Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez les procédures suivantes pour case activée que vos capteurs fonctionnent.
Remarque
La première fois que vous activez le capteur sur votre contrôleur de domaine, l’affichage du capteur en cours d’exécution sur la page Capteurs peut prendre jusqu’à une heure. Les activations suivantes s’affichent dans les cinq minutes.
Vérifier le tableau de bord Identity Security
- Dans le portail Defender, sélectionnezTableau de bordidentités>, puis passez en revue les détails affichés. Recherchez les résultats attendus de votre environnement. Pour plus d’informations, consultez Tableau de bord Identity Security.
Confirmer les données d’entité dans le portail Defender
Dans le portail Defender, sélectionnez Appareils multimédias>, puis sélectionnez l’ordinateur de votre nouveau capteur. Vérifiez que les événements Defender pour Identity s’affichent sur l’appareil chronologie.
Sélectionnez Ressources > Utilisateurs et case activée pour les utilisateurs d’un domaine nouvellement intégré. Vous pouvez également utiliser la recherche globale pour rechercher des utilisateurs spécifiques. Vérifiez que les pages de détails de l’utilisateur incluent des données Vue d’ensemble, Observées dans organization et Chronologie.
Utilisez la recherche globale pour rechercher un groupe d’utilisateurs ou un tableau croisé dynamique à partir d’une page de détails d’utilisateur ou d’appareil dans laquelle les détails du groupe sont affichés. Vérifiez les détails de l’appartenance au groupe, les utilisateurs du groupe et les données de chronologie de groupe.
Si aucune donnée d’événement n’est trouvée sur le groupe chronologie, vous devrez peut-être en créer manuellement. Par exemple, ajoutez et supprimez des utilisateurs du groupe dans Active Directory.
Pour plus d’informations, consultez Examiner les ressources.
Vérifier les données dans les tables de chasse avancées
Dans la page Repérage avancé du portail Defender, exécutez les requêtes suivantes pour vérifier que les données apparaissent dans les tables attendues :
IdentityDirectoryEvents | where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN IdentityInfo | where AccountDomain contains "domain" // insert domain IdentityQueryEvents | where DeviceName contains "DC_FQDN" // insert domain controller FQDN
Pour plus d’informations, consultez Repérage avancé dans le portail Microsoft Defender.
Tester les recommandations ispm (Identity Security Posture Management)
Nous vous recommandons de simuler un comportement à risque dans un environnement de test pour déclencher les évaluations prises en charge et vérifier qu’elles apparaissent comme prévu. Par exemple :
Déclenchez une nouvelle recommandation Résoudre les configurations de domaine non sécurisées en définissant votre configuration Active Directory sur un état non conforme, puis en la ramenant à un état conforme. Par exemple, exécutez les commandes suivantes :
Pour définir un état non conforme
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}Pour le retourner à un état conforme :
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}Pour case activée votre configuration locale :
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuotaDans Niveau de sécurité Microsoft, sélectionnez Actions recommandées pour case activée pour une nouvelle recommandation Résoudre les configurations de domaine non sécurisé. Vous pouvez filtrer les recommandations du produit Defender pour Identity .
Pour plus d’informations, consultez Évaluations de la posture de sécurité de Microsoft Defender pour Identity
Fonctionnalité d’alerte de test
Simuler une activité à risque dans un environnement de test pour vérifier que les alertes sont déclenchées comme prévu. Par exemple :
Marquez un compte en tant que compte honeytoken, puis essayez de vous connecter au compte honeytoken sur le contrôleur de domaine activé.
Créez un service suspect sur votre contrôleur de domaine.
Exécutez une commande à distance sur votre contrôleur de domaine en tant qu’administrateur connecté à partir de votre station de travail.
Vérifiez que les alertes attendues s’affichent dans le portail Defender.
Pour plus d’informations, consultez Examiner les alertes de sécurité Defender pour Identity dans Microsoft Defender XDR.
Tester les actions de correction
Tester les actions de correction sur un utilisateur de test. Par exemple :
Dans le portail Defender, accédez à la page des détails de l’utilisateur pour un utilisateur de test.
Dans le menu Options , sélectionnez l’une des actions de correction disponibles.
Recherchez l’activité attendue dans Active Directory.
Pour plus d’informations, consultez Actions de correction dans Microsoft Defender pour Identity.
Étapes suivantes
Pour plus d’informations, consultez Gérer et mettre à jour Microsoft Defender pour Identity capteurs.