Nejčastější dotazy k Microsoft Defenderu for Identity

Defender for Identity detekuje známé škodlivé útoky a techniky, problémy se zabezpečením a rizika vůči vaší síti. Úplný seznam detekcí identity v programu Defender for Identity najdete v tématu Výstrahy zabezpečení služby Defender for Identity.

Defender for Identity shromažďuje a ukládá informace z nakonfigurovaných serverů, jako jsou řadiče domény, členské servery atd. Data se ukládají do databáze specifické pro službu pro účely správy, sledování a generování sestav.

Shromažďované informace zahrnují:

• Síťový provoz do a z řadičů domény, jako je ověřování Kerberos, ověřování NTLM nebo dotazy DNS.
• Protokoly zabezpečení, jako jsou události zabezpečení Systému Windows.
• Informace služby Active Directory, jako je struktura, podsítě nebo lokality.
• Informace o entitách, jako jsou jména, e-mailové adresy a telefonní čísla.

Microsoft používá tato data k následujícím účelům:

• Proaktivně identifikujte indikátory útoků (IOA) ve vaší organizaci.
• Pokud byl zjištěn možný útok, vygenerujte výstrahy.
• Poskytněte operacím zabezpečení přehled o entitách souvisejících se signály hrozeb z vaší sítě, které vám umožní prozkoumat a prozkoumat přítomnost bezpečnostních hrozeb v síti.

Microsoft nedosází vaše data pro reklamu ani pro jiný účel než poskytování služby.

Defender for Identity v současné době podporuje přidávání až 30 různých přihlašovacích údajů adresářové služby pro podporu prostředí Active Directory s nedůvěryhodnými doménovými strukturami. Pokud potřebujete více účtů, otevřete lístek podpory.

Kromě analýzy provozu služby Active Directory pomocí technologie hloubkové kontroly paketů shromažďuje Defender for Identity také relevantní události Windows z vašeho řadiče domény a vytváří profily entit na základě informací z Doména služby Active Directory Services. Defender for Identity také podporuje příjem účtů PROTOKOLU RADIUS protokolů VPN od různých dodavatelů (Microsoft, Cisco, F5 a Checkpoint).

Ne. Defender for Identity monitoruje všechna zařízení v síti, která provádějí požadavky na ověřování a autorizaci ve službě Active Directory, včetně zařízení s Windows a mobilních zařízení.

Ano. Vzhledem k tomu, že účty počítačů a další entity lze použít k provádění škodlivých aktivit, Defender for Identity monitoruje chování všech účtů počítačů a všechny ostatní entity v prostředí.

ATA je samostatné místní řešení s několika komponentami, jako je ATA Center, které vyžaduje vyhrazený hardware místně.

Defender for Identity je cloudové řešení zabezpečení, které používá vaše místní Active Directory signály. Řešení je vysoce škálovatelné a často se aktualizuje.

Konečná verze ATA je obecně dostupná. ATA ukončila hlavní podporu 12. ledna 2021. Rozšířená podpora pokračuje až do ledna 2026. Další informace najdete v našem blogu.

Na rozdíl od senzoru ATA používá senzor defenderu pro identitu také zdroje dat, jako je trasování událostí pro Windows (ETW), které defender for Identity umožňuje poskytovat další detekce.

Mezi časté aktualizace Defenderu for Identity patří následující funkce a možnosti:

• Podpora prostředí s více doménovými strukturami: Poskytuje organizacím přehled napříč doménovými strukturami AD.

• Hodnocení stavu zabezpečení Microsoftu: Identifikuje běžné chybné konfigurace a zneužitelné komponenty a poskytuje cesty k nápravě, které snižují prostor pro útoky.

• Možnosti UEBA: Přehledy do rizika jednotlivých uživatelů prostřednictvím vyhodnocování priority šetření uživatelů. Skóre může pomoct SecOps při vyšetřování a pomoci analytikům pochopit neobvyklé aktivity pro uživatele a organizaci.

• Nativní integrace: Integruje se s Microsoft Defenderem pro Cloud Apps a službou Azure AD Identity Protection a poskytuje hybridní zobrazení toho, co se děje v místních i hybridních prostředích.

• Přispívá k XDR v programu Microsoft Defender: Přispívá k upozorněním a datům hrozeb do XDR v programu Microsoft Defender. XDR v programu Microsoft Defender používá portfolio zabezpečení Microsoftu 365 (identity, koncové body, data a aplikace) k automatické analýze dat hrozeb mezi doménami a vytváří kompletní obrázek každého útoku na jednom řídicím panelu.

