Microsoft Defender for Identity-sensoren beheren en bijwerken

In dit artikel wordt uitgelegd hoe u Microsoft Defender for Identity-sensoren configureert en beheert in Microsoft Defender XDR.

Instellingen en status van Defender for Identity-sensor weergeven

1. Ga in Microsoft Defender XDR naar Instellingen en vervolgens Identiteiten.

   

2. Selecteer de pagina Sensoren , waarin al uw Defender for Identity-sensoren worden weergegeven. Voor elke sensor ziet u de naam, het domeinlidmaatschap, het versienummer, als updates moeten worden vertraagd, de servicestatus, sensorstatus, status, het aantal statusproblemen en wanneer de sensor is gemaakt. Zie Sensordetails voor meer informatie over elke kolom.

   

3. Als u Filters selecteert, kunt u kiezen welke filters beschikbaar zijn. Vervolgens kunt u met elk filter kiezen welke sensoren moeten worden weergegeven.

   

   

4. Als u een van de sensoren selecteert, wordt een deelvenster weergegeven met informatie over de sensor en de status ervan.

   

5. Als u een van de statusproblemen selecteert, krijgt u een deelvenster met meer informatie over deze problemen. Als u een gesloten probleem kiest, kunt u het hier opnieuw openen.

   

6. Als u Sensor beheren selecteert, wordt er een deelvenster geopend waar u de sensordetails kunt configureren.

   

   

7. Op de pagina Sensoren kunt u uw lijst met sensoren exporteren naar een .csv-bestand door Exporteren te selecteren.

   

Sensordetails

De pagina sensoren bevat de volgende informatie over elke sensor:

• Sensor: Geeft de NetBIOS-computernaam van de sensor weer.

• Type: Geeft het type van de sensor weer. Mogelijke waarden zijn:

  • Domeincontrollersensor

  • AD FS-sensor (Active Directory Federation Services)

  • Zelfstandige sensor

  • ADCS-sensor (Active Directory Certificate Services). Als uw sensor is geïnstalleerd op een domeincontrollerserver waarop AD CS is geconfigureerd, zoals in een testomgeving, wordt het sensortype in plaats daarvan weergegeven als domeincontrollersensor .

• Domein: Geeft de volledig gekwalificeerde domeinnaam weer van het Active Directory-domein waarop de sensor is geïnstalleerd.

• Servicestatus: geeft de status van de sensorservice op de server weer. Mogelijke waarden zijn:

  • Wordt uitgevoerd: Sensorservice wordt uitgevoerd

  • Starten: Sensorservice wordt gestart

  • Uitgeschakeld: Sensorservice is uitgeschakeld

  • Gestopt: sensorservice is gestopt

  • Onbekend: Sensor is verbroken of onbereikbaar

• Sensorstatus: Geeft de algehele status van de sensor weer. Mogelijke waarden zijn:

  • Up-to-date: Sensor voert een huidige versie van de sensor uit.

  • Verouderd: Sensor voert een versie uit van de software die ten minste drie versies achter de huidige versie heeft.

  • Bijwerken: Sensorsoftware wordt bijgewerkt.

  • Update is mislukt: Sensor kan niet worden bijgewerkt naar een nieuwe versie.

  • Niet geconfigureerd: Sensor vereist meer configuratie voordat deze volledig operationeel is. Dit geldt voor sensoren die zijn geïnstalleerd op AD FS-/AD CS-servers of zelfstandige sensoren.

  • Starten is mislukt: sensor heeft meer dan 30 minuten geen configuratie opgehaald.

  • Synchroniseren: Sensor heeft configuratie-updates in behandeling, maar de nieuwe configuratie is nog niet opgehaald.

  • Verbinding verbroken: de Defender for Identity-service heeft in tien minuten geen communicatie van deze sensor gezien.

  • Niet bereikbaar: de domeincontroller is verwijderd uit Active Directory. De sensorinstallatie is echter niet verwijderd en verwijderd van de domeincontroller voordat deze buiten gebruik werd gesteld. U kunt deze vermelding veilig verwijderen.

• Versie: Geeft de geïnstalleerde sensorversie weer.

