管理及更新 適用於身分識別的 Microsoft Defender 感測器

  • 發行項

本文說明如何在 Microsoft Defender 全面偵測回應 中設定和管理 適用於身分識別的 Microsoft Defender 感測器。

檢視適用於身分識別的Defender感測器設定和狀態

  1. [Microsoft Defender 全面偵測回應] 中,移至 [設定] 和 [身分識別]。

    Go to Settings, then Identities.

  2. 選取 [ 感測器] 頁面,其中會顯示所有適用於身分識別的Defender感測器。 針對每個感測器,您會看到其名稱、其網域成員資格、版本號碼、如果應該延遲更新、服務狀態、感測器狀態、健康情況狀態、健康情況問題數目,以及感測器建立的時間。 如需每個數據行的詳細資訊,請參閱 感測器詳細數據

    Sensor page.

  3. 如果您選取 [ 篩選],則可以選擇可用的篩選。 然後,使用每個篩選,您可以選擇要顯示的感測器。

    Sensor filters.

    Filtered sensor.

  4. 如果您選取其中一個感測器,窗格會顯示感測器及其健康情況狀態的相關信息。

    Sensor details.

  5. 如果您選取任何健康情況問題,您將會看到包含更多詳細資料的窗格。 如果您選擇已關閉的問題,您可以從這裡重新開啟它。

    Issue details.

  6. 如果您選取 [ 管理感測器],則會開啟窗格,您可以在其中設定感測器詳細數據。

    Manage sensor.

    Configure sensor details.

  7. 在 [ 感測器 ] 頁面中,您可以選取 [匯出],將感測器清單匯出至.csv檔案。

    Export list of sensors.

感測器詳細數據

感測器頁面提供每個感測器的下列資訊:

  • 感測器:顯示感測器的 NetBIOS 計算機名稱。

  • 類型:顯示感測器的類型。 可能的值包括:

    • 域控制器感測器

    • AD FS 感測器 (Active Directory 同盟服務)

    • 獨立感測器

    • ADCS 感測器 (Active Directory 憑證服務)。 如果您的感測器安裝在已設定AD CS的域控制器伺服器上,例如在測試環境中,感測器類型會改為顯示為 域控制器感測器

  • 網域:顯示安裝感測器之 Active Directory 網域的完整功能變數名稱。

  • 服務狀態:顯示伺服器上的感測器服務狀態。 可能的值包括:

    • 執行:感測器服務正在執行中

    • 啟動:感測器服務正在啟動

    • 停用:已停用感測器服務

    • 已停止:感測器服務已停止

    • 未知:感測器已中斷連線或無法連線

  • 感測器狀態:顯示感測器的整體狀態。 可能的值包括:

    • 最新消息:感測器正在執行目前版本的感測器。

    • 過時:感測器執行的軟體版本,至少比目前版本落後三個版本。

    • 更新:正在更新感測器軟體。

    • 更新失敗:感測器無法更新至新版本。

    • 未設定:感測器在完全運作之前需要更多設定。 這適用於安裝在AD FS/AD CS 伺服器或獨立感測器上的感測器。

    • 啟動失敗:感測器未提取設定超過 30 分鐘。

    • 同步處理:感測器有設定更新擱置中,但尚未提取新的設定。

    • 已中斷連線:適用於身分識別的Defender服務在10分鐘內未看到來自此感測器的任何通訊。

    • 無法連線:域控制器已從 Active Directory 中刪除。 不過,感測器安裝在解除委任之前,不會從域控制器卸載並移除。 您可以安全地刪除此專案。

  • 版本:顯示已安裝的感測器版本。

  • 延遲更新:顯示感測器的延遲更新機制狀態。 可能的值包括:

    • 啟用

    • 停用

  • 健全狀況狀態:顯示感測器的整體健康狀態,其色彩圖示代表最高嚴重性開啟健康情況警示。 可能的值包括:

    • 狀況良好(綠色圖示):沒有開啟的健康情況問題

    • 狀況不良(黃色圖示):最高嚴重性開啟的健康情況問題很低

    • 狀況不良(橙色圖示):最高嚴重性開啟的健康情況問題為中度

    • 狀況不良(紅色圖示):最高嚴重性開啟的健康情況問題很高

  • 健康情況問題:顯示感測器上已開啟健康情況問題的計數。

  • 已建立:顯示已安裝感測器的日期

更新感測器

讓您的 適用於身分識別的 Microsoft Defender 感測器保持在最新狀態,為您的組織提供最佳保護。

適用於身分識別的 Microsoft Defender 服務通常會每月更新數次,並具有新的偵測、功能和效能改善。 這些更新通常包含感測器的對應次要更新。 適用於身分識別的 Defender 感測器和對應的更新永遠不會有域控制器的寫入許可權。 感測器更新套件只會控制適用於身分識別的Defender感測器和感測器偵測功能。

適用於身分識別的 Defender 感測器更新類型

適用於身分識別的Defender感測器支援兩種更新:

  • 次要版本更新:

    • 頻繁
    • 不需要安裝 MSI,也沒有登錄變更
    • 已重新啟動:適用於身分識別的Defender感測器服務

  • 主要版本更新:

    • 罕見
    • 包含重大變更
    • 已重新啟動:適用於身分識別的Defender感測器服務

注意

  • 適用於身分識別的 Defender 感測器一律保留至少 15% 的可用記憶體,以及安裝所在域控制器上的 CPU。 如果適用於身分識別的 Defender 服務耗用太多記憶體,則適用於身分識別的 Defender 感測器更新程式服務會自動停止並重新啟動服務。

延遲感測器更新

鑒於持續進行中適用於身分識別的 Defender 開發和發行更新的快速速度,您可能會決定將感測器的子集群組定義為延遲更新通道,以允許漸進式感測器更新程式。 適用於身分識別的 Defender 可讓您選擇感測器的更新方式,並將每個感測器設定為 延遲更新 候選專案。

未針對延遲更新選取的感測器會自動更新,每次更新適用於身分識別的 Defender 服務時。 設定為 延遲更新 的感測器會在每次服務更新正式發行后,於延遲 72 小時更新時更新。

延遲更新選項可讓您選取特定感測器作為自動更新通道,其中所有更新都會自動推出,並將其餘感測器設定為延遲更新,讓您有時間確認自動更新的感測器是否成功。

注意

如果發生錯誤且感測器未更新,請開啟支援票證。 若要進一步強化 Proxy,只與您的工作區通訊,請參閱 Proxy 設定

感測器與 Azure 雲端服務之間的驗證會使用強式憑證式相互驗證。 客戶端憑證會在感測器安裝建立為自我簽署憑證,有效期為 2 年。 感測器更新程式服務負責在現有憑證到期之前產生新的自我簽署憑證。 憑證會透過後端的 2 階段驗證程式進行滾動,以避免發生輪流憑證中斷驗證的情況。

每個更新都會在所有支援的操作系統上進行測試和驗證,以對網路和作業造成最少的影響。

若要將感測器設定為延遲更新:

  1. 在 [ 感測器] 頁面中,選取您要為延遲更新設定的感測器。

  2. 選取 [ 已啟用延遲更新] 按鈕。

    Enable delayed update.

  3. 在確認視窗中,選取 [ 啟用]。

若要停用延遲更新,請選取感測器,然後選取 [ 已停用延遲更新 ] 按鈕。

感測器更新程式

每隔幾分鐘,適用於身分識別的Defender感測器會檢查是否有最新版本。 在適用於身分識別的 Defender 雲端服務更新為較新版本之後,適用於身分識別的 Defender 感測器服務會啟動更新程式:

  1. 適用於身分識別的Defender雲端服務更新為最新版本。

  2. 適用於身分識別的 Defender 感測器更新程式服務會瞭解有更新的版本。

  3. 未設定為 延遲更新 的感測器會依感測器啟動更新程式:

    1. 適用於身分識別的 Defender 感測器更新程式服務會從雲端服務提取更新的版本(採用 cab 檔格式)。
    2. 適用於身分識別的 Defender 感測器更新程式會驗證檔案簽章。
    3. 適用於身分識別的 Defender 感測器更新程式服務會將 cab 檔案解壓縮到感測器安裝資料夾中的新資料夾。 默認會擷取至 C:\Program Files\Azure Advanced Threat Protection Sensor<版本號碼>
    4. 適用於身分識別的 Defender 感測器服務會指向從 cab 檔案擷取的新檔案。
    5. 適用於身分識別的 Defender 感測器更新程式服務會重新啟動適用於身分識別的 Defender 感測器服務。

      注意

      次要感測器更新不會安裝 MSI、變更任何登錄值或任何系統檔案。 即使擱置重新啟動也不會影響感測器更新。

    6. 感測器會根據新更新的版本執行。
    7. 感測器會從 Azure 雲端服務接收許可。 您可以在 [感測器] 頁面中驗證感測器狀態
    8. 下一個感測器會啟動更新程式。

  4. 針對延遲更新選取的感測器會在更新適用於身分識別的Defender雲端服務之後72小時啟動其更新程式。 這些感測器接著會使用與自動更新感測器相同的更新程式。

對於無法完成更新程式的任何感測器,會觸發相關的 健康情況警示 ,並傳送為通知。

Sensor update failure.

以無訊息方式更新適用於身分識別的Defender感測器

使用下列命令以無訊息方式更新適用於身分識別的 Defender 感測器:

語法:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

安裝選項

名稱 語法 Mandatory for silent installation? 描述
Quiet /quiet Yes 執行安裝程式,而不顯示 UI 和提示。
Help /help No Provides help and quick reference. 顯示安裝命令的正確用法,包括列出所有選項和行為。
NetFrameworkCommandLineArguments=“/q” NetFrameworkCommandLineArguments=“/q” Yes 指定 .Net Framework 安裝的參數。 必須設定為強制 .Net Framework 的無訊息安裝。

範例:

若要以無訊息方式更新適用於身分識別的Defender感測器:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

設定 Proxy 設定

建議您使用命令列參數在安裝期間設定初始 Proxy 設定。 如果您需要稍後更新 Proxy 設定,請使用 CLIPowerShell

如果您先前已透過 WinINet 或登錄機碼設定 Proxy 設定,而且需要更新它們,則必須 使用原本使用的相同方法

如需詳細資訊,請參閱 設定端點 Proxy 和因特網聯機設定

下一步