Megosztás a következőn keresztül:


Microsoft Defender for Identity érzékelők kezelése és frissítése

Ez a cikk azt ismerteti, hogyan konfigurálhat és kezelhet Microsoft Defender for Identity érzékelőket Microsoft Defender XDR.

A Defender for Identity érzékelőinek beállításainak és állapotának megtekintése

  1. A Microsoft Defender XDR válassza a Beállítások, majd az Identitások lehetőséget.

    Lépjen a Beállítások, majd az Identitások területre.

  2. Válassza az Érzékelők lapot, amelyen az identitáshoz készült Defender összes érzékelője megjelenik. Minden érzékelőnél megjelenik a neve, a tartománytagsága, a verziószáma, ha a frissítések késnek, a szolgáltatás állapota, az érzékelő állapota, az állapot, az állapotproblémák száma és az érzékelő létrehozása. Az egyes oszlopokkal kapcsolatos részletekért lásd: Érzékelő részletei.

    Érzékelő oldal.

  3. Ha a Szűrők lehetőséget választja, kiválaszthatja, hogy mely szűrők lesznek elérhetők. Ezután minden szűrővel kiválaszthatja, hogy mely érzékelők jelenjenek meg.

    Érzékelőszűrők.

    Szűrt érzékelő.

  4. Ha kiválasztja az egyik érzékelőt, megjelenik egy ablaktábla, amelyen az érzékelőre és annak állapotára vonatkozó információk láthatók.

    Érzékelő részletei.

  5. Ha kiválasztja valamelyik állapotproblémát, megjelenik egy panel, amelyen további részletek láthatók. Ha lezárt problémát választ, innen nyithatja meg újra.

    Probléma részletei.

  6. Ha az Érzékelő kezelése lehetőséget választja, megnyílik egy panel, ahol konfigurálhatja az érzékelő részleteit.

    Érzékelő kezelése.

    Konfigurálja az érzékelő részleteit.

  7. Az Érzékelők lapon exportálhatja az érzékelők listáját egy .csv fájlba az Exportálás lehetőség kiválasztásával.

    Érzékelők exportálási listája.

Érzékelő részletei

Az érzékelők oldal az alábbi információkat tartalmazza az egyes érzékelőkről:

  • Érzékelő: Megjeleníti az érzékelő NetBIOS-számítógépnevét.

  • Típus: Megjeleníti az érzékelő típusát. A lehetséges értékek a következők:

    • Tartományvezérlő érzékelője

    • AD FS-érzékelő (Active Directory összevonási szolgáltatások (AD FS))

    • Önálló érzékelő

    • ADCS-érzékelő (Active Directory tanúsítványszolgáltatások). Ha az érzékelő olyan tartományvezérlő-kiszolgálóra van telepítve, amelyen konfigurálva van az AD CS, például tesztelési környezetben, az érzékelő típusa Tartományvezérlő-érzékelőként jelenik meg.

  • Tartomány: Annak az Active Directory-tartománynak a teljes tartománynevét jeleníti meg, amelyre az érzékelő telepítve van.

  • Szolgáltatás állapota: Megjeleníti az érzékelőszolgáltatás állapotát a kiszolgálón. A lehetséges értékek a következők:

    • Futtatás: Az érzékelőszolgáltatás fut

    • Indítás: Az érzékelőszolgáltatás elindul

    • Letiltva: Az érzékelőszolgáltatás le van tiltva

    • Leállt: Az érzékelőszolgáltatás le van állítva

    • Ismeretlen: Az érzékelő nincs csatlakoztatva vagy nem érhető el

  • Érzékelő állapota: Megjeleníti az érzékelő általános állapotát. A lehetséges értékek a következők:

    • Naprakész: Az érzékelő az érzékelő aktuális verzióját futtatja.

    • Elavult: Az érzékelő a szoftver egy olyan verzióját futtatja, amely legalább három verzióval rendelkezik az aktuális verzió mögött.

    • Frissítés: Az érzékelőszoftver frissítése folyamatban van.

    • A frissítés nem sikerült: Az érzékelő nem tudott új verzióra frissíteni.

    • Nincs konfigurálva: Az érzékelő további konfigurációt igényel, mielőtt teljesen működőképes lenne. Ez az AD FS-/AD CS-kiszolgálókra vagy önálló érzékelőkre telepített érzékelőkre vonatkozik.

    • Az indítás sikertelen: Az érzékelő 30 percnél hosszabb ideig nem tudta lekérni a konfigurációt.

    • Szinkronizálás: Az érzékelő konfigurációfrissítései függőben vannak, de még nem kérték le az új konfigurációt.

    • Leválasztva: A Defender for Identity szolgáltatás 10 perc alatt nem látott semmilyen kommunikációt az érzékelőről.

