Microsoft Defender for Identity nejčastějších dotazech

tento článek obsahuje seznam nejčastějších dotazů a odpovědí týkajících se Microsoft Defender for Identity rozdělených do následujících kategorií:

Co je Defender for Identity?

Co dokáže Defender for Identity detekovat?

Defender for Identity detekuje známé nebezpečné útoky a techniky, problémy se zabezpečením a rizika pro vaši síť. Úplný seznam detekcí služby Defender for Identity najdete v tématu Jaké detekce provádí Defender for Identity?

Jaká data shromažďuje Defender for Identity?

Defender for Identity shromažďuje a ukládá informace z nakonfigurovaných serverů (řadiče domény, členské servery atd.) v databázi specifické pro službu pro účely správy, sledování a generování sestav. Mezi shromažďované informace patří síťový provoz do a z řadičů domény (například ověřování protokolem Kerberos, ověřování NTLM, dotazy DNS), protokoly zabezpečení (například události zabezpečení služby Windows), informace o službě Active Directory (struktura, podsítě, lokality) a informace o entitách (například názvy, e-mailové adresy a telefonní čísla).

Microsoft používá tato data k:

  • Proaktivní identifikace indikátorů útoku (IOA) ve vaší organizaci
  • Generování výstrah v případě zjištění možného útoku
  • Poskytujte svým operacím zabezpečení pohled na entity související se signály hrozeb z vaší sítě a umožnujte prozkoumat přítomnost bezpečnostních hrozeb v síti.

Společnost Microsoft vaše data dotádá za účelem reklamy ani k jinému účelu, než je poskytování služby.

Kolik přihlašovacích údajů adresářové služby podporuje Defender for Identity?

Defender for Identity aktuálně podporuje přidání až 30 různých přihlašovacích údajů adresářové služby pro podporu prostředí Active Directory s nedůvěryhodnými doménovými strukturami. Pokud potřebujete více účtů, otevřete lístek podpory.

Využívá Defender for Identity jenom provoz z Active Directory?

Kromě analýzy provozu služby Active Directory pomocí technologie hloubkové kontroly paketů služba Defender for Identity shromažďuje také relevantní události Windows z vašeho řadiče domény a vytváří profily entit na základě informací z Active Directory Domain Services. Defender for Identity také podporuje příjem monitorování protokolů VPN pomocí protokolu RADIUS od různých dodavatelů (Microsoft, Cisco, F5 a Checkpoint).

Monitoruje Defender for Identity jenom zařízení připojená k doméně?

No. Defender for Identity monitoruje všechna zařízení v síti, která provádějí žádosti o ověření a autorizaci vůči službě Active Directory, včetně Windows a mobilních zařízení.

Monitoruje Defender for Identity účty počítačů i uživatelské účty?

Ano. Vzhledem k tomu, že účty počítačů (stejně jako všechny ostatní entity) je možné použít k provádění škodlivých aktivit, Defender for Identity monitoruje chování všech účtů počítačů a všech ostatních entit v prostředí.

Jaký je rozdíl mezi Advanced Threat Analytics (ATA) a Defenderem for Identity?

ATA je samostatné místní řešení s více komponentami, například ATA Center, které vyžaduje vyhrazený místní hardware.

Defender for Identity je cloudové řešení zabezpečení, které využívá vaše místní Active Directory signály. Řešení je vysoce škálovatelné a často se aktualizuje.

Finální verze ATA je obecně dostupná. ATA ukončí 12. ledna 2021 hlavní fáze technické podpory. Rozšířená podpora bude pokračovat až do ledna 2026. Další informace najdete na našem blogu.

Na rozdíl od senzoru ATA využívá senzor Defender for Identity také zdroje dat, jako je trasování událostí pro Windows (ETW), které umožňují, aby služba Defender for Identity doručuje další detekce.

