Compartir a través de

Administración y actualización de sensores de Microsoft Defender for Identity

  • Artículo

En este artículo se explica cómo configurar y administrar sensores de Microsoft Defender for Identity en Microsoft Defender XDR.

Visualización de la configuración y el estado del sensor de Defender for Identity

  1. En Microsoft Defender XDR, vaya a Configuración y, a continuación, Identidades.

    Vaya a Configuración y, a continuación, Identidades.

  2. Seleccione la página Sensores , que muestra todos los sensores de Defender for Identity. Para cada sensor, verá su nombre, su pertenencia al dominio, el número de versión, si se deben retrasar las actualizaciones, el estado del servicio, el estado del sensor, el estado de mantenimiento, el número de problemas de mantenimiento y cuándo se creó el sensor. Para obtener más información sobre cada columna, consulte Detalles del sensor.

    Página sensor.

  3. Si selecciona Filtros, puede elegir qué filtros estarán disponibles. A continuación, con cada filtro, puede elegir qué sensores mostrar.

    Filtros de sensor.

    Sensor filtrado.

  4. Si selecciona uno de los sensores, se mostrará un panel con información sobre el sensor y su estado de mantenimiento.

    Detalles del sensor.

  5. Si selecciona cualquiera de los problemas de mantenimiento, obtendrá un panel con más detalles sobre ellos. Si elige un problema cerrado, puede volver a abrirlo desde aquí.

    Detalles del problema.

  6. Si selecciona Administrar sensor, se abrirá un panel donde podrá configurar los detalles del sensor.

    Administrar sensor.

    Configurar los detalles del sensor.

  7. En la página Sensores , puede exportar la lista de sensores a un archivo .csv seleccionando Exportar.

    Exportar lista de sensores.

Detalles del sensor

La página sensores proporciona la siguiente información sobre cada sensor:

  • Sensor: muestra el nombre del equipo NetBIOS del sensor.

  • Tipo: muestra el tipo del sensor. Los posibles valores son:

    • Sensor del controlador de dominio

    • Sensor de AD FS (Servicios de federación de Active Directory (AD FS))

    • Sensor independiente

    • Sensor ADCS (Servicios de certificados de Active Directory). Si el sensor está instalado en un servidor de controlador de dominio con AD CS configurado, como en un entorno de prueba, el tipo de sensor se muestra como sensor de controlador de dominio en su lugar.

  • Dominio: muestra el nombre de dominio completo del dominio de Active Directory donde está instalado el sensor.

  • Estado del servicio: muestra el estado del servicio de sensor en el servidor. Los posibles valores son:

    • En ejecución: el servicio sensor se está ejecutando

    • Inicio: se inicia el servicio de sensores

    • Deshabilitado: el servicio sensor está deshabilitado

    • Detenido: el servicio de sensor está detenido

    • Desconocido: el sensor está desconectado o es inaccesible

  • Estado del sensor: muestra el estado general del sensor. Los posibles valores son:

    • Actualizado: el sensor está ejecutando una versión actual del sensor.

    • Obsoleto: el sensor está ejecutando una versión del software que es al menos tres versiones detrás de la versión actual.

    • Actualización: se está actualizando el software del sensor.

    • Error de actualización: el sensor no se pudo actualizar a una nueva versión.

    • No configurado: el sensor requiere más configuración antes de que esté totalmente operativo. Esto se aplica a los sensores instalados en servidores de AD FS o AD CS o sensores independientes.

    • Error de inicio: el sensor no extraía la configuración durante más de 30 minutos.

    • Sincronización: el sensor tiene actualizaciones de configuración pendientes, pero aún no ha quitado la nueva configuración.

    • Desconectado: el servicio Defender for Identity no ha visto ninguna comunicación desde este sensor en 10 minutos.

    • Inaccesible: el controlador de dominio se eliminó de Active Directory. Sin embargo, la instalación del sensor no se ha desinstalado y quitado del controlador de dominio antes de que se retirara. Puede eliminar esta entrada de forma segura.

