配置 Microsoft Defender for Identity 传感器设置

在本文章中，你将了解如何正确配置 Microsoft Defender for Identity 传感器设置以开始查看数据。你需要进行额外的配置和集成，以充分利用 Defender for Identity 的全部功能。

以下视频展示了对 Defender for Identity 传感器设置的回顾：

查看和配置传感器设置

安装 Defender for Identity 传感器后，请执行以下操作以查看和配置 Defender for Identity 传感器设置：

配置以下传感器详细信息：

名称	说明
描述	可选。输入 Defender for Identity 传感器的说明。
域控制器 (FQDN)	对于 Defender for Identity 独立传感器和安装在 AD FS/AD CS 服务器上的传感器是必需的，并且不能针对 Defender for Identity 传感器进行修改。输入域控制器的完整 FQDN，然后选择加号将其添加到列表中。例如，DC1.domain1.test.local。对于你在域控制器列表中定义的任何服务器： - Defender for Identity 独立传感器通过端口镜像监视流量的所有域控制器必须列在域控制器列表中。如果某个域控制器未在域控制器列表中列出，则对可疑活动的检测可能无法按预期运行。 - 列表中至少应有一个域控制器是全局编录。这使 Defender for Identity 能够解析林中其他域中的计算机和用户对象。
捕获网络适配器	必需。 - 对于 Defender for Identity 传感器，指用于与组织中其他计算机通信的所有网络适配器。 - 对于专用服务器上的 Defender for Identity 独立传感器，选择配置为目标镜像端口的网络适配器。这些这些网络适配器会接收已镜像的域控制器的流量。

使用以下步骤验证 Defender for Identity 传感器的安装。

注意

如果要在 AD FS 或 AD CS 服务器上安装，则将使用一组不同的验证。有关更多信息，请参阅验证在 AD FS/AD CS 服务器上的成功部署。

要验证 Defender for Identity 传感器是否已成功部署，请执行以下操作：

请检查你的传感器计算机上是否正在运行 Azure 高级威胁防护传感器服务。保存 Defender for Identity 传感器设置后，服务可能需要几秒钟才能开始。
如果服务没有开始，请查看 Microsoft.Tri.sensor-Errors.log 文件，该文件默认位于 %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs，其中 <sensor version> 是你部署的版本。

本节介绍了如何验证安全警报是否按预期触发。

在使用以下步骤中的示例时，请确保将 contosodc.contoso.azure 和 contoso.azure 分别替换为 Defender for Identity 传感器和域名的 FQDN。

在加入成员的设备上，打开命令提示符并输入 nslookup
输入 server 和安装了 Defender for Identity 传感器的域控制器的 FQDN 或 IP 地址。例如：server contosodc.contoso.azure
输入 ls -d contoso.azure
对要测试的每个传感器重复前两个步骤。
通过搜索设备名称或从 Defender 门户中的其他位置访问运行连接测试的计算机的设备详细信息页面，例如从设备页面。
在“设备详细信息”选项卡上，选择时间线选项卡以查看以下活动：
- 事件：对指定域名执行的 DNS 查询
- 操作类型 MdiDnsQuery

如果您正在测试的域控制器或 AD FS/AD CS 是你部署的第一个传感器，请至少等待 15 分钟，然后再验证该域控制器的任何逻辑活动，使数据库后端能够完成初始微服务部署。

Defender for Identity 版本会频繁更新。请在 Microsoft Defender XDR 设置>身份>关于页面中检查最新版本。

现在你已经配置了初始配置步骤，接下来可以配置更多设置。有关更多信息，请转到以下任意页面：