Časté aktualizace služby Defender for Identity zahrnují následující funkce a možnosti:

  • Podpora prostředí s více doménovými strukturami: Poskytuje organizacím viditelnost napříč doménovými strukturami AD.

  • Posouzení stavů zabezpečení identit: Identifikuje běžné chybné konfigurace a zneužitelné komponenty a také poskytuje možnosti nápravy, které zmenšují prostor pro útoky.

  • Možnosti UEBA: Přehledy rizika jednotlivých uživatelů prostřednictvím vyhodnocování priorit při šetření uživatelů. Toto skóre může secops pomoct při vyšetřování a pomoct analytikům porozumět neobvyklým aktivitám uživatelů a organizace.

  • Nativní integrace: Integruje se s Microsoft Defender for Cloud Apps a Azure AD Identity Protection a poskytuje tak hybridní zobrazení toho, co se děje v místních i hybridních prostředích.

  • Přispívá do Microsoft 365 Defender: Přispívá k datům výstrah a hrozeb do Microsoft 365 Defender. Microsoft 365 Defender využívá portfolio zabezpečení Microsoft 365 (identity, koncové body, data a aplikace) k automatické analýze dat o hrozbách napříč doménami a vytváří kompletní přehled o každém útoku na jednom řídicím panelu. Díky této šíři a hloubkě přehlednosti se mohou ochránci zabezpečení soustředit na kritické hrozby a proašovat sofistikovaná porušení zabezpečení a důvěřovat tomu, že výkonná automatizace služby Microsoft 365 Defender zastaví útoky kdekoli v řetězci kill a vrátí organizaci do zabezpečeného stavu.

Licencování a ochrana osobních údajů

Kde můžu získat licenci pro Microsoft Defender for Identity?

Defender for Identity je k dispozici jako Enterprise Mobility + Security 5 sady (EMS E5) a jako samostatná licence. Licenci můžete získat přímo z portálu Microsoft 365 nebo prostřednictvím licenčního modelu CSP (Cloud Solution Partner).

Potřebuje Defender for Identity jenom jednu licenci nebo vyžaduje licenci pro každého uživatele, kterého chci chránit?

Informace o licenčních požadavcích služby Defender for Identity najdete v pokynech k licencování služby Defender for Identity.

Jsou moje data izolovaná od ostatních zákaznických dat?

Ano, vaše data jsou izolovaná prostřednictvím ověřování přístupu a logického oddělení na základě identifikátorů zákazníků. Každý zákazník má přístup pouze k datům shromážděných z vlastní organizace a obecných dat, která poskytuje Microsoft.

Můžu si flexibilně vybrat, kam se mají data ukládat?

No. Když se vaše instance služby Defender for Identity vytvoří, automaticky se uloží v oblasti Azure, která je nejblíže zeměpisnému umístění Azure Active Directory tenanta. Po vytvoření instance služby Defender for Identity není možné data služby Defender for Identity přesunout do jiné oblasti.

Jak Microsoft brání škodlivým vnitřním aktivitám a zneužití vysoce privilegovaného role?

Vývojáři a správci Microsoftu mají ze své návrhu dostatečná oprávnění k plnění svých přiřazených povinností k provozu a vývoji služby. Microsoft nasazovat kombinace preventivní, detekční a reaktivní kontroly, včetně následujících mechanismů, které pomáhají chránit před neoprávněným vývojářem nebo administrativní aktivitou:

  • Úzké řízení přístupu k citlivým datům
  • Kombinace ovládacích prvků, které do velké části vylepšují nezávislé zjišťování škodlivých aktivit
  • Několik úrovní monitorování, protokolování a vytváření sestav

Kromě toho Microsoft provádí kontroly na pozadí u určitých provozních pracovníků a omezuje přístup k aplikacím, systémům a síťové infrastruktuře v poměru k úrovni ověřování na pozadí. Provozní pracovníci prochádí formální proces, když se vyžaduje přístup k účtu zákazníka nebo souvisejícím informacím při plnění jejich povinností.

