Hantera och uppdatera Microsoft Defender för identitetssensorer

  • Artikel

Den här artikeln beskriver hur du konfigurerar och hanterar Microsoft Defender för identitetssensorer i Microsoft Defender XDR.

Visa inställningar och status för Defender för identitetssensorer

  1. I Microsoft Defender XDR går du till Inställningar och sedan Identiteter.

    Go to Settings, then Identities.

  2. Välj sidan Sensorer, som visar alla dina Defender för identitetssensorer. För varje sensor ser du dess namn, dess domänmedlemskap, versionsnumret, om uppdateringarna ska fördröjas, tjänststatus, sensorstatus, hälsostatus, antalet hälsoproblem och när sensorn skapades. Mer information om varje kolumn finns i Sensorinformation.

    Sensor page.

  3. Om du väljer Filter kan du välja vilka filter som ska vara tillgängliga. Med varje filter kan du sedan välja vilka sensorer som ska visas.

    Sensor filters.

    Filtered sensor.

  4. Om du väljer någon av sensorerna visas ett fönster med information om sensorn och dess hälsostatus.

    Sensor details.

  5. Om du väljer något av hälsoproblemen får du ett fönster med mer information om dem. Om du väljer ett stängt problem kan du öppna det här igen.

    Issue details.

  6. Om du väljer Hantera sensor öppnas ett fönster där du kan konfigurera sensorinformationen.

    Manage sensor.

    Configure sensor details.

  7. På sidan Sensorer kan du exportera din lista över sensorer till en .csv fil genom att välja Exportera.

    Export list of sensors.

Sensorinformation

Sensorsidan innehåller följande information om varje sensor:

  • Sensor: Visar sensorns NetBIOS-datornamn.

  • Typ: Visar sensortypen. Möjliga värden är:

    • Domänkontrollantsensor

    • AD FS-sensor (Active Directory Federation Services (AD FS))

    • Fristående sensor

    • ADCS-sensor ( Active Directory Certificate Services). Om sensorn är installerad på en domänkontrollantserver med AD CS konfigurerad, till exempel i en testmiljö, visas sensortypen som domänkontrollantsensor i stället.

  • Domän: Visar det fullständigt kvalificerade domännamnet för Active Directory-domänen där sensorn är installerad.

  • Tjänststatus: Visar status för sensortjänsten på servern. Möjliga värden är:

    • Körs: Sensortjänsten körs

    • Startar: Sensortjänsten startar

    • Inaktiverad: Sensortjänsten är inaktiverad

    • Stoppad: Sensortjänsten stoppas

    • Okänd: Sensorn är frånkopplad eller går inte att nå

  • Sensorstatus: Visar sensorns övergripande status. Möjliga värden är:

    • Uppdaterad: Sensorn kör en aktuell version av sensorn.

    • Inaktuell: Sensorn kör en version av programvaran som är minst tre versioner bakom den aktuella versionen.

    • Uppdaterar: Sensorprogramvaran uppdateras.

    • Uppdateringen misslyckades: Sensorn kunde inte uppdatera till en ny version.

    • Inte konfigurerad: Sensorn kräver mer konfiguration innan den är helt i drift. Detta gäller för sensorer som är installerade på AD FS/AD CS-servrar eller fristående sensorer.

    • Start misslyckades: Sensorn hämtade inte konfigurationen på mer än 30 minuter.

    • Synkronisering: Sensorn har väntande konfigurationsuppdateringar, men den har ännu inte hämtat den nya konfigurationen.

    • Frånkopplad: Defender for Identity-tjänsten har inte sett någon kommunikation från den här sensorn på 10 minuter.

    • Går inte att nå: Domänkontrollanten har tagits bort från Active Directory. Sensorinstallationen avinstallerades dock inte och togs bort från domänkontrollanten innan den inaktiverades. Du kan ta bort den här posten på ett säkert sätt.

  • Version: Visar sensorversionen installerad.