  S touto šířkou a hloubkou srozumitelnosti se defenderi můžou zaměřit na kritické hrozby a hledat sofistikované porušení zabezpečení. Defendery můžou důvěřovat tomu, že výkonná automatizace XDR v programu Microsoft Defender zastaví útoky kdekoli v řetězci kill a vrátí organizaci do zabezpečeného stavu.

Defender for Identity je k dispozici jako součást sady Enterprise Mobility + Security 5 (EMS E5) a jako samostatná licence. Licenci můžete získat přímo z portálu Microsoftu 365 nebo prostřednictvím licenčního modelu CSP (Cloud Solution Partner).

Informace o licenčních požadavcích defenderu for Identity najdete v pokynech k licencování v programu Defender for Identity.

Ano, vaše data jsou izolovaná prostřednictvím ověřování přístupu a logického oddělení na základě identifikátorů zákazníků. Každý zákazník má přístup jenom k datům shromážděným z vlastní organizace a obecných dat, která Microsoft poskytuje.

Ne. Když se vytvoří pracovní prostor Defenderu for Identity, uloží se automaticky v oblasti Azure, která je nejblíže zeměpisné poloze tenanta Microsoft Entra. Po vytvoření pracovního prostoru Defender for Identity není možné data Defenderu for Identity přesunout do jiné oblasti.

Vývojáři a správci Microsoftu mají záměrně dostatečná oprávnění k provádění svých přiřazených povinností pro provoz a rozvoj služby. Microsoft nasazuje kombinace preventivních, detektivových a reaktivních kontrolních mechanismů, včetně následujících mechanismů, které pomáhají chránit před neoprávněným vývojářem nebo administrativní aktivitou:

• Těsné řízení přístupu k citlivým datům
• Kombinace ovládacíchprvkůch
• Více úrovní monitorování, protokolování a generování sestav

Kromě toho Microsoft provádí kontroly na pozadí u určitých provozních pracovníků a omezuje přístup k aplikacím, systémům a síťové infrastruktuře v poměru k úrovni ověřování na pozadí. Provozní pracovníci se řídí formálním procesem, když jsou potřeba pro přístup k účtu zákazníka nebo související informace při výkonu jejich povinností.

Doporučujeme, abyste pro každý z řadičů domény měli senzor služby Defender for Identity nebo samostatný senzor. Další informace najdete v tématu Změna velikosti senzoru identity v programu Defender for Identity.

I když se síťové protokoly se šifrovaným provozem, jako je AtSvc a WMI, nešifrují, senzory provoz stále analyzují.

Defender for Identity podporuje obranu protokolu Kerberos, označovaný také jako fast (Flexible Authentication Secure Tunneling). Výjimkou této podpory je over-pass detekce hash, která nefunguje s obranu protokolu Kerberos.

Senzor defenderu pro identitu může pokrýt většinu virtuálních řadičů domény. Další informace najdete v tématu Defender for Identity Capacity Planning.

Pokud senzor defenderu pro identitu nemůže pokrýt virtuální řadič domény, použijte místo toho virtuální nebo fyzický senzor defenderu pro identitu. Další informace naleznete v tématu Konfigurace zrcadlení portů.

Nejjednodušším způsobem je mít na každém hostiteli, kde existuje virtuální řadič domény, virtuální senzor Defenderu pro identitu.

Pokud se virtuální řadiče domény pohybují mezi hostiteli, musíte provést jeden z následujících kroků:

• Když se virtuální řadič domény přesune na jiného hostitele, předkonfigurujte samostatný senzor Defenderu pro identitu v daném hostiteli tak, aby přijímal provoz z nedávno přesunutého virtuálního řadiče domény.

• Ujistěte se, že jste k virtuálnímu řadiči domény přiřadili samostatný senzor služby Defender for Identity, aby se při přesunutí přesunul samostatný senzor Defenderu for Identity.

• Existují některé virtuální přepínače, které můžou posílat provoz mezi hostiteli.

Aby řadiče domény komunikují s cloudovou službou, musíte otevřít: *.atp.azure.com port 443 v bráně firewall nebo proxy serveru. Další informace najdete v tématu Konfigurace proxy serveru nebo brány firewall pro povolení komunikace se senzory služby Defender for Identity.

Ano, pomocí senzoru Defenderu pro identitu můžete monitorovat řadiče domény, které jsou v jakémkoli řešení IaaS.