Nasazení

Kolik senzorů služby Defender for Identity potřebuji?

Každý řadič domény v prostředí by měl být pokrytý senzorem služby Defender for Identity nebo samostatným senzorem. Další informace najdete v tématu Nastavení velikosti senzoru služby Defender for Identity.

Funguje Defender for Identity se šifrovaným provozem?

Síťové protokoly se šifrovaným provozem (například AtSvc a WMI) se dešifrují, ale analyzují je senzory.

Funguje Defender for Identity s obranou protokolu Kerberos?

Služba Defender for Identity podporuje povolení obrany protokolu Kerberos, označované také jako zabezpečené tunelové propojení s flexibilním ověřováním (FAST), s výjimkou detekce hodnoty hash, která nefunguje s obranou protokolu Kerberos.

Návody virtuálního řadiče domény pomocí služby Defender for Identity?

Většinu virtuálních řadičů domény může pokrýt senzor služby Defender for Identity. Pokud chcete zjistit, jestli je senzor služby Defender for Identity vhodný pro vaše prostředí, podívejte se na informace v tématu Plánování kapacity služby Defender for Identity.

Pokud senzor služby Defender for Identity nemůže pokrýt virtuální řadič domény, můžete mít buď virtuální, nebo fyzický samostatný senzor služby Defender for Identity, jak je popsáno v tématu Konfigurace zrcadlení portů. Nejjednodušším způsobem je mít samostatný senzor virtuálního defenderu for Identity na každém hostiteli, kde existuje virtuální řadič domény. Pokud se virtuální řadiče domény přesunou mezi hostiteli, musíte provést jeden z následujících kroků:

  • Když se virtuální řadič domény přesune na jiného hostitele, předem nakonfigurujte samostatný senzor služby Defender for Identity na tomto hostiteli tak, aby přijímoval provoz z nedávno přesunutých virtuálních řadičů domény.
  • Ujistěte se, že jste k virtuálnímu řadiči domény přiměli samostatný senzor služby Defender for Identity, aby se při přesunu přesunul i samostatný senzor služby Defender for Identity.
  • Některé virtuální přepínače mohou odesílat provoz mezi hostiteli.

Návody, aby senzory služby Defender for Identity komunikoval s cloudovou službou Defender for Identity, když mám proxy server?

Aby řadiče domény komunikoval s cloudovou službou, musíte v bráně firewall nebo proxy serveru otevřít port *.atp.azure.com 443. Pokyny k tomu, jak to provést, najdete v tématu Konfigurace proxy serveru nebo brány firewall pro povolení komunikace se senzory služby Defender for Identity.

Je možné ve vašem řešení IaaS virtualizovat řadiče domény monitorované pomocí služby Defender for Identity?

Ano, senzor služby Defender for Identity můžete použít k monitorování řadičů domény, které jsou v jakémkoli řešení IaaS.

Může Defender for Identity podporovat více domén a více doménových strukturu?

Defender for Identity podporuje více doménová prostředí a více doménových struktur. Další informace a požadavky na důvěryhodnost najdete v tématu Podpora více doménových struktura.

Dá se zjistit celkový stav nasazení?

Ano, můžete zobrazit celkový stav nasazení i konkrétní problémy související s konfigurací, připojením atd. A při upozorněních na stav služby Defender for Identity se vám zobrazí upozornění.

Ovladače WinPcap a Npcap

Jak se mění doporučení týkající se WinPcap a ovladačů Npcap?

Tým Microsoft Defender for Identity aktuálně doporučuje, aby všichni zákazníci nasadili ovladač Npcap před nasazením senzoru. Tím se zajistí, že se místo ovladače WinPcap použije ovladač Npcap.

Proč přesouváme pryč z WinPcap?

WinPcap už není podporovaný a protože už není vyvíjený, nepůjde ho pro Defender pro identity snímače optimalizovat už. Kromě toho, pokud je v budoucnu nějaký problém s ovladačem WinPcap, nejsou k dispozici žádné možnosti pro opravu.

