Управление датчиками Microsoft Defender для удостоверений и обновление

  • Статья

В этой статье объясняется, как настроить датчики Microsoft Defender для удостоверений и управлять ими в XDR в Microsoft Defender.

Просмотр параметров и состояния датчика Defender для удостоверений

  1. В Microsoft Defender XDR перейдите к Параметры и удостоверениям.

    Go to Settings, then Identities.

  2. Выберите страницу "Датчики" , в которой отображаются все датчики Defender для удостоверений. Для каждого датчика вы увидите его имя, его членство в домене, номер версии, если обновления должны быть отложены, состояние службы, состояние датчика, состояние работоспособности, количество проблем со работоспособностью и при создании датчика. Дополнительные сведения о каждом столбце см. в разделе "Сведения о датчике".

    Sensor page.

  3. Если выбрать фильтры, можно выбрать, какие фильтры будут доступны. Затем с каждым фильтром можно выбрать датчики для отображения.

    Sensor filters.

    Filtered sensor.

  4. Если выбрать один из датчиков, панель будет отображать сведения о датчике и его состоянии работоспособности.

    Sensor details.

  5. Если выбрать какие-либо из проблем со работоспособностью, вы получите область с дополнительными сведениями о них. Если выбрать закрытую проблему, ее можно повторно открыть здесь.

    Issue details.

  6. Если выбрать " Управление датчиком", откроется панель, где можно настроить сведения об датчике.

    Manage sensor.

    Configure sensor details.

  7. На странице "Датчики" можно экспортировать список датчиков в файл .csv, выбрав "Экспорт".

    Export list of sensors.

Сведения о датчике

На странице датчиков приведены следующие сведения о каждом датчике:

  • Датчик: отображает имя компьютера NetBIOS датчика.

  • Тип: отображает тип датчика. Возможны следующие значения:

    • Датчик контроллера домена

    • Датчик AD FS (службы федерации Active Directory (AD FS))

    • Автономный датчик

    • Датчик ADCS (службы сертификатов Active Directory). Если датчик установлен на сервере контроллера домена с настроенной службой AD CS, например в тестовой среде, вместо этого тип датчика отображается как датчик контроллера домена.

  • Домен. Отображает полное доменное имя домена Active Directory, где установлен датчик.

  • Состояние службы: отображает состояние службы датчиков на сервере. Возможны следующие значения:

    • Выполняется: служба датчиков запущена

    • Запуск: служба датчиков запускается

    • Отключено: служба датчиков отключена

    • Остановлено: служба датчиков остановлена

    • Неизвестно: датчик отключен или недоступен

  • Состояние датчика: отображает общее состояние датчика. Возможны следующие значения:

    • До сих пор: датчик работает с текущей версией датчика.

    • Устаревшее: датчик работает с версией программного обеспечения, который находится по крайней мере в трех версиях за текущей версией.

    • Обновление: обновляется программное обеспечение датчика.

    • Сбой обновления: датчик не удалось обновить до новой версии.

    • Не настроено: датчику требуется дополнительная конфигурация, прежде чем она полностью работает. Это относится к датчикам, установленным на серверах AD FS/ AD CS или автономных датчиках.

    • Сбой запуска: датчик не извлекал конфигурацию более 30 минут.

    • Синхронизация: датчик имеет обновления конфигурации, ожидающие, но он еще не вытащил новую конфигурацию.

    • Отключено: служба Defender для удостоверений не видела никакого взаимодействия с этим датчиком в течение 10 минут.

    • Недоступно: контроллер домена был удален из Active Directory. Однако установка датчика не была удалена и удалена из контроллера домена до его вывода из эксплуатации. Эту запись можно безопасно удалить.

  • Версия: отображает установленную версию датчика.

  • Отложенное обновление: отображает состояние отложенного механизма обновления датчика. Возможны следующие значения:

    • Активировано

    • Выключено

  • Состояние работоспособности: отображает общее состояние работоспособности датчика с цветным значком, представляющим оповещение о состоянии работоспособности. Возможны следующие значения:

    • Работоспособный (зеленый значок): нет открытых проблем со здоровьем

    • Нездоровая (желтый значок): самая высокая серьезность открытой проблемы работоспособности низка

    • Нездоровая (оранжевый значок): самая высокая серьезность открытой проблемы работоспособности — средняя

    • Нездоровая (красный значок): высокая серьезность открытой проблемы работоспособности высока.

  • Проблемы со здоровьем: отображает количество открытых проблем работоспособности на датчике.

  • Создано: отображает дату установки датчика

Обновление датчиков

Обеспечение актуальности Microsoft Defender для удостоверений датчиков обеспечивает оптимальную защиту для вашей организации.

Служба Microsoft Defender для удостоверений обычно обновляется несколько раз в месяц с новыми обнаружениями, функциями и улучшениями производительности. Обычно эти обновления включают соответствующее дополнительное обновление датчиков. Датчики Defender для удостоверений и соответствующие обновления никогда не имеют разрешений на запись на контроллеры домена. Пакеты обновления датчика управляют только возможностями датчика Defender для удостоверений и датчика.

Типы обновлений датчика Defender для удостоверений

Датчики Defender для удостоверений поддерживают два типа обновлений:

  • Дополнительные обновления версий:

    • Часто
    • Не требуется установка MSI и никаких изменений в реестре
    • Перезапуск: Службы датчиков Defender для удостоверений

  • Обновления основных версий:

    • Редко
    • Содержит значительные изменения
    • Перезапуск: Службы датчиков Defender для удостоверений

Примечание.

