Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Använd följande procedurer för att kontrollera att dina sensorer fungerar.
Obs!
Första gången du aktiverar sensorn på domänkontrollanten kan det ta upp till en timme innan sensorn visas som Körs på sidan Sensorer . Efterföljande aktiveringar visas inom fem minuter.
Kontrollera instrumentpanelen för identitetssäkerhet
- I Defender-portalen väljer du Instrumentpanel för identiteter> och granskar informationen som visas. Sök efter förväntade resultat från din miljö. Mer information finns i instrumentpanelen för identitetssäkerhet.
Bekräfta entitetsdata i Defender-portalen
I Defender-portalen väljer du Tillgångar > Enheter och väljer datorn för den nya sensorn. Bekräfta att Defender for Identity-händelser visas på enhetens tidslinje.
Välj Tillgångar > Användare och sök efter användare från en nyligen registrerad domän. Du kan också använda global sökning för att hitta specifika användare. Bekräfta att sidorna med användarinformation innehåller översiktsdata, observerade i organisationen och tidslinjedata .
Använd global sökning för att hitta en användargrupp eller pivot från en sida med användar- eller enhetsinformation där gruppinformation visas. Bekräfta information om gruppmedlemskap, gruppanvändare och tidslinjedata för grupper.
Om inga händelsedata hittas på gruppens tidslinje kan du behöva skapa några manuellt. Lägg till exempel till och ta bort användare från gruppen i služba Active Directory.
Mer information finns i Undersöka tillgångar.
Verifiera data i avancerade jakttabeller
På sidan Avancerad jakt i Defender-portalen kör du följande frågor för att kontrollera att data visas i de förväntade tabellerna:
IdentityDirectoryEvents | where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN IdentityInfo | where AccountDomain contains "domain" // insert domain IdentityQueryEvents | where DeviceName contains "DC_FQDN" // insert domain controller FQDN
Mer information finns i Avancerad jakt i Microsoft Defender-portalen.
Testa rekommendationer för hantering av identitetssäkerhetsstatus (ISPM)
Vi rekommenderar att du simulerar riskfyllt beteende i en testmiljö för att utlösa utvärderingar som stöds och kontrollera att de visas som förväntat. Till exempel:
Utlös en ny rekommendation om att lösa osäkra domänkonfigurationer genom att ställa in služba Active Directory-konfigurationen på ett inkompatibelt tillstånd och sedan återställa den till ett kompatibelt tillstånd. Kör till exempel följande kommandon:
Så här anger du ett icke-kompatibelt tillstånd
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}Så här återgår du till ett kompatibelt tillstånd:
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}Så här kontrollerar du din lokala konfiguration:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuotaI Microsoft Secure Score väljer du Rekommenderade åtgärder för att söka efter en ny rekommendation om att lösa osäkra domänkonfigurationer . Du kanske vill filtrera rekommendationer efter Defender for Identity-produkten .
Mer information finns i Microsoft Defender for Identity säkerhetsstatusutvärderingar
Testa aviseringsfunktioner
Simulera riskfylld aktivitet i en testmiljö för att verifiera att aviseringar utlöses som förväntat. Till exempel:
Tagga ett konto som ett honeytoken-konto och försök sedan logga in på honeytoken-kontot mot den aktiverade domänkontrollanten.
Skapa en misstänkt tjänst på domänkontrollanten.
Kör ett fjärrkommando på domänkontrollanten som administratör som är inloggad från din arbetsstation.
Kontrollera att de förväntade aviseringarna visas i Defender-portalen.
Mer information finns i Undersöka säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR.
Testa reparationsåtgärder
Testa reparationsåtgärder på en testanvändare. Till exempel:
I Defender-portalen går du till sidan med användarinformation för en testanvändare.
På menyn Alternativ väljer du någon av de tillgängliga reparationsåtgärderna.
Kontrollera den förväntade aktiviteten i služba Active Directory.
Mer information finns i Reparationsåtgärder i Microsoft Defender for Identity.
Nästa steg
Mer information finns i Hantera och uppdatera Microsoft Defender for Identity sensorer.