  • Versión: muestra la versión del sensor instalada.

  • Actualización retrasada: muestra el estado del mecanismo de actualización retrasada del sensor. Los posibles valores son:

    • Habilitado

    • Deshabilitado

  • Estado de mantenimiento: muestra el estado de mantenimiento general del sensor con un icono de color que representa la alerta de estado abierta de gravedad más alta. Los posibles valores son:

    • Correcto (icono verde): no hay problemas de mantenimiento abiertos

    • No correcto (icono amarillo): el problema de estado abierto de gravedad más alta es bajo

    • No correcto (icono naranja): el problema de estado abierto de gravedad más alta es medio

    • No correcto (icono rojo): el problema de estado abierto de gravedad más alta es alto.

  • Problemas de mantenimiento: muestra el recuento de problemas de estado abiertos en el sensor.

  • Creado: muestra la fecha en que se instaló el sensor.

Actualización de los sensores

Mantener actualizados los sensores de Microsoft Defender for Identity proporciona la mejor protección posible para su organización.

El servicio Microsoft Defender for Identity normalmente se actualiza varias veces al mes con nuevas detecciones, características y mejoras de rendimiento. Por lo general, estas actualizaciones incluyen una actualización menor para los sensores. Los paquetes de actualización de sensores solo controlan las capacidades de detección de sensores y sensores de Defender for Identity.

Tipos de actualización del sensor de Defender for Identity

Los sensores de Defender for Identity admiten dos tipos de actualizaciones:

  • Actualizaciones de versiones secundarias:

    • Frecuente
    • No requiere ninguna instalación de MSI ni cambios en el Registro
    • Reiniciado: Servicios de sensor de Defender for Identity

  • Actualizaciones de versiones principales:

    • Raro
    • Contiene cambios significativos
    • Reiniciado: Servicios de sensor de Defender for Identity

Nota:

  • Los sensores de Defender for Identity siempre reservan al menos el 15 % de la memoria y la CPU disponibles en el controlador de dominio donde está instalado. Si el servicio Defender for Identity consume demasiada memoria, el servicio de actualización del sensor de Defender for Identity detiene y reinicia automáticamente el servicio.

Actualización retrasada del sensor

Dada la rapidez de las actualizaciones de lanzamiento y desarrollo de Defender for Identity en curso, puede decidir definir un grupo de subconjuntos de los sensores como un anillo de actualización retrasada, lo que permite un proceso de actualización gradual del sensor. Defender for Identity le permite elegir cómo se actualizan los sensores y establecer cada sensor como un candidato de actualización retrasada .

Los sensores no seleccionados para la actualización retrasada se actualizan automáticamente cada vez que se actualiza el servicio Defender for Identity. Los sensores establecidos en Actualización retrasada se actualizan con un retraso de 72 horas, después de la versión oficial de cada actualización del servicio.

La opción de actualización retrasada le permite seleccionar sensores específicos como anillo de actualización automática, en el que todas las actualizaciones se implementan automáticamente, y establecer el resto de los sensores para que se actualicen en caso de retraso, lo que le da tiempo para confirmar que los sensores actualizados automáticamente se realizaron correctamente.

Nota:

Si se produce un error y un sensor no se actualiza, abra una incidencia de soporte técnico. Para proteger aún más el proxy para que solo se comunique con el área de trabajo, consulte Configuración del proxy.

La autenticación entre los sensores y el servicio en la nube de Azure usa la autenticación mutua segura basada en certificados. El certificado de cliente se crea en la instalación del sensor como un certificado autofirmado, válido durante 2 años. El servicio Sensor Updater es responsable de generar un nuevo certificado autofirmado antes de que expire el certificado existente. Los certificados se enrollan con un proceso de validación en dos fases en el back-end para evitar una situación en la que un certificado gradual interrumpe la autenticación.

Cada actualización se prueba y valida en todos los sistemas operativos compatibles para causar un impacto mínimo en la red y las operaciones.