  • Fördröjd uppdatering: Visar sensorns tillstånd för fördröjd uppdateringsmekanism. Möjliga värden är:

    • Aktiverat

    • Inaktiverat

  • Hälsostatus: Visar den övergripande hälsostatusen för sensorn med en färgad ikon som representerar den högsta allvarlighetsgraden öppen hälsoavisering. Möjliga värden är:

    • Felfri (grön ikon): Inga öppnade hälsoproblem

    • Inte felfri (gul ikon): Det högsta problem med allvarlighetsgrad som öppnats är lågt

    • Inte felfri (orange ikon): Det högsta allvarlighetsgradsöppnade hälsoproblemet är medelhögt

    • Inte felfri (röd ikon): Det högsta problem med allvarlighetsgrad som öppnats är hög

  • Hälsoproblem: Visar antalet öppna hälsoproblem på sensorn.

  • Skapad: Visar det datum då sensorn installerades

Uppdatera dina sensorer

Att hålla dina Microsoft Defender for Identity-sensorer uppdaterade ger bästa möjliga skydd för din organisation.

Tjänsten Microsoft Defender för identitet uppdateras vanligtvis några gånger i månaden med nya identifieringar, funktioner och prestandaförbättringar. Vanligtvis innehåller dessa uppdateringar en motsvarande mindre uppdatering av sensorerna. Defender för identitetssensorer och motsvarande uppdateringar har aldrig skrivbehörighet till dina domänkontrollanter. Sensoruppdateringspaket styr endast funktionerna defender för identitetssensor och sensoridentifiering.

Uppdateringstyper för Defender för identitetssensorer

Defender for Identity-sensorer stöder två typer av uppdateringar:

  • Delversionsuppdateringar:

    • Ofta
    • Kräver ingen MSI-installation och inga registerändringar
    • Startas om: Defender för identitetssensortjänster

  • Huvudversionsuppdateringar:

    • Sällsynta
    • Innehåller betydande ändringar
    • Startas om: Defender för identitetssensortjänster

Kommentar

  • Defender for Identity-sensorer reserverar alltid minst 15 % av det tillgängliga minnet och den tillgängliga processorn på domänkontrollanten där den är installerad. Om Defender for Identity-tjänsten förbrukar för mycket minne stoppas tjänsten automatiskt och startas om av defender för identitetssensoruppdateringstjänsten.

Fördröjd sensoruppdatering

Med tanke på den snabba hastigheten för pågående uppdateringar av utveckling och lansering av Defender för identiteter kan du välja att definiera en delmängdsgrupp av dina sensorer som en fördröjd uppdateringsring, vilket möjliggör en gradvis sensoruppdateringsprocess. Med Defender for Identity kan du välja hur dina sensorer ska uppdateras och ange varje sensor som kandidat för fördröjd uppdatering .

Sensorer som inte har valts för fördröjd uppdatering uppdateras automatiskt varje gång defender för identitetstjänsten uppdateras. Sensorer som är inställda på Fördröjd uppdatering uppdateras med en fördröjning på 72 timmar efter den officiella versionen av varje tjänstuppdatering.

Med alternativet fördröjd uppdatering kan du välja specifika sensorer som en automatisk uppdateringsring, där alla uppdateringar distribueras automatiskt, och ställa in att resten av sensorerna ska uppdateras vid fördröjning, vilket ger dig tid att bekräfta att de automatiskt uppdaterade sensorerna lyckades.

Kommentar

Om ett fel inträffar och en sensor inte uppdateras öppnar du ett supportärende. Mer information om hur du härdar proxyn för att endast kommunicera med din arbetsyta finns i Proxykonfiguration.

Autentisering mellan dina sensorer och Azure-molntjänsten använder stark, certifikatbaserad ömsesidig autentisering. Klientcertifikatet skapas vid sensorinstallationen som ett självsignerat certifikat som är giltigt i två år. Sensor Updater-tjänsten ansvarar för att generera ett nytt självsignerat certifikat innan det befintliga certifikatet upphör att gälla. Certifikaten rullas med en 2-fass valideringsprocess mot serverdelen för att undvika en situation där ett rullande certifikat bryter autentiseringen.

