Validar a implementação de sensores em controladores de domínio

Utilize os seguintes procedimentos para marcar que os sensores estão a funcionar.

Observação

A primeira vez que ativar o sensor no controlador de domínio, o sensor poderá demorar até uma hora a aparecer como Em execução na página Sensores . As ativações subsequentes são apresentadas dentro de cinco minutos.

Verificar a dashboard de Segurança de Identidade

  1. No portal do Defender, selecioneDashboardidentidades> e reveja os detalhes apresentados. Verifique se existem resultados esperados do seu ambiente. Para obter mais informações, veja Identity Security dashboard.

Confirmar dados de entidades no portal do Defender

  1. No portal do Defender, selecione Dispositivos de Recursos >e selecione o computador para o novo sensor. Confirme que os eventos do Defender para Identidade aparecem no linha do tempo do dispositivo.

  2. Selecione Utilizadores de Recursos > e marcar para utilizadores de um domínio recentemente integrado. Também pode utilizar o pesquisa global para localizar utilizadores específicos. Confirme que as páginas de detalhes do utilizador incluem Descrição Geral, Celebrado na organização e Dados da linha cronológica .

  3. Utilize o pesquisa global para localizar um grupo de utilizadores ou dinamizar a partir de uma página de detalhes do utilizador ou do dispositivo onde os detalhes do grupo são apresentados. Confirme os detalhes da associação a grupos, os utilizadores do grupo e os dados de linha do tempo de grupo.

    Se não forem encontrados dados de eventos no grupo linha do tempo, poderá ter de criar alguns manualmente. Por exemplo, adicione e remova utilizadores do grupo no Active Directory.

Para obter mais informações, veja Investigar recursos.

Verificar dados em tabelas de investigação avançadas

  1. Na página Investigação avançada do portal do Defender, execute as seguintes consultas para verificar se os dados são apresentados nas tabelas esperadas:

    IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Para obter mais informações, veja Investigação avançada no portal do Microsoft Defender.

Testar recomendações de Gestão da Postura de Segurança de Identidade (ISPM)

Recomendamos que simule comportamentos de risco num ambiente de teste para acionar avaliações suportadas e verificar se aparecem como esperado. Por exemplo:

  1. Acione uma nova recomendação Resolver configurações de domínio não seguras , definindo a configuração do Active Directory para um estado não conforme e, em seguida, devolvendo-a a um estado em conformidade. Por exemplo, execute os seguintes comandos:

    Para definir um estado não conforme

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}

    Para o devolver a um estado de conformidade:

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}

    Para marcar a configuração local:

    Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

  2. Em Classificação de Segurança da Microsoft, selecione Ações Recomendadas para marcar para obter uma nova recomendação Resolver configurações de domínio não seguras. Poderá querer filtrar as recomendações pelo produto Defender para Identidade .

Para obter mais informações, veja avaliações da postura de segurança do Microsoft Defender para Identidade

Testar a funcionalidade de alerta

Simular atividade de risco num ambiente de teste para verificar se os alertas são acionados conforme esperado. Por exemplo:

  1. Marque uma conta como uma conta honeytoken e, em seguida, tente iniciar sessão na conta honeytoken no controlador de domínio ativado.

  2. Crie um serviço suspeito no controlador de domínio.

  3. Execute um comando remoto no controlador de domínio como administrador com sessão iniciada a partir da estação de trabalho.

  4. Verifique se os alertas esperados aparecem no portal do Defender.

Para obter mais informações, veja Investigar alertas de segurança do Defender para Identidade no Microsoft Defender XDR.

Testar ações de remediação

Teste as ações de remediação num utilizador de teste. Por exemplo:

  1. No portal do Defender, aceda à página de detalhes do utilizador de um utilizador de teste.

  2. No menu Opções , selecione qualquer uma das ações de remediação disponíveis.

  3. Verifique a atividade esperada no Active Directory.

Para obter mais informações, veja Remediação de ações no Microsoft Defender para Identidade.

Próximas etapas

Para obter mais informações, veja Gerir e atualizar sensores de Microsoft Defender para Identidade.

  • Last updated on