Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruik de volgende procedures om te controleren of uw sensoren werken.
Opmerking
De eerste keer dat u de sensor op uw domeincontroller activeert, kan het tot een uur duren voordat de sensor wordt weergegeven als Actief op de pagina Sensoren . Volgende activeringen worden binnen vijf minuten weergegeven.
Het identiteitsbeveiligingsdashboard controleren
- Selecteer in de Defender-portal identiteitendashboard> en bekijk de weergegeven details. Controleer op verwachte resultaten van uw omgeving. Zie Identity Security-dashboard voor meer informatie.
Entiteitsgegevens bevestigen in de Defender-portal
Selecteer activaapparaten >in de Defender-portal en selecteer de computer voor uw nieuwe sensor. Controleer of Defender for Identity-gebeurtenissen worden weergegeven op de tijdlijn van het apparaat.
Selecteer Assets > Gebruikers en controleer op gebruikers uit een nieuw onboarded domein. U kunt ook de algemene zoekopdracht gebruiken om specifieke gebruikers te zoeken. Controleer of de pagina's met gebruikersgegevens Overzicht, Waargenomen in organisatie en Tijdlijngegevens bevatten.
Gebruik de algemene zoekopdracht om een gebruikersgroep te zoeken, of draai vanaf de pagina met gebruikers- of apparaatgegevens waar groepsdetails worden weergegeven. Bevestig de details van het groepslidmaatschap, de groepsgebruikers en de tijdlijngegevens van de groep.
Als er geen gebeurtenisgegevens worden gevonden op de tijdlijn van de groep, moet u er mogelijk handmatig een maken. U kunt bijvoorbeeld gebruikers toevoegen aan en verwijderen uit de groep in Active Directory.
Zie Assets onderzoeken voor meer informatie.
Gegevens in geavanceerde opsporingstabellen verifiëren
Voer op de pagina Geavanceerde opsporing van de Defender-portal de volgende query's uit om te controleren of gegevens worden weergegeven in de verwachte tabellen:
IdentityDirectoryEvents | where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN IdentityInfo | where AccountDomain contains "domain" // insert domain IdentityQueryEvents | where DeviceName contains "DC_FQDN" // insert domain controller FQDN
Zie Geavanceerde opsporing in de Microsoft Defender-portal voor meer informatie.
Ispm-aanbevelingen (Identity Security Posture Management) testen
We raden u aan riskant gedrag te simuleren in een testomgeving om ondersteunde evaluaties te activeren en te controleren of ze worden weergegeven zoals verwacht. Bijvoorbeeld:
Activeer een nieuwe aanbeveling voor het oplossen van onveilige domeinconfiguraties door uw Active Directory-configuratie in te stellen op een niet-compatibele status en deze vervolgens te retourneren naar een compatibele status. Voer bijvoorbeeld de volgende opdrachten uit:
Een niet-compatibele status instellen
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}Ga als volgende te werk om deze te herstellen naar een compatibele status:
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}Uw lokale configuratie controleren:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuotaSelecteer in Microsoft Secure Score de optie Aanbevolen acties om te controleren op een nieuwe aanbeveling voor het oplossen van onveilige domeinconfiguraties . U kunt aanbevelingen filteren op het Defender for Identity-product .
Zie de beveiligingspostuurevaluaties van Microsoft Defender for Identity voor meer informatie
Waarschuwingsfunctionaliteit testen
Simuleer riskante activiteiten in een testomgeving om te controleren of waarschuwingen worden geactiveerd zoals verwacht. Bijvoorbeeld:
Tag een account als een honeytoken-account en probeer u vervolgens aan te melden bij het honeytoken-account via de geactiveerde domeincontroller.
Maak een verdachte service op uw domeincontroller.
Voer een externe opdracht uit op uw domeincontroller als beheerder die is aangemeld vanaf uw werkstation.
Controleer of de verwachte waarschuwingen worden weergegeven in de Defender-portal.
Zie Defender for Identity-beveiligingswaarschuwingen onderzoeken in Microsoft Defender XDR voor meer informatie.
Herstelacties testen
Herstelacties testen op een testgebruiker. Bijvoorbeeld:
Ga in de Defender-portal naar de pagina met gebruikersgegevens voor een testgebruiker.
Selecteer in het menu Opties een van de beschikbare herstelacties.
Controleer Active Directory op de verwachte activiteit.
Zie Herstelacties in Microsoft Defender for Identity voor meer informatie.
Volgende stappen
Zie Microsoft Defender for Identity sensoren beheren en bijwerken voor meer informatie.