Varje uppdatering testas och verifieras på alla operativsystem som stöds för att orsaka minimal påverkan på nätverket och driften.

Så här ställer du in en sensor på fördröjd uppdatering:

  1. På sidan Sensorer väljer du den sensor som du vill ange för fördröjda uppdateringar.

  2. Välj knappen Aktiverad fördröjd uppdatering.

    Enable delayed update.

  3. I bekräftelsefönstret väljer du Aktivera.

Om du vill inaktivera fördröjda uppdateringar väljer du sensorn och sedan knappen Inaktiverad fördröjd uppdatering .

Process för sensoruppdatering

Med några minuters mellanrum kontrollerar Defender for Identity-sensorer om de har den senaste versionen. När molntjänsten Defender för identitet har uppdaterats till en nyare version startar Defender for Identity-sensortjänsten uppdateringsprocessen:

  1. Defender for Identity-molntjänsten uppdateras till den senaste versionen.

  2. Defender for Identity Sensor Updater Service får reda på att det finns en uppdaterad version.

  3. Sensorer som inte är inställda på Fördröjd uppdatering startar uppdateringsprocessen på sensorbasis:

    1. Defender for Identity Sensor Updater-tjänsten hämtar den uppdaterade versionen från molntjänsten (i cab-filformat).
    2. Defender for Identity sensor updater validerar filsignaturen.
    3. Defender for Identity Sensor Updater-tjänsten extraherar cab-filen till en ny mapp i sensorns installationsmapp. Som standard extraheras den till versionsnumret C:\Program Files\Azure Advanced Threat Protection Sensor<>
    4. Defender for Identity Sensor Service pekar på de nya filerna som extraherats från cab-filen.
    5. Defender for Identity Sensor Updater-tjänsten startar om tjänsten Defender för identitetssensor.

      Kommentar

      Mindre sensoruppdateringar installerar ingen MSI, ändrar inga registervärden eller systemfiler. Inte ens en väntande omstart påverkar någon sensoruppdatering.

    6. Sensorer körs baserat på den nyligen uppdaterade versionen.
    7. Sensorn tar emot tillstånd från Azure-molntjänsten. Du kan verifiera sensorstatus på sidan Sensorer .
    8. Nästa sensor startar uppdateringsprocessen.

  4. Sensorer som valts för fördröjd uppdatering startar uppdateringsprocessen 72 timmar efter att molntjänsten Defender för identitet har uppdaterats. Dessa sensorer använder sedan samma uppdateringsprocess som automatiskt uppdaterade sensorer.

För alla sensorer som inte kan slutföra uppdateringsprocessen utlöses en relevant hälsoavisering och skickas som ett meddelande.

Sensor update failure.

Uppdatera Defender for Identity-sensorn tyst

Använd följande kommando för att tyst uppdatera Defender for Identity-sensorn:

Syntax:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Installationsalternativ:

Name Syntax Mandatory for silent installation? beskrivning
Quiet /quiet Ja Kör installationsprogrammet utan att visa UI eller uppmaningar.
Hjälp /help Nej Provides help and quick reference. Visar korrekt användning av installationskommandot inklusive en lista över alla alternativ och beteenden.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Ja Anger parametrarna för .Net Framework-installationen. Måste anges för att framtvinga den tysta installationen av .Net Framework.

Exempel:

Så här uppdaterar du Defender for Identity-sensorn tyst:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Konfigurera proxyinställningar

Vi rekommenderar att du konfigurerar inledande proxyinställningar under installationen med hjälp av kommandoradsväxlar. Om du behöver uppdatera proxyinställningarna senare använder du antingen CLI eller PowerShell.

Om du tidigare har konfigurerat proxyinställningarna via antingen WinINet eller en registernyckel och behöver uppdatera dem måste du använda samma metod som du använde ursprungligen.

Mer information finns i Konfigurera inställningar för slutpunktsproxy och Internetanslutning.

Nästa steg