Defender for Identity podporuje vícedoménová prostředí a více doménových struktur. Další informace a požadavky na důvěryhodnost najdete v tématu Podpora více doménových struktur.

Ano, můžete zobrazit celkový stav nasazení a všechny konkrétní problémy související s konfigurací, připojením atd. Zobrazí se upozornění, protože k těmto událostem dochází u problémů se stavem služby Defender for Identity.

Microsoft Defender for Identity poskytuje hodnotu zabezpečení pro všechny účty Active Directory, včetně těch, které se nesynchronizují s ID Microsoft Entra. Uživatelské účty, které se synchronizují s ID Microsoft Entra, budou také těžit z hodnoty zabezpečení poskytované Id Microsoft Entra (na základě úrovně licence) a vyhodnocování priority šetření.

Tým Microsoft Defenderu for Identity doporučuje, aby všichni zákazníci používali ovladač Npcap místo ovladačů WinPcap. Počínaje programem Defender for Identity verze 2.184 instalační balíček místo ovladačů WinPcap 4.1.3 nainstaluje OEM Npcap 1.0.

WinPcap se už nepodporuje a protože se už nevyvíjí, ovladač už není možné optimalizovat pro senzor defenderu pro identitu. Pokud v budoucnu dojde k problému s ovladačem WinPcap, nejsou k dispozici žádné možnosti opravy.

Npcap se podporuje, zatímco WinPcap už není podporovaným produktem.

Senzor MDI vyžaduje Npcap 1.0 nebo novější. Instalační balíček sensoru nainstaluje verzi 1.0, pokud není nainstalovaná žádná jiná verze npcapu. Pokud už máte npcap nainstalovaný (z důvodu jiných požadavků na software nebo z jiného důvodu), je důležité zajistit, aby byla verze 1.0 nebo novější a že byla nainstalována s požadovanými nastaveními pro MDI.

Ano. Aby bylo možné odebrat ovladače WinPcap, je nutné ručně odebrat senzor. Přeinstalace pomocí nejnovějšího balíčku nainstaluje ovladače Npcap.

Uvidíte, že npcap OEM je nainstalovaný prostřednictvím programů pro přidání nebo odebrání (appwiz.cpl) a pokud došlo k otevřenému problému se stavem, automaticky se zavře.

Ne, Npcap má výjimku z obvyklého limitu pěti instalací. Můžete ho nainstalovat do neomezených systémů, kde se používá jenom se senzorem defenderu pro identitu.

Podívejte se na licenční smlouvu npcap a vyhledejte Microsoft Defender for Identity.

Ne, npcap verze 1.00 podporuje jenom senzor Microsoft Defenderu pro identitu.

Ne, nemusíte si kupovat verzi OEM. Stáhněte instalační balíček senzoru verze 2.156 a vyšší z konzoly Defenderu for Identity, která zahrnuje verzi OEM npcap.

• Spustitelné soubory Npcap můžete získat stažením nejnovějšího balíčku pro nasazení senzoru Identity Defenderu.

• Pokud jste senzor ještě nenainstalovali, nainstalujte ho pomocí verze 2.184 nebo vyšší.

• Pokud jste už nainstalovali senzor s WinPcapem a potřebujete ho aktualizovat tak, aby používal Npcap:

  1. Odinstalujte senzor. Použijte příkaz Přidat nebo odebrat programy z ovládacího panelu Windows (appwiz.cpl) nebo spusťte následující příkaz pro odinstalaci: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. V případě potřeby odinstalujte WinPcap. Tento krok je relevantní jenom v případě, že byla před instalací senzoru nainstalována ručně winPcap. V takovém případě byste museli WinPcap odebrat ručně.

  3. Přeinstalujte senzor s použitím verze 2.184 nebo vyšší.

• Pokud chcete npcap nainstalovat ručně: Nainstalujte npcap s následujícími možnostmi:

  • Pokud používáte instalační program grafického uživatelského rozhraní, zrušte zaškrtnutí možnosti podpory zpětné smyčky a vyberte režim WinPcap . Ujistěte se, že možnost Omezit přístup ovladače Npcap k Správa istrátory je nezaškrtla.
  • Pokud používáte příkazový řádek, spusťte: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Pokud chcete npcap upgradovat ručně:

  1. Zastavte službu Defender for Identity Sensor Services, AATPSensorUpdater a AATPSensor. Spusťte Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force.

