Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare le procedure seguenti per verificare che i sensori funzionino.
Nota
La prima volta che si attiva il sensore nel controller di dominio, potrebbe essere necessario un'ora prima che il sensore venga visualizzato come In esecuzione nella pagina Sensori . Le attivazioni successive vengono visualizzate entro cinque minuti.
Controllare il dashboard di Identity Security
- Nel portale di Defender selezionare Dashboard identità> ed esaminare i dettagli visualizzati. Verificare i risultati previsti dall'ambiente. Per altre informazioni, vedere Dashboard di Sicurezza delle identità.
Confermare i dati delle entità nel portale di Defender
Nel portale di Defender selezionare Dispositivi asset >e selezionare il computer per il nuovo sensore. Verificare che gli eventi di Defender per identità vengano visualizzati nella sequenza temporale del dispositivo.
Selezionare Asset > Utenti e verificare la presenza di utenti da un nuovo dominio di cui è stato eseguito l'onboarding. È anche possibile usare il ricerca globale per trovare utenti specifici. Verificare che le pagine dei dettagli utente includano i dati Panoramica, Osservata nell'organizzazione e Sequenza temporale .
Usare l'ricerca globale per trovare un gruppo di utenti o un pivot da una pagina dei dettagli dell'utente o del dispositivo in cui vengono visualizzati i dettagli del gruppo. Confermare i dettagli dell'appartenenza al gruppo, gli utenti del gruppo e i dati della sequenza temporale del gruppo.
Se non vengono trovati dati sugli eventi nella sequenza temporale del gruppo, potrebbe essere necessario crearne alcuni manualmente. Ad esempio, aggiungere e rimuovere utenti dal gruppo in Active Directory.
Per altre informazioni, vedere Analizzare gli asset.
Verificare i dati nelle tabelle di ricerca avanzate
Nella pagina Ricerca avanzata del portale di Defender eseguire le query seguenti per verificare che i dati vengono visualizzati nelle tabelle previste:
IdentityDirectoryEvents | where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN IdentityInfo | where AccountDomain contains "domain" // insert domain IdentityQueryEvents | where DeviceName contains "DC_FQDN" // insert domain controller FQDN
Per altre informazioni, vedere Ricerca avanzata nel portale di Microsoft Defender.
Consigli di Test Identity Security Posture Management (ISPM)
È consigliabile simulare un comportamento rischioso in un ambiente di test per attivare le valutazioni supportate e verificare che vengano visualizzate come previsto. Ad esempio:
Attivare una nuova raccomandazione Risolvi configurazioni di dominio non sicure impostando la configurazione di Active Directory su uno stato non conforme e quindi restituendola a uno stato conforme. Ad esempio, eseguire i comandi seguenti:
Per impostare uno stato non conforme
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}Per restituirlo a uno stato conforme:
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}Per controllare la configurazione locale:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuotaIn Microsoft Secure Score selezionare Azioni consigliate per verificare la disponibilità di una nuova raccomandazione risolvere le configurazioni di dominio non sicure . È possibile filtrare le raccomandazioni in base al prodotto Defender per identità .
Per altre informazioni, vedere valutazioni del comportamento di sicurezza di Microsoft Defender per identità
Funzionalità di avviso di test
Simulare l'attività rischiosa in un ambiente di test per verificare che gli avvisi vengano attivati come previsto. Ad esempio:
Contrassegnare un account come account honeytoken e quindi provare ad accedere all'account honeytoken sul controller di dominio attivato.
Creare un servizio sospetto nel controller di dominio.
Eseguire un comando remoto nel controller di dominio come amministratore che ha eseguito l'accesso dalla workstation.
Verificare che gli avvisi previsti vengano visualizzati nel portale di Defender.
Per altre informazioni, vedere Analizzare gli avvisi di sicurezza di Defender per identità in Microsoft Defender XDR.
Azioni di correzione dei test
Testare le azioni di correzione in un utente di test. Ad esempio:
Nel portale di Defender passare alla pagina dei dettagli utente per un utente di test.
Dal menu Opzioni selezionare una delle azioni di correzione disponibili.
Controllare Active Directory per l'attività prevista.
Per altre informazioni, vedere Azioni di correzione in Microsoft Defender per identità.
Passaggi successivi
Per altre informazioni, vedere Gestire e aggiornare Microsoft Defender per identità sensori.