Para establecer un sensor en una actualización retrasada:

  1. En la página Sensores , seleccione el sensor que desea establecer para las actualizaciones retrasadas.

  2. Seleccione el botón Actualización retrasada habilitada .

    Habilitar la actualización retrasada.

  3. En la ventana de confirmación, seleccione Habilitar.

Para deshabilitar las actualizaciones retrasadas, seleccione el sensor y, a continuación, seleccione el botón Actualización retrasada deshabilitada .

Proceso de actualización del sensor

Cada pocos minutos, los sensores de Defender for Identity comprueban si tienen la versión más reciente. Una vez que el servicio en la nube de Defender for Identity se actualiza a una versión más reciente, el servicio de sensor de Defender for Identity inicia el proceso de actualización:

  1. El servicio en la nube de Defender for Identity se actualiza a la versión más reciente.

  2. El servicio de actualizador de sensores de Defender for Identity aprende que hay una versión actualizada.

  3. Los sensores que no están establecidos en Actualización retrasada inician el proceso de actualización en un sensor por sensor:

    1. El servicio de actualización del sensor de Defender for Identity extrae la versión actualizada del servicio en la nube (en formato de archivo cab).
    2. El actualizador del sensor de Defender for Identity valida la firma del archivo.
    3. El servicio de actualización del sensor de Defender for Identity extrae el archivo cab en una nueva carpeta de la carpeta de instalación del sensor. De forma predeterminada, se extrae en C:\Archivos de programa\Número> de versión del sensor<de Protección contra amenazas avanzada de Azure
    4. El servicio de sensor de Defender for Identity apunta a los nuevos archivos extraídos del archivo cab.
    5. El servicio de actualización del sensor de Defender for Identity reinicia el servicio de sensor de Defender for Identity.

      Nota:

      Las actualizaciones secundarias del sensor no instalan msi, no cambian los valores del Registro ni los archivos del sistema. Incluso un reinicio pendiente no afecta a una actualización del sensor.

    6. Los sensores se ejecutan en función de la versión recién actualizada.
    7. El sensor recibe la autorización del servicio en la nube de Azure. Puede comprobar el estado del sensor en la página Sensores .
    8. El siguiente sensor inicia el proceso de actualización.

  4. Los sensores seleccionados para La actualización retrasada inician su proceso de actualización 72 horas después de actualizar el servicio en la nube de Defender for Identity. A continuación, estos sensores usarán el mismo proceso de actualización que los sensores actualizados automáticamente.

Para cualquier sensor que no complete el proceso de actualización, se desencadena una alerta de estado pertinente y se envía como una notificación.

Error de actualización del sensor.

Actualización silenciosa del sensor de Defender for Identity

Use el siguiente comando para actualizar silenciosamente el sensor de Defender for Identity:

Sintaxis:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

Opciones de instalación:

Nombre Sintaxis ¿Es obligatorio para la instalación silenciosa? Descripción
Tranquilo /quiet Yes Ejecuta el instalador sin interfaz de usuario ni mensajes.
Ayuda /Ayuda No Proporciona ayuda y referencia rápida. Muestra el uso correcto del comando de instalación, incluida una lista de todas las opciones y comportamientos.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Yes Especifica los parámetros para la instalación de .Net Framework. Debe establecerse para aplicar la instalación silenciosa de .Net Framework.

Ejemplos:

Para actualizar el sensor de Defender for Identity de forma silenciosa:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

Configuración del proxy

Se recomienda configurar los valores de proxy iniciales durante la instalación mediante modificadores de línea de comandos. Si necesita actualizar la configuración del proxy más adelante, use la CLI o PowerShell.

Si previamente ha configurado la configuración del proxy a través de WinINet o una clave del Registro y necesita actualizarlas, deberá usar el mismo método que usó originalmente.

Para obtener más información, consulte Configuración del proxy de punto de conexión y la conectividad a Internet.

Pasos siguientes