Gerir e atualizar sensores de Microsoft Defender para Identidade
Este artigo explica como configurar e gerir sensores de Microsoft Defender para Identidade no Microsoft Defender XDR.
Ver definições do sensor do Defender para Identidade e status
No Microsoft Defender XDR, aceda a Definições e, em seguida, Identidades.
Selecione a página Sensores , que apresenta todos os sensores do Defender para Identidade. Para cada sensor, verá o respetivo nome, a associação ao domínio, o número da versão, se as atualizações deverão ser atrasadas, o serviço status, status do sensor, status de estado de funcionamento, o número de problemas de estado de funcionamento e quando o sensor foi criado. Para obter detalhes sobre cada coluna, veja Detalhes do sensor.
Se selecionar Filtros, pode escolher que filtros estarão disponíveis. Em seguida, com cada filtro, pode escolher os sensores a apresentar.
Se selecionar um dos sensores, será apresentado um painel com informações sobre o sensor e o respetivo estado de funcionamento status.
Se selecionar algum dos problemas de estado de funcionamento, obterá um painel com mais detalhes sobre os mesmos. Se escolher um problema fechado, pode reabri-lo a partir daqui.
Se selecionar Gerir sensor, será aberto um painel onde poderá configurar os detalhes do sensor.
Na página Sensores , pode exportar a sua lista de sensores para um ficheiro .csv ao selecionar Exportar.
Detalhes do sensor
A página sensores fornece as seguintes informações sobre cada sensor:
Sensor: apresenta o nome do computador NetBIOS do sensor.
Tipo: apresenta o tipo do sensor. Os valores possíveis são:
Sensor do controlador de domínio
Sensor do AD FS (Serviços de Federação do Active Directory (AD FS))
Sensor autónomo
Sensor ADCS (Serviços de Certificados do Active Directory). Se o sensor estiver instalado num servidor de controlador de domínio com o AD CS configurado, como num ambiente de teste, o tipo de sensor é apresentado como sensor controlador de domínio.
Domínio: apresenta o nome de domínio completamente qualificado do domínio do Active Directory onde o sensor está instalado.
Estado do Serviço: apresenta a status do serviço de sensor no servidor. Os valores possíveis são:
Em execução: o serviço de sensor está em execução
A iniciar: o serviço de sensores está a iniciar
Desativado: o serviço de sensor está desativado
Parado: o serviço de sensores está parado
Desconhecido: o sensor está desligado ou inacessível
Estado do Sensor: apresenta o status geral do sensor. Os valores possíveis são:
Atualizado: o sensor está a executar uma versão atual do sensor.
Desatualizado: o Sensor está a executar uma versão do software que tem, pelo menos, três versões atrás da versão atual.
Atualização: o software do sensor está a ser atualizado.
Falha na atualização: o sensor não conseguiu atualizar para uma nova versão.
Não Configurado: o sensor necessita de mais configuração antes de estar totalmente operacional. Isto aplica-se aos sensores instalados em servidores AD FS/AD CS ou sensores autónomos.
Falha no início: o sensor não retirou a configuração durante mais de 30 minutos.
Sincronização: o Sensor tem atualizações de configuração pendentes, mas ainda não retirou a nova configuração.
Desligado: o serviço Defender para Identidade não vê nenhuma comunicação deste sensor há 10 minutos.
Inacessível: o controlador de domínio foi eliminado do Active Directory. No entanto, a instalação do sensor não foi desinstalada e removida do controlador de domínio antes de ser desativada. Pode eliminar esta entrada em segurança.
Versão: apresenta a versão do sensor instalada.
Atualização atrasada: apresenta o estado do mecanismo de atualização atrasado do sensor. Os valores possíveis são:
Habilitado
Desabilitado
Status de estado de funcionamento: apresenta a status de estado de funcionamento geral do sensor com um ícone colorido que representa o alerta de estado de funcionamento aberto com maior gravidade. Os valores possíveis são:
Bom estado de funcionamento (ícone verde): Sem problemas de estado de funcionamento abertos
Não está em bom estado de funcionamento (ícone amarelo): O problema de estado de funcionamento com a gravidade mais elevada aberta é baixo
Não está em bom estado de funcionamento (ícone de laranja): O problema de estado de funcionamento com a gravidade mais elevada aberta é médio
Não está em bom estado de funcionamento (ícone vermelho): o problema de estado de funcionamento com a gravidade mais elevada aberta é elevado
Problemas de estado de funcionamento: apresenta a contagem de problemas de estado de funcionamento abertos no sensor.
Criado: apresenta a data em que o sensor foi instalado
Atualizar os sensores
Manter os sensores de Microsoft Defender para Identidade atualizados fornece a melhor proteção possível para a sua organização.
Normalmente, o serviço Microsoft Defender para Identidade é atualizado algumas vezes por mês com novas deteções, funcionalidades e melhorias de desempenho. Normalmente, estas atualizações incluem uma atualização secundária correspondente aos sensores. Os pacotes de atualização do sensor apenas controlam as capacidades de deteção do sensor e do sensor do Defender para Identidade.
Tipos de atualização do sensor do Defender para Identidade
Os sensores do Defender para Identidade suportam dois tipos de atualizações:
Atualizações de versões secundárias:
- Frequente
- Não é necessária nenhuma instalação msi e nenhuma alteração de registo
- Reiniciado: serviços de sensor do Defender para Identidade
Atualizações de versões principais:
- Raro
- Contém alterações significativas
- Reiniciado: serviços de sensor do Defender para Identidade
Observação
- Os sensores do Defender para Identidade reservam sempre, pelo menos, 15% da memória e CPU disponíveis no controlador de domínio onde está instalada. Se o serviço Defender para Identidade consumir demasiada memória, o serviço será automaticamente parado e reiniciado pelo serviço de atualização do sensor do Defender para Identidade.