    • Nem érhető el: A tartományvezérlő törölve lett az Active Directoryból. Az érzékelő telepítése azonban nem lett eltávolítva és eltávolítva a tartományvezérlőről a leszerelése előtt. Ezt a bejegyzést biztonságosan törölheti.

  • Verzió: Megjeleníti a telepített érzékelőverziót.

  • Késleltetett frissítés: Megjeleníti az érzékelő késleltetett frissítési mechanizmusának állapotát. A lehetséges értékek a következők:

    • Engedélyezve.

    • Letiltva

  • Állapot: Megjeleníti az érzékelő általános állapotát egy színes ikonnal, amely a legmagasabb súlyosságú nyitott állapotriasztást jelöli. A lehetséges értékek a következők:

    • Kifogástalan (zöld ikon): Nincsenek megnyitott állapotproblémák

    • Nem kifogástalan (sárga ikon): A megnyitott állapottal kapcsolatos legnagyobb súlyosságú probléma alacsony

    • Nem kifogástalan (narancssárga ikon): A megnyitott állapottal kapcsolatos legnagyobb súlyosságú probléma közepes

    • Nem kifogástalan (piros ikon): A megnyitott állapottal kapcsolatos legnagyobb súlyosságú probléma magas

  • Állapotproblémák: Megjeleníti az érzékelőn megnyitott állapotproblémák számát.

  • Létrehozva: Megjeleníti az érzékelő telepítésének dátumát

Az érzékelők frissítése

A Microsoft Defender for Identity érzékelők naprakészen tartása biztosítja a lehető legjobb védelmet a szervezet számára.

A Microsoft Defender for Identity szolgáltatás általában havonta néhányszor frissül új észlelésekkel, funkciókkal és teljesítménnyel kapcsolatos fejlesztésekkel. Ezek a frissítések általában tartalmaznak egy kisebb frissítést az érzékelőkhöz. Az érzékelőfrissítési csomagok csak a Defender for Identity érzékelő- és érzékelőészlelési képességeit szabályozzák.

A Defender for Identity érzékelő frissítési típusai

A Defender for Identity érzékelői kétféle frissítést támogatnak:

  • Alverziófrissítések:

    • Gyakori
    • Nem igényel MSI-telepítést, és nincs szükség beállításjegyzék-módosításokra
    • Újraindult: A Defender for Identity érzékelőszolgáltatásai
  • Főverzió-frissítések:

    • Ritka
    • Jelentős változásokat tartalmaz
    • Újraindult: A Defender for Identity érzékelőszolgáltatásai

Megjegyzés:

  • A Defender for Identity érzékelői mindig a telepített tartományvezérlőn rendelkezésre álló memória és processzor legalább 15%-át lefoglalják. Ha a Defender for Identity szolgáltatás túl sok memóriát használ, a Defender for Identity érzékelőfrissítési szolgáltatása automatikusan leállítja és újraindítja a szolgáltatást.

Késleltetett érzékelőfrissítés

A Defender for Identity folyamatos fejlesztésének és kiadásának gyors üteme miatt dönthet úgy, hogy késleltetett frissítési körként definiálja az érzékelők egy részhalmazcsoportját, amely lehetővé teszi az érzékelők fokozatos frissítését. A Defender for Identity lehetővé teszi, hogy kiválassza az érzékelők frissítésének módját, és az egyes érzékelőket késleltetett frissítési jelöltként állítsa be.

A késleltetett frissítéshez nem kiválasztott érzékelők automatikusan frissülnek, minden alkalommal, amikor a Defender for Identity szolgáltatás frissül. A Késleltetett frissítés beállítású érzékelők 72 órás késéssel frissülnek az egyes szolgáltatásfrissítések hivatalos kiadása után.

A késleltetett frissítési lehetőség lehetővé teszi bizonyos érzékelők automatikus frissítési körként való kiválasztását, amelyen az összes frissítés automatikusan megjelenik, és beállíthatja, hogy a többi érzékelő késve frissüljön, így időt biztosít az automatikusan frissített érzékelők sikerességének megerősítésére.

Megjegyzés:

Ha hiba történik, és az érzékelő nem frissül, nyisson meg egy támogatási jegyet. A proxy további megerősítéséhez, hogy csak a munkaterülettel kommunikáljon, lásd: Proxykonfiguráció.

Az érzékelők és az Azure-felhőszolgáltatás közötti hitelesítés erős, tanúsítványalapú kölcsönös hitelesítést használ. Az ügyféltanúsítvány az érzékelő telepítésekor jön létre önaláírt tanúsítványként, amely 2 évig érvényes. Az érzékelőfrissítési szolgáltatás felelős azért, hogy a meglévő tanúsítvány lejárta előtt hozzon létre egy új önaláírt tanúsítványt. A rendszer kétfázisú érvényesítési folyamattal gördíti a tanúsítványokat a háttérrendszerhez, hogy elkerülje az olyan helyzetet, amikor egy működés közbeni tanúsítvány megszakítja a hitelesítést.

