Gestire e aggiornare i sensori Microsoft Defender per identità

  • Articolo

Questo articolo illustra come configurare e gestire i sensori Microsoft Defender per identità in Microsoft Defender XDR.

Visualizzare le impostazioni e lo stato del sensore di Defender per identità

  1. In Microsoft Defender XDR passare a Impostazioni e quindi identità.

    Go to Settings, then Identities.

  2. Selezionare la pagina Sensori , che visualizza tutti i sensori defender per identità. Per ogni sensore, verrà visualizzato il nome, l'appartenenza al dominio, il numero di versione, se gli aggiornamenti devono essere ritardati, lo stato del servizio, lo stato del sensore, lo stato di integrità, il numero di problemi di integrità e il momento in cui è stato creato il sensore. Per informazioni dettagliate su ogni colonna, vedere Dettagli del sensore.

    Sensor page.

  3. Se si seleziona Filtri, è possibile scegliere quali filtri saranno disponibili. Quindi, con ogni filtro, è possibile scegliere quali sensori visualizzare.

    Sensor filters.

    Filtered sensor.

  4. Se si seleziona uno dei sensori, verrà visualizzato un riquadro con informazioni sul sensore e sul relativo stato di integrità.

    Sensor details.

  5. Se si seleziona uno dei problemi di integrità, si otterrà un riquadro con altri dettagli su di essi. Se si sceglie un problema chiuso, è possibile riaprirlo da qui.

    Issue details.

  6. Se si seleziona Gestisci sensore, verrà aperto un riquadro in cui è possibile configurare i dettagli del sensore.

    Manage sensor.

    Configure sensor details.

  7. Nella pagina Sensori è possibile esportare l'elenco di sensori in un file .csv selezionando Esporta.

    Export list of sensors.

Dettagli del sensore

La pagina dei sensori fornisce le informazioni seguenti su ogni sensore:

  • Sensore: visualizza il nome del computer NetBIOS del sensore.

  • Tipo: visualizza il tipo del sensore. I valori possibili sono:

    • Sensore controller di dominio

    • Sensore AD FS (Active Directory Federation Services)

    • Sensore autonomo

    • Sensore ADCS (Servizi certificati Active Directory). Se il sensore è installato in un server controller di dominio con Servizi certificati Active Directory configurato, ad esempio in un ambiente di test, il tipo di sensore viene visualizzato come sensore controller di dominio.

  • Dominio: visualizza il nome di dominio completo del dominio di Active Directory in cui è installato il sensore.

  • Stato del servizio: visualizza lo stato del servizio sensore nel server. I valori possibili sono:

    • Esecuzione: il servizio sensore è in esecuzione

    • Avvio: Avvio del servizio sensore

    • Disabilitato: il servizio sensore è disabilitato

    • Arrestato: il servizio sensore viene arrestato

    • Sconosciuto: il sensore è disconnesso o non raggiungibile

  • Stato sensore: visualizza lo stato complessivo del sensore. I valori possibili sono:

    • Aggiornato: il sensore esegue una versione corrente del sensore.

    • Obsoleto: sensor esegue una versione del software che è almeno tre versioni dietro la versione corrente.

    • Aggiornamento: il software del sensore viene aggiornato.

    • Aggiornamento non riuscito: il sensore non è riuscito ad eseguire l'aggiornamento a una nuova versione.

    • Non configurato: il sensore richiede più configurazione prima che sia completamente operativo. Questo vale per i sensori installati nei server AD FS/AD CS o nei sensori autonomi.

    • Avvio non riuscito: il sensore non ha eseguito il pull della configurazione per più di 30 minuti.

    • Sincronizzazione: il sensore ha aggiornamenti di configurazione in sospeso, ma non ha ancora eseguito il pull della nuova configurazione.

    • Disconnesso: il servizio Defender per identità non ha visto alcuna comunicazione da questo sensore in 10 minuti.

    • Non raggiungibile: il controller di dominio è stato eliminato da Active Directory. Tuttavia, l'installazione del sensore non è stata disinstallata e rimossa dal controller di dominio prima che sia stata rimossa. È possibile eliminare questa voce in modo sicuro.

  • Versione: visualizza la versione del sensore installata.

