Configurare le impostazioni del sensore Microsoft Defender per identità

  • Articolo
  • 3 minuti per la lettura

In questo articolo si apprenderà come configurare correttamente le impostazioni del sensore Microsoft Defender per identità per iniziare a visualizzare i dati. È necessario eseguire una configurazione e un'integrazione aggiuntive per sfruttare le funzionalità complete di Defender for Identity.

Visualizzare e configurare le impostazioni del sensore

Dopo l'installazione del sensore Defender for Identity, eseguire le operazioni seguenti per visualizzare e configurare le impostazioni del sensore Defender for Identity.

  1. In Microsoft 365 Defender passare a Impostazioni e quindi Identità.

    Opzione delle identità nella pagina Impostazioni

  2. Selezionare la pagina Sensori, che visualizza tutti i sensori Defender for Identity. Per ogni sensore verrà visualizzato il nome, l'appartenenza al dominio, il numero di versione, se gli aggiornamenti devono essere ritardati, lo stato del servizio, lo stato del sensore, lo stato di integrità, il numero di problemi di integrità e quando è stato creato il sensore.

    Pagina sensore.

  3. Se si seleziona Filtri, è possibile scegliere quali filtri saranno disponibili. Quindi con ogni filtro è possibile scegliere quali sensori visualizzare.

    Filtri del sensore.

    Sensore filtrato

  4. Se si seleziona uno dei sensori, verrà visualizzato un riquadro con informazioni sul sensore e sul relativo stato di integrità.

    Dettagli del sensore.

  5. Se si seleziona Gestisci sensore, verrà aperto un riquadro in cui è possibile configurare i dettagli del sensore.

    Opzione Gestisci sensore

    Pagina in cui si configurano le impostazioni per il sensore

    È possibile configurare i dettagli del sensore seguenti:

    • Descrizione: immettere una descrizione per il sensore Defender for Identity (facoltativo).

    • Controller di dominio (FQDN): è necessario per i sensori Defender for Identity autonomi e AD FS. Non può essere modificato per il sensore Defender for Identity. Immettere il nome di dominio completo del controller di dominio e selezionare il segno più per aggiungerlo all'elenco. Ad esempio, DC1.domain1.test.local.

      Aggiungere il controller di dominio.

    Le informazioni seguenti si applicano ai server immessi nell'elenco Domain Controllers (Controller di dominio):

    • Tutti i controller di dominio il cui traffico viene monitorato tramite il mirroring delle porte dal sensore autonomo Defender for Identity devono essere elencati nell'elenco Controller di dominio . Se un controller di dominio non è presente nell'elenco Domain Controllers, il rilevamento di attività sospette potrebbe non funzionare come previsto.

    • Almeno un controller di dominio nell'elenco deve essere un catalogo globale. Ciò consente a Defender for Identity di risolvere gli oggetti computer e utente in altri domini nella foresta.

    • Capture Network adapters (obbligatorio):

    • Per i sensori defender per identità, tutte le schede di rete usate per la comunicazione con altri computer dell'organizzazione.

    • Per Il sensore autonomo Defender for Identity in un server dedicato, selezionare le schede di rete configurate come porta mirror di destinazione. Queste schede di rete ricevono il traffico del controller di dominio con mirroring.

  6. Nella pagina Sensori è possibile esportare l'elenco di sensori in un file di .csv selezionando Esporta.

    Elenco Esportazione di sensori

Convalidare le installazioni

Per verificare che il sensore Defender per identità sia stato distribuito correttamente, controllare quanto segue:

  1. Controllare che il servizio denominato Azure Advanced Threat Protection sensor (Sensore Azure Advanced Threat Protection) sia in esecuzione. Dopo aver salvato le impostazioni del sensore Defender for Identity, potrebbe richiedere alcuni secondi per l'avvio del servizio.

  2. Se il servizio non viene avviato, esaminare il file "Microsoft.Tri.sensor-Errors.log" nella cartella predefinita seguente: "%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs".

    Nota

    La versione di Defender for Identity aggiorna frequentemente, per controllare la versione più recente, nel portale Defender for Identity, passare a Configurazione e quindi Informazioni.

  3. Passare all'URL dell'istanza di Defender per identità. Nel portale Defender for Identity cercare qualcosa nella barra di ricerca, ad esempio un utente o un gruppo nel dominio.

  4. Verificare la connettività di Defender per identità in qualsiasi dispositivo di dominio usando la procedura seguente:

    1. Aprire un prompt dei comandi
    2. Digitare nslookup
    3. Digitare il server e l'indirizzo FQDN o IP del controller di dominio in cui è installato il sensore Defender for Identity. Ad esempio: server contosodc.contoso.azure
    4. Digitare ls -d contoso.azure
      • Assicurarsi di sostituire contosodc.contoso.azure e contoso.azure con il nome di dominio completo del sensore Defender per identità e il nome di dominio rispettivamente.
    5. Ripetere i passaggi 3 e 4 per ogni sensore da testare.
    6. Dalla console Defender for Identity aprire il profilo di entità per il computer da cui è stato eseguito il test di connettività.
    7. Controllare l'attività logica correlata e verificare la connettività.

    Nota

    Se il controller di dominio da testare è il primo sensore distribuito, attendere almeno 15 minuti per consentire al back-end del database di completare la distribuzione iniziale dei microservizi necessari prima di provare a verificare l'attività logica correlata per il controller di dominio.

Passaggi successivi

Dopo aver configurato i passaggi di configurazione iniziali, è possibile configurare altre impostazioni. Per altre informazioni, passare a una delle pagine seguenti: