Verwalten und Aktualisieren von Microsoft Defender für Identitätssensoren

  • Artikel

In diesem Artikel wird erläutert, wie Sie Microsoft Defender for Identity-Sensoren in Microsoft Defender XDR konfigurieren und verwalten.

Anzeigen von Einstellungen und Status des Defender for Identity-Sensors

  1. Wechseln Sie in Microsoft Defender XDR zu Einstellungen und dann zu Identitäten.

    Go to Settings, then Identities.

  2. Wählen Sie die Registerkarte Sensoren aus, auf der alle Defender for Identity-Sensoren angezeigt werden. Für jeden Sensor sehen Sie seinen Namen, seine Do Standard Mitgliedschaft, die Versionsnummer, wenn Updates verzögert werden sollen, den Dienststatus, den Sensorstatus, den Integritätsstatus, die Anzahl der Integritätsprobleme und wann der Sensor erstellt wurde. Ausführliche Informationen zu den einzelnen Spalten finden Sie unter Sensordetails.

    Sensor page.

  3. Wenn Sie "Filter" auswählen, können Sie auswählen, welche Filter verfügbar sind. Anschließend können Sie mit jedem Filter auswählen, welche Sensoren angezeigt werden sollen.

    Sensor filters.

    Filtered sensor.

  4. Wenn Sie einen der Sensoren auswählen, wird ein Bereich mit Informationen zum Sensor und dessen Integritätsstatus angezeigt.

    Sensor details.

  5. Wenn Sie eines der Integritätsprobleme auswählen, erhalten Sie einen Bereich mit weiteren Details dazu. Wenn Sie ein geschlossenes Problem auswählen, können Sie es von hier aus erneut öffnen.

    Issue details.

  6. Wenn Sie "Sensor verwalten" auswählen, wird ein Bereich geöffnet, in dem Sie die Sensordetails konfigurieren können.

    Manage sensor.

    Configure sensor details.

  7. Auf der Seite "Sensoren" können Sie Ihre Liste der Sensoren in eine CSV-Datei exportieren, indem Sie "Exportieren" auswählen.

    Export list of sensors.

Sensordetails

Auf der Seite Sensoren finden Sie die folgenden Informationen zu jedem Sensor:

  • Sensor: Zeigt den NetBIOS-Computernamen des Sensors an.

  • Typ: Zeigt den Typ des Sensors an. Dabei sind folgende Werte möglich:

    • Domänencontroller-Sensor

    • AD FS-Sensor (Active Directory Federation Services)

    • Eigenständiger Sensor

    • ADCS-Sensor (Active Directory Certificate Services). Wenn Ihr Sensor auf einem Do Standard Controllerserver installiert ist, auf dem AD CS konfiguriert ist, z. B. in einer Testumgebung, wird stattdessen der Sensortyp als Do Standard-Controllersensor angezeigt.

  • Do Standard: Zeigt den vollqualifizierten Do Standard Namen des Active Directory-Vorgangs an Standard wo der Sensor installiert ist.

  • Dienststatus: Zeigt den Status des Sensordiensts auf dem Server an. Dabei sind folgende Werte möglich:

    • Ausführen: Sensordienst wird ausgeführt

    • Start: Sensordienst wird gestartet

    • Deaktiviert: Sensordienst ist deaktiviert

    • Beendet: Sensordienst wird beendet

    • Unbekannt: Sensor ist getrennt oder nicht erreichbar

  • Sensorstatus: Zeigt den Gesamtstatus des Sensors an. Dabei sind folgende Werte möglich:

    • Aktuell: Sensor führt eine aktuelle Version des Sensors aus.

    • Veraltet: Sensor führt eine Version der Software aus, die mindestens drei Versionen hinter der aktuellen Version enthält.

    • Aktualisierung: Sensorsoftware wird aktualisiert.

    • Fehler beim Update: Sensor konnte nicht auf eine neue Version aktualisiert werden.

    • Nicht konfiguriert: Sensor erfordert mehr Konfiguration, bevor er vollständig betriebsbereit ist. Dies gilt für Sensoren, die auf AD FS/AD CS-Servern oder eigenständigen Sensoren installiert sind.

    • Fehler beim Start: Die Konfiguration des Sensors wurde länger als 30 Minuten nicht abgerufen.

    • Synchronisierung: Sensor verfügt über ausstehende Konfigurationsupdates, aber die neue Konfiguration wurde noch nicht abgerufen.

    • Getrennt: Der Defender for Identity-Dienst hat in 10 Minuten keine Kommunikation von diesem Sensor gesehen.

    • Nicht erreichbar: Der Do Standard-Controller wurde aus Active Directory gelöscht. Die Sensorinstallation wurde jedoch nicht deinstalliert und aus dem Do Standard Controller entfernt, bevor sie außer Betrieb genommen wurde. Sie können diesen Eintrag sicher löschen.

  • Version: Zeigt die installierte Sensorversion an.