• Vertraagde update: geeft de status van het vertraagde updatemechanisme van de sensor weer. Mogelijke waarden zijn:

  • Ingeschakeld

  • Uitgeschakeld

• Status: Geeft de algehele status van de sensor weer met een gekleurd pictogram dat de hoogste ernst van de geopende statuswaarschuwing vertegenwoordigt. Mogelijke waarden zijn:

  • In orde (groen pictogram): geen geopende statusproblemen

  • Niet in orde (geel pictogram): het probleem met de hoogste ernst dat is geopend, is laag

  • Niet in orde (oranje pictogram): het probleem met de hoogste ernst dat is geopend, is gemiddeld

  • Niet in orde (rood pictogram): het probleem met de hoogste ernst dat is geopend, is hoog

• Statusproblemen: geeft het aantal geopende statusproblemen op de sensor weer.

• Gemaakt: Geeft de datum weer waarop de sensor is geïnstalleerd

Uw sensoren bijwerken

Uw Microsoft Defender for Identity-sensoren up-to-date houden, biedt de best mogelijke beveiliging voor uw organisatie.

De Microsoft Defender for Identity-service wordt doorgaans een paar keer per maand bijgewerkt met nieuwe detecties, functies en prestatieverbeteringen. Deze updates bevatten doorgaans een bijbehorende secundaire update voor de sensoren. Defender for Identity-sensoren en bijbehorende updates hebben nooit schrijfmachtigingen voor uw domeincontrollers. Sensorupdatepakketten beheren alleen de mogelijkheden voor Defender for Identity-sensor- en sensordetectie.

Updatetypen defender for Identity-sensor

Defender for Identity-sensoren ondersteunen twee soorten updates:

• Secundaire versie-updates:

  • Regelmatig
  • Vereist geen MSI-installatie en geen registerwijzigingen
  • Opnieuw opgestart: Defender for Identity Sensor Services

• Belangrijke versie-updates:

  • Zeldzame
  • Bevat belangrijke wijzigingen
  • Opnieuw opgestart: Defender for Identity Sensor Services

Notitie

• Defender for Identity-sensoren reserveren altijd ten minste 15% van het beschikbare geheugen en de CPU die beschikbaar zijn op de domeincontroller waarop deze is geïnstalleerd. Als de Defender for Identity-service te veel geheugen verbruikt, wordt de service automatisch gestopt en opnieuw gestart door de Defender for Identity Sensor Updater-service.

Vertraagde sensorupdate

Gezien de snelle snelheid van doorlopende updates voor ontwikkeling en release van Defender for Identity, kunt u besluiten om een subsetgroep van uw sensoren te definiëren als een vertraagde updatering, waardoor een geleidelijk proces voor het bijwerken van de sensor mogelijk is. Met Defender for Identity kunt u kiezen hoe uw sensoren worden bijgewerkt en elke sensor instellen als kandidaat voor vertraagde updates .

Sensoren die niet zijn geselecteerd voor vertraagde updates, worden automatisch bijgewerkt, telkens wanneer de Defender for Identity-service wordt bijgewerkt. Sensoren die zijn ingesteld op Vertraagde update , worden bijgewerkt met een vertraging van 72 uur, na de officiële release van elke service-update.

Met de vertraagde updateoptie kunt u specifieke sensoren selecteren als een automatische updatering, waarop alle updates automatisch worden geïmplementeerd, en de rest van uw sensoren zo instellen dat ze op vertraging worden bijgewerkt, zodat u kunt controleren of de automatisch bijgewerkte sensoren zijn geslaagd.

Notitie

Als er een fout optreedt en een sensor niet wordt bijgewerkt, opent u een ondersteuningsticket. Zie Proxyconfiguratie om uw proxy verder te beperken om alleen met uw werkruimte te communiceren.

Verificatie tussen uw sensoren en de Azure-cloudservice maakt gebruik van sterke wederzijdse verificatie op basis van certificaten. Het clientcertificaat wordt gemaakt bij de sensorinstallatie als een zelfondertekend certificaat, dat 2 jaar geldig is. De Sensor Updater-service is verantwoordelijk voor het genereren van een nieuw zelfondertekend certificaat voordat het bestaande certificaat verloopt. De certificaten worden samengerold met een validatieproces in twee fasen op de back-end om te voorkomen dat een rolling certificaat de verificatie onderbreekt.

