Microsoft Defender for Identity häufig gestellte Fragen

Dieser Artikel enthält eine Liste mit häufig gestellten Fragen und Antworten zu Microsoft Defender for Identity unterteilt in die folgenden Kategorien:

Was ist Defender for Identity?

Was kann Defender for Identity erkennen?

Defender for Identity erkennt bekannte böswillige Angriffe und Techniken, Sicherheitsprobleme und Risiken für Ihr Netzwerk. Die vollständige Liste der Defender für Identitätserkennungen finden Sie unter Welche Erkennungen führt Defender for Identity aus?.

Welche Daten werden von Defender for Identity gesammelt?

Defender for Identity sammelt und speichert Informationen von Ihren konfigurierten Servern (Domänencontroller, Mitgliedsserver usw.). in einer Datenbank, die für den Dienst zu Verwaltungs-, Nachverfolgungs- und Berichterstellungszwecken spezifisch ist. Gesammelte Informationen sind unter anderem Netzwerkdatenverkehr von und zu Domänencontrollern (z.B. Kerberos-Authentifizierung, NTLM-Authentifizierung, DNS-Abfragen), Sicherheitsprotokolle (z.B. Windows-Sicherheitsereignisse), Active Directory-Informationen (Struktur, Subnetze, Websites) sowie Entitätsinformationen (z.B. Namen, E-Mail-Adressen und Telefonnummern).

Microsoft verwendet diese Daten zu folgenden Zwecken:

  • Zum proaktiven Identifizieren von Angriffsindikatoren (Indicators of Attack, IOAs) in Ihrer Organisation
  • Zum Generieren von Warnungen, wenn ein möglicher Angriff erkannt wurde
  • Zum Bereitstellen von Sicherheitsvorgängen mit einen Einblick in Entitäten, die mit Bedrohungssignalen aus Ihrem Netzwerk verknüpft sind. So können Sie überprüfen und ermitteln, ob Sicherheitsbedrohungen vorhanden sind.

Microsoft extrahiert Ihre Daten nicht zu Werbezwecken oder anderen Zwecken als die Bereitstellung des Dienstes für Sie.

Wie viele Verzeichnisdienstanmeldeinformationen werden von Defender for Identity unterstützt?

Defender for Identity unterstützt derzeit das Hinzufügen von bis zu 30 verschiedenen Verzeichnisdienstanmeldeinformationen, um Active Directory-Umgebungen mit nicht vertrauenswürdigen Gesamtstrukturen zu unterstützen. Wenn Sie weitere Konten benötigen, eröffnen Sie ein Supportticket.

Nutzt Defender for Identity nur Datenverkehr aus Active Directory?

Neben der Analyse des Active Directory-Datenverkehrs mithilfe der Deep Packet Inspection-Technologie sammelt Defender for Identity auch relevante Windows Ereignisse von Ihrem Domänencontroller und erstellt Entitätsprofile basierend auf Informationen aus Active Directory Domain Services. Defender for Identity unterstützt auch den Empfang der RADIUS-Abrechnung von VPN-Protokollen von verschiedenen Anbietern (Microsoft, Cisco, F5 und Checkpoint).

Überwacht Defender für Identity nur in die Domäne eingebundene Geräte?

Nein. Defender for Identity überwacht alle Geräte im Netzwerk, die Authentifizierungs- und Autorisierungsanforderungen für Active Directory ausführen, einschließlich nicht Windows und mobiler Geräte.

Überwacht Defender für Identity Sowohl Computerkonten als auch Benutzerkonten?

Ja. Da Computerkonten (sowie alle anderen Entitäten) zum Ausführen schädlicher Aktivitäten verwendet werden können, überwacht Defender for Identity das Verhalten aller Computerkonten und aller anderen Entitäten in der Umgebung.

Was ist der Unterschied zwischen Advanced Threat Analytics (ATA) und Defender for Identity?