  2. Odeberte npcap pomocí ovládacích panelů systému Windows (appwiz.cpl).

  3. Nainstalujte Npcap s následujícími možnostmi:

     • Pokud používáte instalační program grafického uživatelského rozhraní, zrušte zaškrtnutí možnosti podpory zpětné smyčky a vyberte režim WinPcap . Ujistěte se, že možnost Omezit přístup ovladače Npcap k Správa istrátory je nezaškrtla.

     • Pokud používáte příkazový řádek, spusťte: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Spusťte službu Defender for Identity Sensor Services, AATPSensorUpdater a AATPSensor. Spusťte Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor.

Defender for Identity je možné nakonfigurovat tak, aby odesílal upozornění Syslogu na jakýkoli server SIEM pomocí formátu CEF pro problémy se stavem a při zjištění výstrahy zabezpečení. Další informace najdete v referenčních informacích k protokolu SIEM.

Účty se považují za citlivé, pokud je účet členem skupin, které jsou označené jako citlivé (například doména Správa s).

Pokud chcete zjistit, proč je účet citlivý, můžete zkontrolovat jeho členství ve skupině a zjistit, ke kterým citlivým skupinám patří. Skupina, do které patří, může být také citlivá kvůli jiné skupině, takže stejný proces by se měl provést, dokud nenajdete skupinu s nejvyšší úrovní. Případně ručně označte účty jako citlivé.

V programu Defender for Identity není potřeba vytvářet pravidla, prahové hodnoty ani směrné plány a pak je doladit. Defender for Identity analyzuje chování mezi uživateli, zařízeními a prostředky a jejich vztahem k sobě a dokáže rychle detekovat podezřelé aktivity a známé útoky. Tři týdny po nasazení začne Defender for Identity zjišťovat podezřelé aktivity chování. Na druhou stranu defender for Identity začne okamžitě po nasazení zjišťovat známé škodlivé útoky a problémy se zabezpečením.

Defender for Identity generuje provoz z řadičů domény do počítačů v organizaci v jednom ze tří scénářů:

• Defender pro překlad názvů sítě pro identitu zaznamenává provoz a události, učení a profilaci uživatelů a počítačových aktivit v síti. Pokud chcete zjistit a profilovat aktivity podle počítačů v organizaci, musí Defender for Identity přeložit IP adresy na účty počítačů. Pokud chcete přeložit IP adresy na počítačové názvy senzorů Defenderu for Identity, požádejte o IP adresu pro název počítače za IP adresou.

  Požadavky se provádějí pomocí jedné ze čtyř metod:

  • NTLM přes RPC (port TCP 135)
  • NetBIOS (port UDP 137)
  • RDP (port TCP 3389)
  • Dotazování serveru DNS pomocí zpětného vyhledávání DNS IP adresy (UDP 53)

  Po získání názvu počítače zkontrolují senzory defenderu for Identity podrobnosti ve službě Active Directory, abyste zjistili, jestli existuje korelovaný počítačový objekt se stejným názvem počítače. Pokud se najde shoda, vytvoří se přidružení mezi IP adresou a odpovídajícím objektem počítače.

• Lateral Movement Path (LMP) K vytvoření potenciálních LMP pro citlivé uživatele vyžaduje Defender for Identity informace o místních správcích na počítačích. V tomto scénáři používá senzor služby Defender for Identity k dotazování IP adresy identifikované v síťovém provozu protokol SAM-R (TCP 445), aby určil místní správce počítače. Další informace o defenderu pro identity a SAM-R najdete v tématu Konfigurace požadovaných oprávnění SAM-R.

• Dotazování služby Active Directory pomocí protokolu LDAP pro data entity Defender for Identity se dotazuje na řadič domény z domény, ve které entita patří. Může to být stejný senzor nebo jiný řadič domény z této domény.

Defender for Identity zaznamenává aktivity v mnoha různých protokolech. V některých případech Defender for Identity neobdrží data zdrojového uživatele v provozu. Defender for Identity se pokusí korelovat relaci uživatele s aktivitou a po úspěšném pokusu se zobrazí zdrojový uživatel aktivity. Pokud pokusy o korelaci uživatelů selžou, zobrazí se pouze zdrojový počítač.

Podívejte se na nejnovější chybu v aktuálním protokolu chyb (kde je nainstalovaný Defender for Identity ve složce Protokoly).

Související obsah

• Požadavky služby Defender for Identity
• Plánování kapacity v programu Defender for Identity
• Konfigurace shromažďování událostí
• Konfigurace předávání událostí systému Windows
• Řešení potíží
• Podívejte se na fórum Defender for Identity!