Konfigurieren der Einstellungen des Azure ATP-SensorsConfigure Azure ATP sensor settings

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich.Threat protection product names from Microsoft are changing. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.We'll be updating names in products and in the docs in the near future.

In diesem Artikel erfahren Sie, wie Sie die Einstellungen des Azure ATP-Sensors ordnungsgemäß konfigurieren, damit Sie Daten anzeigen können.In this article, you'll learn how to correctly configure Azure ATP sensor settings to start seeing data. Sie müssen zusätzliche Konfigurations- und Integrationsschritte vornehmen, um die vollständigen Funktionen von Azure ATP nutzen zu können.You'll need to do additional configuration and integration to take advantage of Azure ATP's full capabilities.

VoraussetzungenPrerequisites

Konfigurieren von SensoreinstellungenConfigure sensor settings

Gehen Sie nach der Installation des Azure ATP-Sensors folgendermaßen vor, um die Einstellungen des Azure ATP-Sensors zu konfigurieren.After the Azure ATP sensor is installed, do the following to configure Azure ATP sensor settings.

  1. Klicken Sie auf Starten, um Ihren Browser zu öffnen und sich beim Azure ATP-Portal anzumelden.Click Launch to open your browser and sign in to the Azure ATP portal.

  2. Öffnen Sie die Konfiguration im Azure ATP-Portal, und wählen Sie Sensoren im Abschnitt System aus.In the Azure ATP portal, go to Configuration and, under the System section, select Sensors.

    Sensorseite

  3. Klicken Sie auf den Sensor, den Sie konfigurieren möchten, und geben Sie die folgenden Informationen ein:Click on the sensor you want to configure and enter the following information:

    Konfigurieren von Sensoreinstellungen

    • Beschreibung: Geben Sie eine Beschreibung für den Azure ATP-Sensor ein (optional).Description: Enter a description for the Azure ATP sensor (optional).
    • Domänencontroller (FQDN) (für den eigenständigen Azure ATP-Sensor erforderlich; kann für den Azure ATP-Sensor nicht geändert werden): Geben Sie den vollqualifizierten Domänennamen (FQDN) des Domänencontrollers ein, und klicken Sie auf das Pluszeichen, um ihn der Liste hinzuzufügen,Domain Controllers (FQDN) (required for the Azure ATP standalone sensor, this can't be changed for the Azure ATP sensor): Enter the complete FQDN of your domain controller and click the plus sign to add it to the list. z. B. dc01.contoso.com.For example, dc01.contoso.com

    Die folgenden Informationen gelten für die Server, die Sie in der Liste Domänencontroller eingeben.The following information applies to the servers you enter in the Domain Controllers list:

    • Alle Domänencontroller, deren Datenverkehr vom eigenständigen Azure ATP-Sensor mittels Portspiegelung überwacht wird, müssen in der Liste Domänencontroller aufgeführt sein.All domain controllers whose traffic is being monitored via port mirroring by the Azure ATP standalone sensor must be listed in the Domain Controllers list. Wenn ein Domänencontroller nicht in der Liste Domänencontroller aufgeführt wird, werden verdächtige Aktivitäten möglicherweise nicht wie erwartet erkannt.If a domain controller isn't listed in the Domain Controllers list, detection of suspicious activities might not function as expected.

    • Mindestens ein Domänencontroller in der Liste sollte ein globaler Katalog sein.At least one domain controller in the list should be a global catalog. Dadurch kann Azure ATP Computer- und Benutzerobjekte in anderen Domänen in der Gesamtstruktur auflösen.This enables Azure ATP to resolve computer and user objects in other domains in the forest.

    • Netzwerkadapter für Erfassung (erforderlich):Capture Network adapters (required):

    • Für Azure ATP-Sensoren sind alle Netzwerkadapter erforderlich, die für die Kommunikation mit anderen Computern in Ihrer Organisation verwendet werden.For Azure ATP sensors, all network adapters that are used for communication with other computers in your organization.

    • Wählen Sie für eigenständige Azure ATP-Sensoren auf einem dedizierten Server die Netzwerkadapter aus, die als Zielspiegelport konfiguriert sind.For Azure ATP standalone sensor on a dedicated server, select the network adapters that are configured as the destination mirror port. Diese Netzwerkadapter empfangen den Datenverkehr des gespiegelten Domänencontrollers.These network adapters receive the mirrored domain controller traffic.

