Instalar um sensor do Microsoft Defender for Identity

Este artigo descreve como instalar um sensor do Microsoft Defender for Identity, incluindo um sensor autônomo. A recomendação padrão é usar a interface do usuário. No entanto:

  • Ao instalar o sensor no Windows Server Core ou para implantar o sensor por meio de um sistema de implantação de software, siga as etapas para instalação silenciosa.

  • Se estiver a utilizar um proxy, recomendamos que instale o sensor e configure o proxy em conjunto a partir da linha de comandos. Se você precisar atualizar suas configurações de proxy mais tarde, use o PowerShell ou a CLI do Azure. Para obter mais informações, consulte Configurar proxy de ponto de extremidade e configurações de conectividade com a Internet.

Pré-requisitos

Antes de começar, certifique-se de que tem:

Instale o sensor usando a interface do usuário

Execute as seguintes etapas no controlador de domínio, no servidor dos Serviços de Federação do Ative Directory (AD FS) ou no servidor dos Serviços de Certificados do Ative Directory (AD CS).

  1. Verifique se a máquina tem conectividade com os pontos de extremidade relevantes do serviço de nuvem do Defender for Identity.

  2. Extraia os arquivos de instalação do arquivo .zip. A instalação diretamente do arquivo .zip falha.

  3. Execute o sensor do Azure ATP setup.exe com privilégios elevados (Executar como administrador) e siga o assistente de configuração.

  4. Na página Bem-vindo, selecione o seu idioma e, em seguida, selecione Seguinte.

    Captura de tela que mostra a seleção do idioma de instalação do sensor autônomo do Defender for Identity.

    O assistente de instalação verifica automaticamente se o servidor é um controlador de domínio, um servidor AD FS, um servidor AD CS ou um servidor dedicado. O tipo de servidor determina o tipo de sensor:

    • Se o servidor for um controlador de domínio, um servidor AD FS ou um servidor AD CS, o sensor do Defender for Identity será instalado.
    • Se o servidor for dedicado, o sensor autônomo do Defender for Identity será instalado.

    Por exemplo, o assistente exibe a página a seguir para indicar que um sensor do Defender for Identity está instalado em controladores de domínio.

    Captura de tela da página que identifica o tipo de implantação do sensor.

  5. Selecione Seguinte.

    O assistente emite um aviso se o controlador de domínio, o servidor AD FS, o servidor AD CS ou o servidor dedicado não atender aos requisitos mínimos de hardware para a instalação.

    O aviso não impede que você selecione Avançar e prossiga com a instalação, que ainda pode ser a opção certa. Por exemplo, você precisa de menos espaço para armazenamento de dados ao instalar um pequeno ambiente de teste de laboratório.

    Para ambientes de produção, é altamente recomendável trabalhar com a ferramenta de dimensionamento Defender for Identity para garantir que seus controladores de domínio ou servidores dedicados atendam aos requisitos de capacidade.

  6. Na página Configurar o sensor, insira as seguintes informações para o pacote de instalação:

    • Caminho de instalação: o local onde o sensor Defender for Identity está instalado. Por padrão, o caminho é %programfiles%\Azure Advanced Threat Protection sensor. Deixe o valor predefinido.
    • Chave de acesso: recuperada do portal do Microsoft Defender em uma etapa anterior.

    Captura de tela da página do assistente para a configuração do sensor Defender for Identity.

  7. Selecione Instalar. Os seguintes componentes são instalados e configurados durante a instalação do sensor Defender for Identity:

    • Serviço de sensor Defender for Identity e serviço atualizador do sensor Defender for Identity

    • Npcap OEM versão 1.0

      Importante

      Npcap OEM versão 1.0 é instalado automaticamente se nenhuma outra versão do Npcap estiver presente. Se você já tiver o Npcap instalado devido a outros requisitos de software ou por qualquer outro motivo, certifique-se de que é a versão 1.0 ou posterior e que ele tem as configurações necessárias para o Defender for Identity.

Visualização de versões do sensor

A partir da versão 2.176 do sensor, quando você instala o sensor a partir de um novo pacote, a versão em Adicionar ou remover programas aparece com o número completo, como 2.176.x.y. Anteriormente, a versão aparecia como estática 2.0.0.0.

A versão instalada continua a aparecer mesmo depois que os serviços de nuvem do Defender for Identity executam atualizações automáticas.

Veja a versão real do sensor na página de configurações do sensor Microsoft Defender XDR, no caminho executável ou na versão do arquivo.