ATA ist eine eigenständige lokale Lösung mit mehreren Komponenten, zum Beispiel ATA Center, die dediziert Hardware lokal erfordern.

Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokales Active Directory -Signale (Azure AD) nutzt. Die Lösung ist hochgradig skalierbar und wird laufend aktualisiert.

Das endgültige Release von ATA ist allgemein verfügbar. ATA beendet den Mainstream-Support am 12. Januar 2021. Der erweiterte Support wird bis Januar 2026 fortgesetzt. Weitere Informationen finden Sie in unserem Blog.

Im Gegensatz zum ATA-Sensor verwendet der Defender for Identity-Sensor auch Datenquellen wie die Ereignisablaufverfolgung für Windows (EVENT Tracing for Windows, ETW), sodass Defender for Identity zusätzliche Erkennungen bereitstellen kann.

Die häufigen Updates von Defender for Identity umfassen die folgenden Features und Funktionen:

  • Unterstützung für Umgebungen mit mehreren Gesamtstrukturen : Stellt Sichtbarkeit in Azure AD-Gesamtstrukturen für Organisationen bereit

  • Bewertungen des Identitätssicherheitsstatus : Identifizieren häufige Fehlkonfigurationen sowie ausnutzbare Komponenten und stellen Wiederherstellungspfade zum Reduzieren der Angriffsfläche bereit

  • UEBA-Funktionen : Einblicke in Risiken individueller Benutzer über die Bewertung der Benutzeruntersuchungspriorität. Die Bewertung kann SecOps bei der Untersuchung unterstützen und Analysten dabei helfen, ungewöhnliche Aktivitäten für den Benutzer und die Organisation zu verstehen.

  • Native Integrationen:Integriert sich in Microsoft Defender für Cloud-Apps und Azure AD Identity Protection, um eine Hybridansicht zu bieten, was sowohl in lokalen umgebungen als auch in Hybridumgebungen geschieht.

  • Trägt zur Microsoft 365 Defenderbei: Trägt Warnungs- und Bedrohungsdaten zu Microsoft 365 Defender bei. Microsoft 365 Defender nutzt das Microsoft 365 Sicherheitsportfolio (Identitäten, Endpunkte, Daten und Anwendungen), um domänenübergreifende Bedrohungsdaten automatisch zu analysieren und ein vollständiges Bild der einzelnen Angriffe in einem einzelnen Dashboard zu erhalten. Mit dieser Breite und Tiefe der Übersichtlichkeit können sich Defenders auf kritische Bedrohungen konzentrieren und nach komplexen Sicherheitsverletzungen suchen. Dabei wird vorausgesetzt, dass die leistungsstarke Automatisierung von Microsoft 365 Defender Angriffe überall in der Kill Chain beendet und die Organisation in einen sicheren Zustand zurückgibt.

Lizenzierung und Datenschutz

Wo erhalte ich eine Lizenz für Microsoft Defender for Identity?

Defender for Identity ist als Teil Enterprise Mobility + Security 5 Suite (EMS E5) und als eigenständige Lizenz verfügbar. Sie können eine Lizenz entweder direkt über das Microsoft 365-Portal oder über das CSP-Lizenzierungsmodell (Cloud Solution Partner) erwerben.

Benötigt Defender for Identity nur eine einzelne Lizenz oder eine Lizenz für jeden Benutzer, den ich schützen möchte?

Informationen zu den Lizenzierungsanforderungen für Defender for Identity finden Sie im Leitfaden zur Identitätslizenzierungvon Defender.

Sind die Daten von anderen Kundendaten isoliert?

Ja, Ihre Daten werden durch Zugriffsauthentifizierung und logischer Trennung basierend auf der Kundennummer getrennt. Jeder Kunde kann nur auf Daten zugreifen, die von der eigenen Organisation gesammelt wurden, sowie auf generische Daten, die von Microsoft bereitgestellt werden.