Proč Npcap?

Npcap se podporuje, zatímco WinPcap už není podporovaným produktem.

Jaká verze Npcap je podporovaná?

Doporučená a oficiálně podporovaná verze Npcap je verze 1,00. Jiné verze se nepodporují.

Jaké další výhody získáme pomocí Npcap?

Defender pro identitu tým v průběhu posledních měsíců úzce spolupracuje s týmem Npcap, aby se zajistil optimální výkon snímače. Ovladač Npcap zajistí lepší výkon a stabilitu prostřednictvím ovladače WinPcap.

V naší organizaci mám více než 5 řadičů domény. Potřebuji zakoupit licenci Npcap, pokud používám Npcap na těchto řadičích domény?

Ne, Npcap má výjimku pro běžný limit 5 instalací. Můžete ji nainstalovat na neomezené systémy, ve kterých se používá pouze pro program Defender pro identity snímač.

Projděte si licenční smlouvu Npcapa vyhledejte Microsoft Defender for identity.

Je Npcap relevantní i pro ATA?

ne, Npcap verze 1,0 podporuje jenom senzor Microsoft Defender for Identity.

Chci nasazovat nasazení Npcap, musím koupit verzi OEM?

Ne, nemusíte kupovat verzi OEM. Z konzoly Defender pro konzolu identity Stáhněte instalační balíček senzoru verze 2,156 a novější, který obsahuje verzi OEM Npcap.

Návody stáhnout a nainstalovat ovladač Npcap?

  • Spustitelné soubory NPCAP můžete získat stažením nejnovějšího balíčku pro nasazení snímačů MDI.

    Poznámka

    Kopie Npcap se nepočítají na pět kopií, pět počítačů nebo na pět uživatelských omezení, pokud jsou nainstalované a používané výhradně ve spojení s Defenderem pro identitu. Další informace najdete v tématu věnovaném licencování Npcap.

  • Pokud jste ještě nenainstalovali senzor:

    1. Odinstalujte WinPcap, pokud byl nainstalován.
    2. Nainstalujte Npcap pomocí následujících možností: /loopback_support = No a /winpcap_mode = Yes a /s pro tichou instalaci. Nepoužívejte /admin_only možnost.
      • Pokud používáte instalační program grafického uživatelského rozhraní, zrušte výběr podpory zpětné smyčky a vyberte režim WinPcap . Ujistěte se, že možnost omezit přístup ovladače Npcap jenom k správcům je vybraná.
  • Pokud jste už senzor nainstalovali s WinPcap a potřebujete ho aktualizovat, aby používal Npcap:

    1. Odinstalujte senzor.

    2. Odinstalujte WinPcap.

    3. Nainstalujte Npcap s následujícími možnostmi: loopback_support = No a winpcap_mode = Yes. Nepoužívejte /admin_only možnost.

      • Pokud používáte instalační program grafického uživatelského rozhraní, zrušte výběr podpory zpětné smyčky a vyberte režim WinPcap . Ujistěte se, že možnost omezit přístup ovladače Npcap jenom k správcům je vybraná.
    4. Přeinstalujte senzor.

Operace

Jaký typ integrace má v systémů Siem k dispozici program Defender pro identitu?

Defender pro identitu se dá nakonfigurovat tak, aby odesílal upozornění syslogu na libovolný server SIEM pomocí formátu CEF pro upozornění na stav a při zjištění výstrahy zabezpečení. Další informace najdete v referenčních informacích k protokolu Siem .

Proč se některé účty považují za citlivé?

K tomu dojde, když je účet členem skupin, které jsou označeny jako citlivé (například: Domain Admins).

Pokud chcete pochopit, proč je účet citlivý, můžete zkontrolovat jeho členství ve skupinách a zjistit, do kterých citlivých skupin patří (skupina, do které patří, může být citlivá také kvůli jiné skupině, takže je potřeba celý proces opakovat tak dlouho, až zjistíte citlivou skupinu nejvyšší úrovně). Účty můžete také ručně Označit jako citlivé.