Elke update wordt getest en gevalideerd op alle ondersteunde besturingssystemen om minimale impact op uw netwerk en bewerkingen te veroorzaken.

Een sensor instellen op vertraagde update:

1. Selecteer op de pagina Sensoren de sensor die u wilt instellen voor vertraagde updates.

2. Selecteer de knop Vertraagde update ingeschakeld.

   

3. Selecteer In het bevestigingsvenster De optie Inschakelen.

Als u vertraagde updates wilt uitschakelen, selecteert u de sensor en selecteert u vervolgens de knop Vertraagde update uitgeschakeld.

Sensorupdateproces

Om de paar minuten controleren Defender for Identity-sensoren of ze de nieuwste versie hebben. Nadat de Defender for Identity-cloudservice is bijgewerkt naar een nieuwere versie, start de Defender for Identity-sensorservice het updateproces:

1. Defender for Identity-cloudservice wordt bijgewerkt naar de nieuwste versie.

2. Defender for Identity Sensor Updater-service leert dat er een bijgewerkte versie is.

3. Sensoren die niet zijn ingesteld op Vertraagde update , starten het updateproces op sensorbasis:

   1. De updaterservice voor Defender for Identity-sensor haalt de bijgewerkte versie op uit de cloudservice (in cab-bestandsindeling).
   2. Defender for Identity Sensor Updater valideert de bestandshandtekening.
   3. Defender for Identity Sensor Updater-service extraheert het cab-bestand naar een nieuwe map in de installatiemap van de sensor. Standaard wordt deze geëxtraheerd naar C:\Program Files\Azure Advanced Threat Protection Sensor<versienummer>
   4. Defender for Identity-sensorservice verwijst naar de nieuwe bestanden die zijn geëxtraheerd uit het cab-bestand.
   5. De Defender for Identity-sensorupdaterservice start de Defender for Identity-sensorservice opnieuw op.

      Notitie

      Kleine sensorupdates installeren geen MSI, wijzigen geen registerwaarden of systeembestanden. Zelfs een herstart in behandeling heeft geen invloed op een sensorupdate.

   6. Sensoren worden uitgevoerd op basis van de zojuist bijgewerkte versie.
   7. Sensor ontvangt goedkeuring van de Azure-cloudservice. U kunt de sensorstatus controleren op de pagina Sensoren .
   8. De volgende sensor start het updateproces.

4. Sensoren die zijn geselecteerd voor vertraagde update starten hun updateproces 72 uur nadat de Defender for Identity-cloudservice is bijgewerkt. Deze sensoren gebruiken vervolgens hetzelfde updateproces als automatisch bijgewerkte sensoren.

Voor elke sensor die het updateproces niet kan voltooien, wordt een relevante statuswaarschuwing geactiveerd en verzonden als een melding.

De Defender for Identity-sensor op de achtergrond bijwerken

Gebruik de volgende opdracht om de Defender for Identity-sensor op de achtergrond bij te werken:

Syntaxis:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Installatieopties:

Naam	Syntaxis	Mandatory for silent installation?	Beschrijving
Quiet	/quiet	Ja	Het installatieprogramma wordt uitgevoerd zonder dat de UI of prompts worden weergegeven.
Help	/ Help	Nee	Provides help and quick reference. Geeft het juiste gebruik van de setup-opdracht weer, samen met een overzicht van alle opties en alle gedrag.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Ja	Hiermee geeft u de parameters voor de .Net Framework-installatie. Moet worden ingesteld om de stille installatie van .Net Framework af te dwingen.

Voorbeelden:

De Defender for Identity-sensor op de achtergrond bijwerken:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Proxy-instellingen configureren

U wordt aangeraden de eerste proxy-instellingen tijdens de installatie te configureren met behulp van opdrachtregelswitches. Als u de proxy-instellingen later wilt bijwerken, gebruikt u de CLI of PowerShell.

Als u uw proxy-instellingen eerder hebt geconfigureerd via WinINet of een registersleutel en deze moet bijwerken, moet u dezelfde methode gebruiken die u oorspronkelijk hebt gebruikt.

Zie Instellingen voor eindpuntproxy en internetverbinding configureren voor meer informatie.

Volgende stappen

• Gebeurtenis doorsturen configureren
• Vereisten voor Defender for Identity
• Bekijk het Defender for Identity-forum.