  • Aggiornamento ritardato: visualizza lo stato del meccanismo di aggiornamento ritardato del sensore. I valori possibili sono:

    • Attivata

    • Disabilitata

  • Stato integrità: visualizza lo stato di integrità complessivo del sensore con un'icona colorata che rappresenta l'avviso di integrità aperto con gravità più alta. I valori possibili sono:

    • Integro (icona verde): nessun problema di integrità aperto

    • Non integro (icona gialla): il problema di integrità aperto con la gravità più alta è basso

    • Non integro (icona arancione): il problema di integrità aperto con la gravità più alta è medio

    • Non integro (icona rossa): il problema di integrità aperto con la gravità più alta è elevato

  • Problemi di integrità: visualizza il numero di problemi di integrità aperti nel sensore.

  • Creato: visualizza la data di installazione del sensore

Aggiornamento dei sensori

Mantenere aggiornati i sensori Microsoft Defender per identità, offre la migliore protezione possibile per l'organizzazione.

Il servizio Microsoft Defender per identità viene in genere aggiornato alcune volte al mese con nuovi rilevamenti, funzionalità e miglioramenti delle prestazioni. In genere questi aggiornamenti includono un aggiornamento secondario corrispondente ai sensori. I sensori defender per identità e gli aggiornamenti corrispondenti non dispongono mai delle autorizzazioni di scrittura per i controller di dominio. I pacchetti di aggiornamento dei sensori controllano solo le funzionalità di rilevamento dei sensori e dei sensori di Defender per identità.

Tipi di aggiornamento del sensore defender per identità

I sensori defender per identità supportano due tipi di aggiornamenti:

  • Aggiornamenti della versione secondaria:

    • Frequente
    • Non è necessaria alcuna installazione MSI e non sono state apportate modifiche al Registro di sistema
    • Riavviato: Servizi del sensore defender per identità

  • Aggiornamenti della versione principali:

    • Raro
    • Contiene modifiche significative
    • Riavviato: Servizi del sensore defender per identità

Nota

  • I sensori defender per identità riservano sempre almeno il 15% della memoria disponibile e della CPU disponibili nel controller di dominio in cui è installato. Se il servizio Defender per identità utilizza una quantità eccessiva di memoria, il servizio viene arrestato e riavviato automaticamente dal servizio di aggiornamento del sensore defender per identità.

Aggiornamento ritardato del sensore

Data la rapida velocità degli aggiornamenti di sviluppo e rilascio di Defender per identità in corso, è possibile decidere di definire un gruppo di subset dei sensori come anello di aggiornamento ritardato, consentendo un processo di aggiornamento graduale del sensore. Defender per identità consente di scegliere il modo in cui i sensori vengono aggiornati e impostare ogni sensore come candidato per l'aggiornamento ritardato.

I sensori non selezionati per l'aggiornamento ritardato vengono aggiornati automaticamente, ogni volta che il servizio Defender per identità viene aggiornato. I sensori impostati su Aggiornamento ritardato vengono aggiornati in un ritardo di 72 ore, dopo il rilascio ufficiale di ogni aggiornamento del servizio.

L'opzione di aggiornamento ritardato consente di selezionare sensori specifici come anello di aggiornamento automatico, su cui vengono distribuiti automaticamente tutti gli aggiornamenti e impostare il resto dei sensori da aggiornare in ritardo, dando il tempo di confermare che i sensori aggiornati automaticamente sono stati completati correttamente.

Nota

Se si verifica un errore e un sensore non viene aggiornato, aprire un ticket di supporto. Per rafforzare ulteriormente il proxy per comunicare solo con l'area di lavoro, vedere Configurazione del proxy.

L'autenticazione tra i sensori e il servizio cloud di Azure usa l'autenticazione reciproca basata su certificati avanzata. Il certificato client viene creato durante l'installazione del sensore come certificato autofirmato, valido per 2 anni. Il servizio Sensor Updater è responsabile della generazione di un nuovo certificato autofirmato prima della scadenza del certificato esistente. I certificati vengono eseguiti con un processo di convalida in due fasi sul back-end per evitare una situazione in cui un certificato in sequenza interrompe l'autenticazione.