Je potřeba psát vlastní pravidla a určovat prahové nebo základní hodnoty?

V programu Defender pro identitu není nutné vytvářet pravidla, prahové hodnoty a směrné plány a pak doladit. Defender pro identitu analyzuje chování uživatelů, zařízení a prostředků, stejně jako jejich vztah k druhému a umožňuje rychle detekovat podezřelé aktivity a známé útoky. Tři týdny po nasazení spustí Defender pro identitu detekci podezřelých aktivit chování. Na druhé straně Defender pro identitu začne vystavovat známé nebezpečné útoky a problémy zabezpečení hned po nasazení.

Jaký provoz Defenderu pro identitu generuje v síti z řadičů domény a proč?

Defender pro identitu generuje provoz z řadičů domény do počítačů v rámci organizace v jednom ze tří scénářů:

  1. Rozlišení názvu sítě Defender pro identitu zachycuje provoz a události, vzdělávání a profilování uživatelů a počítačových aktivit v síti. Chcete-li zjistit a profilovat aktivity podle počítačů v organizaci, je nutné, aby v programu Defender pro identity byly přeloženy IP adresy účtů počítačů. Pro překlad IP adres na názvy počítačů Defenderu pro senzory identity požádejte o IP adresu název počítače za IP adresou.

    Žádosti jsou vytvářeny pomocí jedné ze čtyř metod:

    • NTLM přes RPC (port TCP 135)
    • NetBIOS (port UDP 137)
    • Protokol RDP (TCP port 3389)
    • Dotazování serveru DNS pomocí zpětného vyhledávání DNS IP adresy (UDP 53)

    Po získání názvu počítače, Defenderu pro senzory identity Projděte podrobnosti ve službě Active Directory a zjistěte, jestli existuje korelační objekt počítače se stejným názvem počítače. Pokud je nalezena shoda, provede se přidružení mezi IP adresou a odpovídajícím objektem počítače.

  2. Cesta k bočnímu pohybu (LMP) Pro sestavování potenciálních LMPs citlivým uživatelům vyžaduje Defender k identitě informace o místních správcích na počítačích. V tomto scénáři používá Defender pro identity snímač SAM-R (TCP 445) k dotazování IP adresy identifikované v síťovém provozu, aby bylo možné určit místní správce počítače. Další informace o programu Defender pro identitu a SAM-R najdete v tématu Konfigurace požadovaných oprávnění Sam-r.

  3. Dotazování služby Active Directory pomocí protokolu LDAP pro entity data Defender pro senzory identity dotazuje řadič domény z domény, do které patří entita. Může to být stejný senzor nebo jiný řadič domény z této domény.

Protokol Služba Port Zdroj Směr
LDAP TCP a UDP 389 Řadiče domény Odchozí
Zabezpečený LDAP (LDAPS) TCP 636 Řadiče domény Odchozí
LDAP pro globální katalog TCP 3268 Řadiče domény Odchozí
LDAPS pro globální katalog TCP 3269 Řadiče domény Odchozí

Proč neaktivity vždy zobrazují zdrojového uživatele i počítač?

Defender pro identity zachycuje aktivity přes mnoho různých protokolů. V některých případech Defender pro identitu neobdrží data zdrojového uživatele v provozu. Defender pro identitu se pokusí korelovat relaci uživatele s aktivitou a po úspěšném pokusu se zobrazí zdrojový uživatel aktivity. Pokud se pokusy o korelaci uživatelů nezdaří, zobrazí se pouze zdrojový počítač.

Řešení potíží

Co mám dělat, když se Defender pro identity snímač nebo samostatný senzor nespustí?

Podívejte se na nejnovější chybu v aktuálním protokolu chyb (kde je Defender pro identitu nainstalovaný ve složce logs).