  • Датчики Defender для удостоверений всегда резервировать не менее 15 % доступной памяти и ЦП на контроллере домена, где он установлен. Если служба Defender для удостоверений потребляет слишком много памяти, служба автоматически останавливается и перезапускается службой обновления датчика Defender для удостоверений.

Отложенное обновление датчика

Учитывая быструю скорость непрерывной разработки и выпуска Defender для удостоверений, вы можете определить подмножество датчиков в качестве отложенного кольца обновления, что позволяет постепенно обновлять датчик. Defender для удостоверений позволяет выбрать способ обновления датчиков и задать каждый датчик в качестве кандидата на отложенное обновление .

Датчики, не выбранные для отложенного обновления, обновляются автоматически при каждом обновлении службы Defender для удостоверений. Датчики, установленные для отложенного обновления , обновляются по задержке в 72 часа после официального выпуска каждого обновления службы.

Параметр "Отложенное обновление" позволяет выбрать определенные датчики в качестве круга автоматического обновления , на котором все обновления развертываются автоматически, и задать остальные датчики для обновления по задержке, что дает вам время, чтобы убедиться, что автоматически обновленные датчики были успешно выполнены.

Примечание.

Если возникает ошибка и датчик не обновляется, откройте запрос в службу поддержки. Чтобы дополнительно затвердить прокси-сервер только для взаимодействия с рабочей областью, ознакомьтесь с конфигурацией прокси-сервера.

Проверка подлинности между датчиками и облачной службой Azure использует надежную взаимную проверку подлинности на основе сертификатов. Сертификат клиента создается на установке датчика как самозаверяющий сертификат, действительный в течение 2 лет. Служба обновления датчиков отвечает за создание самозаверяющего сертификата до истечения срока действия существующего сертификата. Сертификаты свернуты с 2-фазным процессом проверки серверной части, чтобы избежать ситуации, когда последовательный сертификат прерывает проверку подлинности.

Каждое обновление проверяется и проверяется во всех поддерживаемых операционных системах, чтобы привести к минимальному влиянию на сеть и операции.

Чтобы задать для датчика задержку обновления, выполните следующее:

  1. На странице "Датчики" выберите датчик, который нужно задать для отложенных обновлений.

  2. Нажмите кнопку "Включено отложенное обновление ".

    Enable delayed update.

  3. В окне подтверждения нажмите кнопку "Включить".

Чтобы отключить отложенные обновления, выберите датчик и нажмите кнопку "Отключено отложенное обновление ".

Процесс обновления датчика

Каждые несколько минут датчики Defender для удостоверений проверка, имеют ли они последнюю версию. После обновления облачной службы Defender для удостоверений до новой версии служба датчика Defender для удостоверений запускает процесс обновления:

  1. Облачная служба Defender для удостоверений обновляется до последней версии.

  2. Служба обновления датчика удостоверений Defender для удостоверений узнает, что обновлена версия.

  3. Датчики, которые не заданы для отложенного обновления, запускают процесс обновления на датчике по датчику по датчику:

    1. Служба обновления датчика удостоверений Defender для удостоверений извлекает обновленную версию из облачной службы (в формате cab-файла).
    2. Средство обновления датчика удостоверений Defender для удостоверений проверяет подпись файла.
    3. Служба обновления датчиков Defender для удостоверений извлекает cab-файл в новую папку в папке установки датчика. По умолчанию он извлекается в C:\Program Files\Номер версии датчика<расширенной защиты от угроз Azure>
    4. Служба датчика удостоверений Defender указывает на новые файлы, извлеченные из cab-файла.
    5. Служба обновления датчика удостоверений Defender для удостоверений перезапускает службу датчика Defender для удостоверений.

      Примечание.

      Незначительные обновления датчиков не устанавливают MSI, не изменяйте значения реестра или системные файлы. Даже ожидающий перезапуск не влияет на обновление датчика.

    6. Датчики выполняются на основе новой обновленной версии.
    7. Датчик получает разрешение от облачной службы Azure. Состояние датчика можно проверить на странице "Датчики ".
    8. Следующий датчик запускает процесс обновления.

  4. Датчики, выбранные для отложенного обновления, запускают процесс обновления через 72 часа после обновления облачной службы Defender для удостоверений. Эти датчики будут использовать тот же процесс обновления, что и автоматически обновленные датчики.

Для любого датчика, который не может завершить процесс обновления, активируется соответствующее оповещение о работоспособности и отправляется в виде уведомления.

Sensor update failure.

Автоматическое обновление датчика Defender для удостоверений

Используйте следующую команду для автоматического обновления датчика Defender для удостоверений:

Синтаксис

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Параметры установки:

Имя. Синтаксис Обязательно для автоматический установки? Description
Тихий NaN /quiet Да Запускает установщик без отображения пользовательского интерфейса и запросов.
Справка /help No Предоставляет справку и краткие инструкции. Отображает правильное использование команды setup, включая список всех параметров и вариантов поведения.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Да Задает параметры для установки .Net Framework. Необходимо установить для принудительной автоматической установки .Net Framework.

Примеры:

Чтобы автоматически обновить датчик Defender для удостоверений, выполните следующие действия.

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Настройка параметров прокси

Рекомендуется настроить начальные параметры прокси-сервера во время установки с помощью коммутаторов командной строки. Если вы хотите обновить параметры прокси-сервера позже, используйте интерфейс командной строки или PowerShell.

Если вы ранее настроили параметры прокси-сервера с помощью WinINet или раздела реестра и должны обновить их, вам потребуется использовать тот же метод , который вы использовали изначально.

Дополнительные сведения см. в разделе "Настройка параметров прокси-сервера конечной точки и подключения к Интернету".

Следующие шаги