A rendszer minden frissítést tesztel és ellenőriz az összes támogatott operációs rendszeren, hogy minimális hatással legyen a hálózatra és a műveletekre.

Az érzékelő késleltetett frissítésre való beállítása:

  1. Az Érzékelők lapon válassza ki a késleltetett frissítésekhez beállítani kívánt érzékelőt.

  2. Válassza az Engedélyezett késleltetett frissítés gombot.

    Késleltetett frissítés engedélyezése.

  3. A megerősítési ablakban válassza az Engedélyezés lehetőséget.

A késleltetett frissítések letiltásához jelölje ki az érzékelőt, majd válassza a Letiltott késleltetett frissítés gombot.

Érzékelőfrissítési folyamat

A Defender for Identity érzékelői néhány percenként ellenőrzik, hogy a legújabb verzióval rendelkeznek-e. Miután a Defender for Identity felhőszolgáltatás egy újabb verzióra frissült, a Defender for Identity érzékelőszolgáltatás elindítja a frissítési folyamatot:

  1. A Defender for Identity felhőszolgáltatás a legújabb verzióra frissül.

  2. A Defender for Identity érzékelőfrissítési szolgáltatása megtudja, hogy van egy frissített verzió.

  3. A Késleltetett frissítés beállítással nem rendelkező érzékelők érzékelő alapján indítják el a frissítési folyamatot:

    1. A Defender for Identity érzékelőfrissítési szolgáltatás lekéri a frissített verziót a felhőszolgáltatásból (cab fájlformátumban).
    2. A Defender for Identity érzékelő-frissítője ellenőrzi a fájl aláírását.
    3. A Defender for Identity érzékelőfrissítő szolgáltatása az érzékelő telepítési mappájában található új mappába csomagolja ki a cab-fájlt. Alapértelmezés szerint a C:\Program Files\Azure Advanced Threat Protection Sensor<verziószáma> lesz kinyerve
    4. A Defender for Identity érzékelőszolgáltatása a cab-fájlból kinyert új fájlokra mutat.
    5. A Defender for Identity érzékelőfrissítési szolgáltatása újraindítja a Defender for Identity érzékelőszolgáltatást.

      Megjegyzés:

      A kisebb érzékelőfrissítések nem telepítenek MSI-t, nem módosítanak beállításjegyzék-értékeket vagy rendszerfájlokat. Még a függőben lévő újraindítás sem befolyásolja az érzékelő frissítését.

    6. Az érzékelők az újonnan frissített verzió alapján futnak.
    7. Az érzékelő engedélyt kap az Azure-felhőszolgáltatástól. Az érzékelő állapotát az Érzékelők lapon ellenőrizheti.
    8. A következő érzékelő elindítja a frissítési folyamatot.
  4. A Késleltetett frissítéshez kiválasztott érzékelők a Defender for Identity felhőszolgáltatás frissítése után 72 órával megkezdik a frissítési folyamatot. Ezek az érzékelők ezután ugyanazt a frissítési folyamatot használják, mint az automatikusan frissített érzékelők.

Minden olyan érzékelő esetében, amely nem tudja befejezni a frissítési folyamatot, a rendszer elindít egy megfelelő állapotriasztást , és értesítésként küldi el.

Érzékelőfrissítési hiba.

A Defender for Identity érzékelő csendes frissítése

Az alábbi paranccsal csendesen frissítheti a Defender for Identity érzékelőt:

Szintaxis:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Telepítési lehetőségek:

Name (Név) Szintaxis Kötelező a csendes telepítéshez? Leírás
Halk /halk Igen Futtatja a telepítőt, amely nem jelenít meg felhasználói felületet és nem jelenít meg utasításokat.
Súgó /segítség Nem Súgó és gyorsútmutató. Megjeleníti a beállítási parancs helyes használatát, beleértve az összes beállítás és viselkedés listáját.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Igen Megadja a .Net-keretrendszer telepítésének paramétereit. A .Net-keretrendszer csendes telepítésének kényszerítéséhez be kell állítani.

Példák:

A Defender for Identity érzékelő csendes frissítése:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Proxybeállítások konfigurálása

Javasoljuk, hogy a telepítés során parancssori kapcsolókkal konfigurálja a kezdeti proxybeállításokat. Ha később frissítenie kell a proxybeállításokat, használja a parancssori felületet vagy a PowerShellt.

Ha korábban a WinINeten vagy egy beállításkulcson keresztül konfigurálta a proxybeállításokat, és frissítenie kell őket, akkor ugyanazt a módszert kell használnia , amelyet eredetileg használt.

További információ: Végpontproxy és internetkapcsolat beállításainak konfigurálása.

Következő lépések