  • Verzögerte Aktualisierung: Zeigt den Zustand des verzögerten Updatemechanismus des Sensors an. Dabei sind folgende Werte möglich:

    • Enabled

    • Disabled

  • Integritätsstatus: Zeigt den Allgemeinen Integritätsstatus des Sensors mit einem farbigen Symbol an, das den höchsten Schweregrad einer offenen Integritätswarnung darstellt. Dabei sind folgende Werte möglich:

    • Fehlerfrei (grünes Symbol): Keine offenen Gesundheitsprobleme

    • Nicht fehlerfrei (gelbes Symbol): Das Problem mit dem höchsten geöffneten Gesundheitsproblem ist gering

    • Nicht fehlerfrei (orangefarbenes Symbol): Das Problem mit dem höchsten geöffneten Gesundheitsproblem ist mittel

    • Nicht fehlerfrei (rotes Symbol): Das Problem mit dem höchsten geöffneten Gesundheitsproblem ist hoch

  • Integritätsprobleme: Zeigt die Anzahl der geöffneten Integritätsprobleme auf dem Sensor an.

  • Erstellt: Zeigt das Datum an, an dem der Sensor installiert wurde

Aktualisieren Ihrer Sensoren

Ihre Microsoft Defender for Identity-Sensoren auf dem neuesten Stand zu halten, bietet den bestmöglichen Schutz für Ihre Organisation.

Der Microsoft Defender for Identity-Dienst wird in der Regel ein paar Mal im Monat mit neuen Erkennungen, Features und Leistungsverbesserungen aktualisiert. In der Regel enthalten diese Updates ein entsprechendes kleineres Update für die Sensoren. Defender for Identity-Sensoren und entsprechende Updates verfügen nie über Schreibberechtigungen für Ihre Aufgaben Standard Controller. Sensorupdatepakete steuern nur die Defender for Identity-Sensor- und Sensorerkennungsfunktionen.

Defender für Identitätssensor-Aktualisierungsarten

Defender for Identity-Sensoren unterstützen zwei Arten von Updates:

  • Kleinere Versionsaktualisierungen:

    • Häufig
    • Erfordert keine MSI-Installation und keine Registrierungsänderungen
    • Neu gestartet: Defender for Identity-Sensordienste

  • Wichtige Versionsaktualisierungen:

    • Selten
    • Enthält erhebliche Änderungen
    • Neu gestartet: Defender for Identity-Sensordienste

Hinweis

  • Defender for Identity-Sensoren reservieren immer mindestens 15 % des verfügbaren Arbeitsspeichers und der CPU auf dem Do Standard Controller, auf dem sie installiert ist. Wenn der Defender for Identity-Dienst zu viel Arbeitsspeicher verbraucht, wird der Dienst automatisch beendet und vom Updatedienst des Defender for Identity-Sensors neu gestartet.

Verzögerte Sensoraktualisierung

Angesichts der schnellen Geschwindigkeit der laufenden Defender for Identity-Entwicklung und -Veröffentlichungsupdates können Sie eine Teilmengegruppe Ihrer Sensoren als verzögerten Updatering definieren, sodass ein schrittweiser Sensoraktualisierungsprozess möglich ist. Mit Defender for Identity können Sie auswählen, wie Ihre Sensoren aktualisiert werden, und sie können jeden Sensor als Kandidaten für verzögerte Updates festlegen.

Sensoren, die nicht für verzögerte Updates ausgewählt werden, werden automatisch aktualisiert, jedes Mal, wenn der Defender for Identity-Dienst aktualisiert wird. Sensoren, die auf Verzögerte Aktualisierung festgelegt sind, werden nach der offiziellen Veröffentlichung der einzelnen Dienstupdates auf eine Verzögerung von 72 Stunden aktualisiert.

Mit der Option Verzögertes Update können Sie bestimmte Sensoren als automatischen Updatering auswählen, bei dem alle Updates automatisch bereitgestellt werden, und die restlichen Sensoren so einstellen, dass sie bei verzögerungsverzögerter Aktualisierung aktualisiert werden, sodass Sie sich vergewissern können, dass die automatisch aktualisierten Sensoren erfolgreich waren.

Hinweis

Wenn ein Fehler auftritt und ein Sensor nicht aktualisiert wird, öffnen Sie ein Supportticket. Informationen zum weiteren Abhärten Ihres Proxys, um nur mit Ihrem Arbeitsbereich zu kommunizieren, finden Sie unter Proxykonfiguration.

Die Authentifizierung zwischen Ihren Sensoren und dem Azure-Clouddienst verwendet eine starke, zertifikatbasierte gegenseitige Authentifizierung. Das Clientzertifikat wird bei der Sensorinstallation als selbstsigniertes Zertifikat erstellt, das 2 Jahre gültig ist. Der Sensorupdater-Dienst ist für das Generieren eines neuen selbstsignierten Zertifikats verantwortlich, bevor das vorhandene Zertifikat abläuft. Die Zertifikate werden mit einem 2-Phasen-Validierungsprozess gegen das Back-End eingeführt, um eine Situation zu vermeiden, in der ein rollierendes Zertifikat die Authentifizierung unterbricht.