Ogni aggiornamento viene testato e convalidato in tutti i sistemi operativi supportati per causare un impatto minimo sulla rete e sulle operazioni.

Per impostare un sensore su aggiornamento ritardato:

  1. Nella pagina Sensori selezionare il sensore da impostare per gli aggiornamenti ritardati.

  2. Selezionare il pulsante Enabled delayed update (Aggiornamento ritardato abilitato).

    Enable delayed update.

  3. Nella finestra di conferma selezionare Abilita.

Per disabilitare gli aggiornamenti ritardati, selezionare il sensore e quindi selezionare il pulsante Disabilitato aggiornamento ritardato.

Processo di aggiornamento del sensore

Ogni pochi minuti, i sensori defender per identità controllano se hanno la versione più recente. Dopo l'aggiornamento del servizio cloud Defender per identità a una versione più recente, il servizio sensore defender per identità avvia il processo di aggiornamento:

  1. Aggiornamenti del servizio cloud Defender per identità alla versione più recente.

  2. Il servizio di aggiornamento del sensore defender per identità apprende che è disponibile una versione aggiornata.

  3. I sensori non impostati su Aggiornamento ritardato avviano il processo di aggiornamento in base al sensore:

    1. Il servizio di aggiornamento del sensore defender per identità esegue il pull della versione aggiornata dal servizio cloud (in formato file CAB).
    2. Defender per identity sensor updater convalida la firma del file.
    3. Il servizio di aggiornamento del sensore defender per identità estrae il file CAB in una nuova cartella nella cartella di installazione del sensore. Per impostazione predefinita, viene estratto nel numero di versione C:\Programmi\Azure Advanced Threat Protection Sensor<>
    4. Il servizio sensore defender per identità punta ai nuovi file estratti dal file CAB.
    5. Il servizio di aggiornamento del sensore defender per identità riavvia il servizio sensore Defender per identità.

      Nota

      Gli aggiornamenti secondari dei sensori non installano msi, non modificano i valori del Registro di sistema o i file di sistema. Anche un riavvio in sospeso non influisce sull'aggiornamento di un sensore.

    6. I sensori vengono eseguiti in base alla versione appena aggiornata.
    7. Il sensore riceve l'autorizzazione dal servizio cloud di Azure. È possibile verificare lo stato del sensore nella pagina Sensori .
    8. Il sensore successivo avvia il processo di aggiornamento.

  4. I sensori selezionati per l'aggiornamento ritardato avviano il processo di aggiornamento 72 ore dopo l'aggiornamento del servizio cloud Defender per identità. Questi sensori useranno quindi lo stesso processo di aggiornamento dei sensori aggiornati automaticamente.

Per qualsiasi sensore che non riesce a completare il processo di aggiornamento, viene attivato un avviso di integrità pertinente e viene inviato come notifica.

Sensor update failure.

Aggiornare automaticamente il sensore Defender per identità

Usare il comando seguente per aggiornare automaticamente il sensore Defender per identità:

Sintassi:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Opzioni di installazione:

Nome Sintassi Obbligatorio per l'installazione invisibile all'utente? Descrizione
Quiet /quiet Esegue l'installazione senza visualizzare elementi dell'interfaccia utente o richieste di conferma.
Icona ? /help No Rende disponibili la Guida e il Riferimento rapido. Visualizza l'uso corretto del comando di impostazione con un elenco di tutte le opzioni e i comportamenti.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Specifica i parametri per l'installazione di .Net Framework. Deve essere impostato per applicare l'installazione invisibile all'utente di .Net Framework.

Esempi:

Per aggiornare il sensore Defender per identità in modo invisibile all'utente:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Configurare impostazioni del proxy

È consigliabile configurare le impostazioni proxy iniziali durante l'installazione usando opzioni della riga di comando. Se è necessario aggiornare le impostazioni proxy in un secondo momento, usare l'interfaccia della riga di comando o PowerShell.

Se le impostazioni proxy sono state configurate in precedenza tramite WinINet o una chiave del Registro di sistema ed è necessario aggiornarle, sarà necessario usare lo stesso metodo usato in origine.

Per altre informazioni, vedere Configurare le impostazioni di connettività Internet e proxy dell'endpoint.

Passaggi successivi