Valider sensorinstallation på domænecontrollere

Brug følgende procedurer til at kontrollere, at sensorerne fungerer.

Bemærk!

Første gang du aktiverer sensoren på din domænecontroller, kan det tage op til en time, før sensoren vises som Kører på siden Sensorer . Efterfølgende aktiveringer vises inden for fem minutter.

Kontrollér dashboardet Identitetssikkerhed

  1. På Defender-portalen skal du vælge Dashboard for identiteter> og gennemse de viste oplysninger. Kontrollér, om der er forventede resultater fra dit miljø. Du kan få flere oplysninger under Dashboard til identitetssikkerhed.

Bekræft enhedsdata på Defender-portalen

  1. På Defender-portalen skal du vælge Aktiver > enheder og vælge maskinen til din nye sensor. Bekræft, at Defender for Identity-hændelser vises på enhedens tidslinje.

  2. Vælg Assets > Users , og kontrollér, om der er brugere fra et nyligt onboardet domæne. Du kan også bruge global søgning til at finde bestemte brugere. Bekræft, at sider med brugeroplysninger omfatter Oversigt, Arbejdsfri i organisationen og Tidslinjedata .

  3. Brug global søgning til at finde en brugergruppe eller pivotere fra en side med bruger- eller enhedsoplysninger, hvor gruppeoplysninger vises. Bekræft oplysninger om gruppemedlemskab, gruppebrugere og gruppetidslinjedata.

    Hvis der ikke findes nogen hændelsesdata på gruppetidslinjen, skal du muligvis oprette nogle manuelt. Tilføj og fjern f.eks. brugere fra gruppen i Active Directory.

Du kan få flere oplysninger under Undersøg aktiver.

Bekræft data i avancerede jagttabeller

  1. Kør følgende forespørgsler på siden Avanceret jagt på Defender-portalen for at bekræfte, at dataene vises i de forventede tabeller:

    IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Du kan finde flere oplysninger under Avanceret jagt på portalen Microsoft Defender.

Test ISPM-anbefalinger (Identity Security Posture Management)

Vi anbefaler simuleret risikoadfærd i et testmiljø for at udløse understøttede vurderinger og bekræfte, at de vises som forventet. Det kan f.eks. være:

  1. Udløs en ny anbefaling til Løs usikre domænekonfigurationer ved at angive din Active Directory-konfiguration til en tilstand, der ikke overholder angivne standarder, og derefter returnere den til en kompatibel tilstand. Kør f.eks. følgende kommandoer:

    Sådan angiver du en tilstand, der ikke overholder angivne standarder

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}

    Sådan vender du tilbage til en kompatibel tilstand:

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}

    Sådan kontrollerer du din lokale konfiguration:

    Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

  2. I Microsoft Secure Score skal du vælge Anbefalede handlinger for at kontrollere, om der er en ny Løsning af usikre domænekonfigurationer . Det kan være en god idé at filtrere anbefalinger fra produktet Defender for Identity .

Du kan få flere oplysninger under vurderinger af Microsoft Defender for Identity sikkerhedsholdning

Test beskedfunktionalitet

Simuler risikable aktiviteter i et testmiljø for at bekræfte, at beskeder udløses som forventet. Det kan f.eks. være:

  1. Tag en konto som en honeytoken-konto, og prøv derefter at logge på honeytoken-kontoen mod den aktiverede domænecontroller.

  2. Opret en mistænkelig tjeneste på domænecontrolleren.

  3. Kør en fjernkommando på domænecontrolleren som administrator, der er logget på fra arbejdsstationen.

  4. Kontrollér, at de forventede beskeder vises på Defender-portalen.

Du kan få flere oplysninger under Undersøg defender for identitetssikkerhedsbeskeder i Microsoft Defender XDR.

Test afhjælpningshandlinger

Test afhjælpningshandlinger for en testbruger. Det kan f.eks. være:

  1. Gå til siden med brugeroplysninger for en testbruger på Defender-portalen.

  2. Vælg en af de tilgængelige afhjælpningshandlinger i menuen Indstillinger .

  3. Kontrollér Active Directory for den forventede aktivitet.

Du kan få flere oplysninger under Afhjælpningshandlinger i Microsoft Defender for Identity.

Næste trin

Du kan få flere oplysninger under Administrer og opdater Microsoft Defender for Identity sensorer.

  • Last updated on