  4. Klicken Sie auf Speichern.Click Save.

Überprüfen von InstallationenValidate installations

Überprüfen Sie folgendermaßen, ob der Azure ATP-Sensor erfolgreich bereitgestellt wurde:To validate that the Azure ATP sensor has been successfully deployed, check the following:

  1. Überprüfen Sie, ob der Dienst mit dem Namen Azure Advanced Threat Protection-Sensor ausgeführt wird.Check that the service named Azure Advanced Threat Protection sensor is running. Es kann einige Sekunden dauern, bis der Dienst nach dem Speichern der Einstellungen für den Azure ATP-Sensor gestartet wird.After you save the Azure ATP sensor settings, it might take a few seconds for the service to start.

  2. Wenn der Dienst nicht gestartet wird, überprüfen Sie die Datei „Microsoft.Tri.sensor-Errors.log“ im Standardordner „%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs“.If the service doesn't start, review the "Microsoft.Tri.sensor-Errors.log" file located in the following default folder, "%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs".

    Hinweis

    Es werden regelmäßig Versionsupdates für Azure ATP ausgeführt. Wenn Sie die neuste Version im Azure ATP-Portal überprüfen möchten, navigieren Sie zur Konfiguration, und klicken Sie dann auf Info.The version of Azure ATP updates frequently, to check the latest version, in the Azure ATP portal, go to Configuration and then About.

  3. Rufen Sie Ihre Azure ATP-Instanz auf.Go to your Azure ATP instance URL. Suchen Sie im Azure ATP-Portal über die Suchleiste nach einem bestimmten Objekt, z.B. einem Benutzer oder einer Gruppe in Ihrer Domäne.In the Azure ATP portal, search for something in the search bar, such as a user or group on your domain.

  4. Überprüfen Sie die ATP-Konnektivität für alle Domänengeräte anhand der folgenden Schritte:Verify ATP connectivity on any domain device using the following steps:

    1. Öffnen Sie eine Eingabeaufforderung.Open a command prompt
    2. Geben Sie nslookup ein.Type nslookup
    3. Geben Sie server und anschließend den FQDN oder die IP-Adresse des Domänencontrollers ein, auf dem der ATP-Sensor installiert ist.Type server then the FQDN or IP address of the domain controller where the ATP sensor is installed. Beispiel: server contosodc.contoso.azureFor example, server contosodc.contoso.azure
      • Stellen Sie sicher, dass Sie contosodc.contoso.azure und contoso.azure durch den FQDN Ihres Azure ATP-Sensors bzw. durch den Domänennamen ersetzen.Make sure to replace contosodc.contoso.azure and contoso.azure with the FQDN of your Azure ATP sensor and domain name respectively.
    4. Geben Sie ls -d contoso.azure ein.Type ls -d contoso.azure
    5. Wiederholen Sie die Schritte 3 und 4 für jeden Sensor, den Sie testen möchten.Repeat steps 3 and 4 for each sensor you wish to test.
    6. Öffnen Sie von der Azure ATP-Konsole aus das Entitätsprofil für den Computer, von dem aus Sie den Konnektivitätstest durchgeführt haben.From the Azure ATP console, open the entity profile for the computer you ran the connectivity test from.
    7. Überprüfen Sie die zugehörige logische Aktivität, und bestätigen Sie die Konnektivität.Check the related logical activity and confirm connectivity.

    Hinweis

    Wenn der zu testende Domänencontroller der erste bereitgestellte Sensor ist, warten Sie mindestens 15 Minuten, damit das Datenbank-Back-End die erste Bereitstellung der erforderlichen Microservices abschließen kann. Versuchen Sie erst anschließend, die zugehörige logische Aktivität für diesen Domänencontroller zu überprüfen.If the domain controller you wish to test is your first deployed sensor, wait at least 15 minutes to allow the database backend to finish initial deployment of the necessary microservices before you attempt to verify the related logical activity for that domain controller.

Nächste SchritteNext steps

Beitritt zur CommunityJoin the Community

Haben Sie weitere Fragen, oder möchten Sie mit anderen über Azure ATP und damit verbundene Sicherheitsaspekte diskutieren?Have more questions, or an interest in discussing Azure ATP and related security with others? Treten Sie noch heute der Azure ATP-Community bei!Join the Azure ATP Community today!