Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie die folgenden Verfahren, um zu überprüfen, ob Ihre Sensoren funktionieren.
Hinweis
Wenn Sie den Sensor auf Ihrem Domänencontroller zum ersten Mal aktivieren, kann es bis zu einer Stunde dauern, bis der Sensor auf der Seite Sensoren als Wird ausgeführt angezeigt wird. Nachfolgende Aktivierungen werden innerhalb von fünf Minuten angezeigt.
Überprüfen Sie die Identity Security-Dashboard
- Wählen Sie im Defender-Portalidentitätsdashboard> aus, und überprüfen Sie die angezeigten Details. Suchen Sie nach erwarteten Ergebnissen aus Ihrer Umgebung. Weitere Informationen finden Sie unter Identity Security Dashboard.
Bestätigen von Entitätsdaten im Defender-Portal
Wählen Sie im Defender-Portal Assets > Devices und dann den Computer für Ihren neuen Sensor aus. Vergewissern Sie sich, dass Defender for Identity-Ereignisse auf dem Gerät Zeitleiste angezeigt werden.
Wählen Sie Assets Users (Ressourcenbenutzer>) aus, und suchen Sie nach Benutzern aus einer neu integrierten Domäne. Sie können auch die globale Suche verwenden, um bestimmte Benutzer zu finden. Vergewissern Sie sich, dass die Benutzerdetails auf den Seiten Übersicht, In organization beobachtet und Zeitachsendaten enthalten.
Verwenden Sie die globale Suche, um eine Benutzergruppe zu finden, oder navigieren Sie von einer Benutzer- oder Gerätedetailseite, auf der Gruppendetails angezeigt werden. Bestätigen Sie Details zur Gruppenmitgliedschaft, Gruppenbenutzer und Gruppen Zeitleiste Daten.
Wenn keine Ereignisdaten in der Gruppe Zeitleiste gefunden werden, müssen Sie einige möglicherweise manuell erstellen. Fügen Sie beispielsweise Benutzer in Active Directory hinzu, und entfernen Sie sie aus der Gruppe.
Weitere Informationen finden Sie unter Untersuchen von Ressourcen.
Überprüfen von Daten in tabellen mit erweiterter Suche
Führen Sie auf der Seite Erweiterte Suche im Defender-Portal die folgenden Abfragen aus, um zu überprüfen, ob Daten in den erwarteten Tabellen angezeigt werden:
IdentityDirectoryEvents | where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN IdentityInfo | where AccountDomain contains "domain" // insert domain IdentityQueryEvents | where DeviceName contains "DC_FQDN" // insert domain controller FQDN
Weitere Informationen finden Sie unter Erweiterte Suche im Microsoft Defender-Portal.
Testen von Ispm-Empfehlungen (Identity Security Posture Management)
Es wird empfohlen, risikobehaftetes Verhalten in einer Testumgebung zu simulieren, um unterstützte Bewertungen auszulösen und zu überprüfen, ob sie wie erwartet angezeigt werden. Zum Beispiel:
Lösen Sie eine neue Empfehlung zur Auflösung unsicherer Domänenkonfigurationen aus, indem Sie Ihre Active Directory-Konfiguration auf einen nicht konformen Zustand festlegen und dann in einen konformen Zustand zurücksetzen. Führen Sie beispielsweise die folgenden Befehle aus:
So legen Sie einen nicht konformen Zustand fest
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}So kehren Sie in einen konformen Zustand zurück:
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}So überprüfen Sie Ihre lokale Konfiguration:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuotaWählen Sie unter Microsoft-Sicherheitsbewertung die Option Empfohlene Aktionen aus, um nach einer neuen Empfehlung zur Auflösung unsicherer Domänenkonfigurationen zu suchen. Möglicherweise möchten Sie Empfehlungen nach dem Defender for Identity-Produkt filtern.
Weitere Informationen finden Sie unter Sicherheitsstatusbewertungen von Microsoft Defender for Identity.
Testen der Warnungsfunktionalität
Simulieren Sie riskante Aktivitäten in einer Testumgebung, um zu überprüfen, ob Warnungen wie erwartet ausgelöst werden. Zum Beispiel:
Markieren Sie ein Konto als Honeytoken-Konto, und versuchen Sie dann, sich über den aktivierten Domänencontroller beim Honeytoken-Konto anzumelden.
Erstellen Sie einen verdächtigen Dienst auf Ihrem Domänencontroller.
Führen Sie einen Remotebefehl auf Ihrem Domänencontroller als Administrator aus, der von Ihrer Arbeitsstation angemeldet ist.
Vergewissern Sie sich, dass die erwarteten Warnungen im Defender-Portal angezeigt werden.
Weitere Informationen finden Sie unter Untersuchen von Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR.
Testen von Wiederherstellungsaktionen
Testwartungsaktionen für einen Testbenutzer. Zum Beispiel:
Navigieren Sie im Defender-Portal zur Seite mit den Benutzerdetails für einen Testbenutzer.
Wählen Sie im Menü Optionen eine der verfügbaren Wartungsaktionen aus.
Überprüfen Sie Active Directory auf die erwartete Aktivität.
Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity.
Nächste Schritte
Weitere Informationen finden Sie unter Verwalten und Aktualisieren Microsoft Defender for Identity Sensoren.