Configurare le impostazioni del sensore Microsoft Defender per identità

  • Articolo

In questo articolo si apprenderà come configurare correttamente Microsoft Defender per identità impostazioni del sensore per iniziare a visualizzare i dati. È necessario eseguire configurazioni e integrazione aggiuntive per sfruttare le funzionalità complete di Defender per identità.

Visualizzare e configurare le impostazioni del sensore

Dopo aver installato il sensore Defender per identità, eseguire le operazioni seguenti per visualizzare e configurare le impostazioni del sensore defender per identità:

  1. In Microsoft Defender XDR passare a Impostazioni>Identità>Sensori. Ad esempio:

    Screenshot della pagina Sensori.

    La pagina Sensori visualizza tutti i sensori di Defender per identità, che elenca i dettagli seguenti per sensore:

    • Nome sensore
    • Appartenenza al dominio del sensore
    • Numero di versione del sensore
    • Indica se gli aggiornamenti devono essere ritardati
    • Stato del servizio sensore
    • Stato del sensore
    • Stato di integrità del sensore
    • Numero di problemi di integrità
    • Quando è stato creato il sensore

    Per altre informazioni, vedere Dettagli del sensore.

  2. Selezionare Filtri per selezionare i filtri che si desidera visualizzare. Ad esempio:

    Screenshot dei filtri del sensore.

  3. Usare i filtri visualizzati per determinare quali sensori visualizzare. Ad esempio:

    Screenshot di un elenco filtrato di sensori.

  4. Selezionare un sensore per visualizzare un riquadro dei dettagli con altre informazioni sul sensore e sul relativo stato di integrità. Ad esempio:

    Screenshot di un riquadro dei dettagli del sensore.

  5. Scorrere verso il basso e selezionare Gestisci sensore per visualizzare un riquadro in cui è possibile configurare i dettagli del sensore. Ad esempio:

    Screenshot dell'opzione Gestisci sensore.

  6. Configurare i dettagli del sensore seguenti:

    Nome Descrizione
    Descrizione Facoltativo. Immettere una descrizione per il sensore Defender per identità.
    Controller di dominio (FQDN) Obbligatorio per i sensori autonomi e i sensori di Defender per identità installati nei server AD FS/AD CS e non possono essere modificati per il sensore Defender per identità.

    Immettere l'FQDN completo del controller di dominio e selezionare il segno più per aggiungerlo all'elenco. Ad esempio, DC1.domain1.test.local.

    Per tutti i server definiti nell'elenco Controller di dominio:

    - Tutti i controller di dominio il cui traffico viene monitorato tramite il mirroring delle porte dal sensore autonomo Defender per identità deve essere elencato nell'elenco Controller di dominio. Se un controller di dominio non è elencato nell'elenco Controller di dominio, il rilevamento di attività sospette potrebbe non funzionare come previsto.

    - Almeno un controller di dominio nell'elenco deve essere un catalogo globale. Ciò consente a Defender per identità di risolvere gli oggetti computer e utente in altri domini nella foresta.
    Acquisire schede di rete Obbligatorio.

    - Per i sensori defender per identità, tutte le schede di rete usate per la comunicazione con altri computer dell'organizzazione.

    - Per il sensore autonomo defender per identità in un server dedicato, selezionare le schede di rete configurate come porta mirror di destinazione. Queste schede di rete ricevono il traffico del controller di dominio con mirroring.

  7. Nella pagina Sensori selezionare Esporta per esportare un elenco dei sensori in un file .csv . Ad esempio:

    Screenshot dell'esportazione di un elenco di sensori.

Convalidare le installazioni

Usare le procedure seguenti per convalidare l'installazione del sensore defender per identità.

Nota

Se si esegue l'installazione in un server AD FS o SERVIZI certificati Active Directory, si userà un set diverso di convalide. Per altre informazioni, vedere Convalidare la corretta distribuzione nei server AD FS/Servizi certificati Active Directory.

Convalidare la distribuzione riuscita

Per verificare che il sensore defender per identità sia stato distribuito correttamente:

  1. Verificare che il servizio sensore Azure Advanced Threat Protection sia in esecuzione nel computer del sensore. Dopo aver salvato le impostazioni del sensore defender per identità, l'avvio del servizio potrebbe richiedere alcuni secondi.

  2. Se il servizio non viene avviato, esaminare il file Microsoft.Tri.sensor-Errors.log , che si trova per impostazione predefinita in %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, dove <sensor version> è la versione distribuita.

Verificare la funzionalità degli avvisi di sicurezza

Questa sezione descrive come verificare che gli avvisi di sicurezza vengano attivati come previsto.

Quando si usano gli esempi nei passaggi seguenti, assicurarsi di sostituire contosodc.contoso.azure e contoso.azure con il nome di dominio completo rispettivamente del sensore defender per identità e del nome di dominio.

  1. In un dispositivo aggiunto a un membro aprire un prompt dei comandi e immettere nslookup

  2. Immettere server e l'FQDN o l'indirizzo IP del controller di dominio in cui è installato il sensore Defender per identità. Ad esempio: server contosodc.contoso.azure

  3. Immetti ls -d contoso.azure

  4. Ripetere i due passaggi precedenti per ogni sensore da testare.

  5. Accedere alla pagina dei dettagli del dispositivo per il computer da cui è stato eseguito il test di connettività, ad esempio dalla pagina Dispositivi , cercando il nome del dispositivo o altrove nel portale di Defender.

  6. Nella scheda Dettagli dispositivo selezionare la scheda Sequenza temporale per visualizzare l'attività seguente:

    • Eventi: query DNS eseguite su un nome di dominio specificato
    • Tipo di azione MdiDnsQuery

Se il controller di dominio o AD FS/Servizi certificati Active Directory che si sta testando è il primo sensore distribuito, attendere almeno 15 minuti prima di verificare qualsiasi attività logica per tale controller di dominio, consentendo al back-end del database di completare le distribuzioni iniziali di microservizi.

Verificare la versione più recente del sensore disponibile

La versione di Defender per identità viene aggiornata di frequente. Verificare la versione più recente nella pagina Informazioni sulle identità>delle impostazioni>di Microsoft Defender XDR.

Contenuto correlato

Dopo aver configurato i passaggi di configurazione iniziali, è possibile configurare altre impostazioni. Per altre informazioni, vedere una delle pagine seguenti:

Passaggio successivo

Raccolta di eventi con Microsoft Defender per identità »