Executar uma instalação silenciosa do Defender for Identity

A instalação silenciosa do Defender for Identity para sensores é configurada para reiniciar automaticamente o servidor no final da instalação, se necessário.

Agende uma instalação silenciosa apenas durante uma janela de manutenção. Devido a um bug do Windows Installer, você não pode usar o norestart sinalizador de forma confiável para garantir que o servidor não seja reiniciado.

Para acompanhar o progresso da implantação, monitore os logins %localappdata%\Tempdo instalador do Defender for Identity .

Instalação silenciosa através de um sistema de implementação

Quando você estiver implantando silenciosamente um sensor do Defender for Identity por meio do System Center Configuration Manager ou de outro sistema de implantação de software, recomendamos que você crie dois pacotes de implantação:

  • .NET Framework 4.7 ou posterior, que pode incluir a reinicialização do controlador de domínio
  • O sensor Defender for Identity

Torne o pacote do sensor do Defender for Identity dependente da implantação do pacote do .NET Framework. Se necessário, obtenha o pacote de implantação offline do .NET Framework 4.7.

Comandos para executar uma instalação silenciosa

Use os comandos a seguir para executar uma instalação totalmente silenciosa do sensor Defender for Identity, usando a chave de acesso copiada em uma etapa anterior.

cmd.exe sintaxe

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Sintaxe do PowerShell

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Nota

Quando você estiver usando a sintaxe do PowerShell, omitir o prefácio resulta em um erro que impede a .\ instalação silenciosa.

Opções de instalação

Nome Sintaxe Mandatory for silent installation? Description
Quiet /quiet Sim Executa o instalador sem exibir a interface do usuário ou prompts.
Help /help Não Provides help and quick reference. Displays the correct use of the setup command, including a list of all options and behaviors.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Sim Especifica os parâmetros para a instalação do .NET Framework. Deve ser definido para impor a instalação silenciosa do .NET Framework.

Parâmetros de instalação

Nome Sintaxe Mandatory for silent installation? Description
InstallationPath InstallationPath="" Não Define o caminho para a instalação dos binários do sensor Defender for Identity. Caminho padrão: %programfiles%\Azure Advanced Threat Protection Sensor.
AccessKey AccessKey="\*\*" Sim Define a chave de acesso usada para registrar o sensor do Defender for Identity no espaço de trabalho do Defender for Identity.
AccessKeyFile AccessKeyFile="" Não Define a chave de acesso do espaço de trabalho a partir do caminho do arquivo de texto fornecido.
DelayedUpdate DelayedUpdate=true Não Define o mecanismo de atualização do sensor para atrasar a atualização por 72 horas a partir do lançamento oficial de cada atualização de serviço. Para obter mais informações, consulte Atualização atrasada do sensor.
LogsPath LogsPath="" Não Define o caminho para os logs do sensor do Defender for Identity. Caminho padrão: %programfiles%\Azure Advanced Threat Protection Sensor.

Exemplos

Use os seguintes comandos para instalar silenciosamente o sensor Defender for Identity:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Comando para executar uma instalação silenciosa com uma configuração de proxy

Use o seguinte comando para configurar seu proxy junto com uma instalação silenciosa:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Nota

Se você configurou anteriormente seu proxy usando opções herdadas, incluindo WinINet ou uma atualização de chave do Registro, você precisa fazer quaisquer alterações com o mesmo método que você usou originalmente. Para obter mais informações, consulte Alterar a configuração de proxy usando métodos herdados.

Parâmetros de instalação

Nome Sintaxe Mandatory for silent installation? Description
ProxyUrl ProxyUrl="http://proxy.contoso.com:8080" Não Especifica a URL do proxy e o número da porta para o sensor Defender for Identity.
ProxyUserName ProxyUserName="Contoso\ProxyUser" Não Se o serviço de proxy exigir autenticação, defina um nome de usuário no DOMAIN\user formato.
ProxyUserPassword ProxyUserPassword="P@ssw0rd" Não Especifica a senha para seu nome de usuário proxy.

O sensor do Defender for Identity criptografa credenciais e as armazena localmente.

Gorjeta

Se você precisar atualizar suas configurações de proxy mais tarde, use o PowerShell ou a CLI do Azure. Para obter mais informações, consulte Configurar proxy de ponto de extremidade e configurações de conectividade com a Internet. Recomendamos que você crie e use um registro DNS A personalizado para o servidor proxy. Em seguida, você pode usar esse registro para alterar o endereço do servidor proxy quando necessário e usar o arquivo hosts para teste.

Depois de instalar um sensor, você pode seguir etapas extras:

Próximo passo