékelő esetében.

5. Az eszköz nevének keresésével vagy a Defender portálon máshonnan keresse meg annak a számítógépnek az eszközadatok lapját, amelyen a kapcsolati tesztet futtatta, például az Eszközök lapon.

6. Az eszköz részletei lapon válassza az Ütemterv lapot a következő tevékenységek megtekintéséhez:

   • Események: Megadott tartománynévre végrehajtott DNS-lekérdezések
   • Művelet típusa MdiDnsQuery

Ha a tesztelt tartományvezérlő vagy AD FS/AD CS az első üzembe helyezett érzékelő, várjon legalább 15 percet, mielőtt ellenőriznénk a tartományvezérlő logikai tevékenységeit, így az adatbázis háttérrendszere befejezheti a mikroszolgáltatások kezdeti üzembe helyezését.

Az érzékelő legújabb elérhető verziójának ellenőrzése

A Defender for Identity verziója gyakran frissül. Ellenőrizze a legújabb verziót a Microsoft Defender XDR Beállítások>Identitások>Névjegy lapján.

Kapcsolódó tartalom

Most, hogy konfigurálta a kezdeti konfigurációs lépéseket, további beállításokat is konfigurálhat. További információért látogasson el az alábbi lapok bármelyikére:

• Entitáscímkék beállítása: bizalmas, honeytoken és Exchange-kiszolgáló
• Észlelési kivételek konfigurálása
• Értesítések konfigurálása: állapotproblémák, riasztások és Syslog

További lépés