Atualização do sensor atrasada
Dada a velocidade rápida das atualizações de desenvolvimento e lançamento do Defender para Identidade em curso, pode decidir definir um grupo de subconjunto dos sensores como uma cadência de atualização atrasada, permitindo um processo gradual de atualização do sensor. O Defender para Identidade permite-lhe escolher a forma como os sensores são atualizados e definir cada sensor como candidato a Atualização atrasada .
Os sensores não selecionados para atualizações atrasadas são atualizados automaticamente, sempre que o serviço Defender para Identidade é atualizado. Os sensores definidos como Atualização atrasada são atualizados com um atraso de 72 horas, após o lançamento oficial de cada atualização do serviço.
A opção de atualização atrasada permite-lhe selecionar sensores específicos como uma cadência de atualização automática, na qual todas as atualizações são implementadas automaticamente e definir o resto dos sensores para atualizar com atraso, dando-lhe tempo para confirmar que os sensores atualizados automaticamente foram bem-sucedidos.
Observação
Se ocorrer um erro e um sensor não for atualizado, abra um pedido de suporte. Para proteger ainda mais o proxy para comunicar apenas com a área de trabalho, veja Configuração do proxy.
A autenticação entre os sensores e o serviço cloud do Azure utiliza autenticação mútua forte baseada em certificados. O certificado de cliente é criado na instalação do sensor como um certificado autoassinado, válido durante 2 anos. O serviço Sensor Updater é responsável por gerar um novo certificado autoassinado antes de o certificado existente expirar. Os certificados são implementados com um processo de validação de 2 fases no back-end para evitar uma situação em que um certificado sem interrupção interrompe a autenticação.
Cada atualização é testada e validada em todos os sistemas operativos suportados para causar um impacto mínimo na sua rede e operações.
Para definir um sensor para atualização atrasada:
Na página Sensores , selecione o sensor que pretende definir para atualizações atrasadas.
Selecione o botão Atualização atrasada ativada .
Na janela de confirmação, selecione Ativar.
Para desativar as atualizações atrasadas, selecione o sensor e, em seguida, selecione o botão Atualização atrasada desativada .
Processo de atualização do sensor
A cada poucos minutos, os sensores do Defender para Identidade marcar se têm a versão mais recente. Depois de o serviço cloud do Defender para Identidade ser atualizado para uma versão mais recente, o serviço de sensor do Defender para Identidade inicia o processo de atualização:
O serviço cloud do Defender para Identidade é atualizado para a versão mais recente.
O serviço de atualização do sensor do Defender para Identidade fica a saber que existe uma versão atualizada.
Os sensores que não estão definidos como Atualização atrasada iniciam o processo de atualização por sensor:
- O serviço de atualização do sensor do Defender para Identidade obtém a versão atualizada do serviço cloud (no formato de ficheiro cab).
- O atualizador do sensor do Defender para Identidade valida a assinatura do ficheiro.
- O serviço de atualização do sensor do Defender para Identidade extrai o ficheiro cab para uma nova pasta na pasta de instalação do sensor. Por predefinição, é extraído para C:\Programas\Número> de versão do Sensor<de Proteção Avançada Contra Ameaças do Azure
- O serviço de sensor do Defender para Identidade aponta para os novos ficheiros extraídos do ficheiro cab.
- O serviço de atualização do sensor do Defender para Identidade reinicia o serviço de sensor do Defender para Identidade.
Observação
As atualizações secundárias do sensor não instalam MSI, não alteram valores de registo nem ficheiros de sistema. Mesmo um reinício pendente não afeta uma atualização do sensor.
- Os sensores são executados com base na versão recentemente atualizada.
- O sensor recebe autorização do serviço cloud do Azure. Pode verificar a status do sensor na página Sensores.
- O sensor seguinte inicia o processo de atualização.
Os sensores selecionados para Atualização atrasada iniciam o processo de atualização 72 horas após a atualização do serviço cloud do Defender para Identidade. Estes sensores utilizarão então o mesmo processo de atualização que os sensores atualizados automaticamente.
Para qualquer sensor que não conclua o processo de atualização, é acionado um alerta de estado de funcionamento relevante e enviado como uma notificação.
Atualizar automaticamente o sensor do Defender para Identidade
Utilize o seguinte comando para atualizar automaticamente o sensor do Defender para Identidade:
Sintaxe:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]
Opções de instalação:
| Nome | Sintaxe | Obrigatório para instalação automática? | Descrição |
|---|---|---|---|
| Sossegado | /quiet | Sim | Executa o instalador sem IU e sem avisos. |
| Ajuda | /Ajuda | Não | Fornece ajuda e referência rápida. Apresenta a utilização correta do comando de configuração, incluindo uma lista de todas as opções e comportamentos. |
| NetFrameworkCommandLineArguments="/q" | NetFrameworkCommandLineArguments="/q" | Sim | Especifica os parâmetros para a instalação do .Net Framework. Tem de ser definido para impor a instalação silenciosa do .Net Framework. |
Exemplos:
Para atualizar o sensor do Defender para Identidade silenciosamente:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"
Configurar definições de proxy
Recomendamos que configure as definições de proxy iniciais durante a instalação através de comutadores de linha de comandos. Se precisar de atualizar as definições de proxy mais tarde, utilize a CLI ou o PowerShell.
Se tiver configurado anteriormente as definições de proxy através do WinINet ou de uma chave de registo e precisar de as atualizar, terá de utilizar o mesmo método que utilizou originalmente.
Para obter mais informações, veja Configurar o proxy de pontos finais e as definições de conectividade à Internet.