Jedes Update wird auf allen unterstützten Betriebssystemen getestet und überprüft, um minimale Auswirkungen auf Ihr Netzwerk und Ihre Vorgänge zu verursachen.

So legen Sie einen Sensor auf verzögerte Aktualisierung fest:

  1. Wählen Sie auf der Seite Sensoren den Sensor aus, den Sie für verzögerte Updates festlegen möchten.

  2. Wählen Sie die Schaltfläche Verzögerte Aktualisierung aktiviert aus.

    Enable delayed update.

  3. Klicken Sie im Bestätigungsfenster auf Aktivieren.

Um verzögerte Updates zu deaktivieren, wählen Sie den Sensor und dann die Schaltfläche Deaktivierte verzögerte Aktualisierung aus.

Sensoraktualisierungsprozess

Alle paar Minuten überprüfen Defender for Identity-Sensoren, ob sie über die neueste Version verfügen. Nachdem der Defender for Identity-Clouddienst auf eine neuere Version aktualisiert wurde, startet der Defender for Identity-Sensordienst den Updatevorgang:

  1. Defender for Identity-Clouddienstupdates auf die neueste Version.

  2. Der Updatedienst des Defender for Identity-Sensors lernt, dass eine aktualisierte Version vorhanden ist.

  3. Sensoren, die nicht auf verzögertes Update festgelegt sind, starten den Updateprozess auf Sensorbasis:

    1. Der Updatedienst des Defender for Identity-Sensors ruft die aktualisierte Version vom Clouddienst ab (im CAB-Dateiformat).
    2. Defender for Identity Sensor Updater überprüft die Dateisignatur.
    3. Der Updatedienst des Defender for Identity-Sensors extrahiert die CAB-Datei in einen neuen Ordner im Installationsordner des Sensors. Standardmäßig wird sie in C:\Program Files\Azure Advanced Threat Protection Sensor<version number>
    4. Der Defender for Identity-Sensordienst verweist auf die neuen Dateien, die aus der CAB-Datei extrahiert wurden.
    5. Defender for Identity Sensor Updater Service startet den Defender for Identity Sensor Service neu.

      Hinweis

      Kleinere Sensorupdates installieren keine MSI, ändern keine Registrierungswerte oder Systemdateien. Auch ein ausstehender Neustart wirkt sich nicht auf ein Sensorupdate aus.

    6. Sensoren werden basierend auf der neu aktualisierten Version ausgeführt.
    7. Der Sensor erhält die Freigabe des Azure-Clouddiensts. Sie können den Sensorstatus auf der Seite "Sensoren" überprüfen.
    8. Der nächste Sensor startet den Aktualisierungsprozess.

  4. Sensoren, die für verzögertes Update ausgewählt wurden, starten den Updateprozess 72 Stunden nach der Aktualisierung des Defender for Identity-Clouddiensts. Diese Sensoren verwenden dann denselben Aktualisierungsprozess wie automatisch aktualisierte Sensoren.

Für jeden Sensor, der den Updatevorgang nicht abschließen kann, wird eine relevante Integritätswarnung ausgelöst und als Benachrichtigung gesendet.

Sensor update failure.

Automatisches Aktualisieren des Defender for Identity-Sensors

Verwenden Sie den folgenden Befehl, um den Defender for Identity-Sensor im Hintergrund zu aktualisieren:

Syntax:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Installationsoptionen:

Name Syntax Obligatorisch für die stille Installation? Beschreibung
Quiet /quiet Ja Führt das Installationsprogramm aus und zeigt keine Benutzeroberfläche und keine Eingabeaufforderungen an.
Hilfe /help Nein Bietet Hilfe und Schnellreferenz. Zeigt die korrekte Verwendung des Setup-Befehls einschließlich einer Liste aller Optionen und Verhaltensweisen an.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Ja Gibt die Parameter für die .Net Framework-Installation an. Muss festgelegt sein, um die automatische Installation von .Net Framework zu erzwingen.

Beispiele:

So aktualisieren Sie den Defender for Identity-Sensor im Hintergrund:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Konfigurieren von Proxyeinstellungen

Es wird empfohlen, die anfänglichen Proxyeinstellungen während der Installation mithilfe von Befehlszeilenschaltern zu konfigurieren. Wenn Sie Ihre Proxy-Einstellungen später aktualisieren müssen, verwenden Sie entweder die CLI oder PowerShell.

Wenn Sie Ihre Proxyeinstellungen zuvor über WinINet oder einen Registrierungsschlüssel konfiguriert haben und diese aktualisieren müssen, müssen Sie dieselbe Methode verwenden, die Sie ursprünglich verwendet haben.

Weitere Informationen finden Sie unter Konfigurieren der Endpunkt-Proxy- und Internetverbindungseinstellungen.

Nächste Schritte