Kann ich frei wählen, wo ich meine Daten speichern möchte?

Nein. Wenn Ihre Defender for Identity-Instanz erstellt wird, wird sie automatisch in dem Landesdatencenter gespeichert, das dem geografischen Standort Ihres AAD Mandanten am nächsten liegt. Nachdem Ihre Defender for Identity-Instanz erstellt wurde, können Defender for Identity-Daten nicht in ein anderes Rechenzentrum verschoben werden.

Wie verhindert Microsoft schädliche Insideraktivitäten und den Missbrauch von privilegierten Rollen?

Microsoft-Entwickler und -Administratoren verfügen systembedingt über genügend Privilegien zum Ausführen der Ihnen zugewiesenen Aufgaben, um den Dienst zu betreiben und weiterzuentwickeln. Microsoft stellt zum Schützen vor Aktivitäten von unautorisierten Entwicklern und/oder Administratoren eine Kombination aus vorbeugenden und reaktiven Steuerelementen sowie Erkennungssteuerelemente einschließlich der folgenden Mechanismen bereit:

  • Enge Zugriffssteuerung für vertrauliche Daten
  • Kombination aus Steuerelementen, die die unabhängige Erkennung von schädlicher Aktivität deutlich verbessern
  • Mehrere Überwachungs-, Protokollierungs- und Berichterstattungsebenen

Darüber hinaus führt Microsoft Hintergrundüberprüfungen von bestimmten Betriebsmitarbeitern durch und beschränkt den Zugriff auf Anwendungen, Systeme sowie die Netzwerkinfrastruktur im Verhältnis zur Ebene der Hintergrundüberprüfung. Betriebsmitarbeiter folgen einem formellen Prozess, wenn sie bei der Ausübung ihrer Aufgaben auf das Konto eines Kunden oder auf zugehörige Informationen zugreifen müssen.

Bereitstellung

Wie viele Defender for Identity-Sensoren benötigen ich?

Jeder Domänencontroller in der Umgebung sollte von einem Defender for Identity-Sensor oder einem eigenständigen Sensor abgedeckt werden. Weitere Informationen finden Sie unter Größe des Defender for Identity-Sensors.

Müssen sowohl der Defender for Identity-Sensor als auch der Defender für Endpoint-Sensor auf Domänencontrollern oder Active Directory-Verbunddienste (AD FS) -Servern (AD FS) installiert werden?

Wenn Sie beide Produkte verwenden, müssen die beiden Sensoren installiert sein, um sowohl den Server als auch Active Directory zu schützen.

Funktioniert Defender for Identity mit verschlüsseltem Datenverkehr?

Netzwerkprotokolle mit verschlüsseltem Datenverkehr (z.B. AtSvc und WMI) werden nicht verschlüsselt, sondern von den Sensoren analysiert.

Funktioniert Defender for Identity mit Kerberos Armoring?

Die Aktivierung von Kerberos Armoring, auch bekannt als Flexible Authentication Secure Tunneling (FAST), wird von Defender for Identity unterstützt, mit Ausnahme der Überüberholung der Hasherkennung, die nicht mit Kerberos Armoring funktioniert.

Gewusst wie einen virtuellen Domänencontroller mit Defender for Identity überwachen?

Die meisten virtuellen Domänencontroller können vom Defender for Identity-Sensor abgedeckt werden. Informationen dazu, ob der Defender für Identity-Sensor für Ihre Umgebung geeignet ist, finden Sie unter Defender for Identity Capacity Planning.

Wenn ein virtueller Domänencontroller nicht vom Defender for Identity-Sensor abgedeckt werden kann, können Sie über einen eigenständigen Defender for Identity-Sensor verfügen, wie unter Konfigurieren der Portspiegelungbeschrieben. Die einfachste Möglichkeit besteht darin, auf jedem Host, auf dem ein virtueller Domänencontroller vorhanden ist, einen eigenständigen Defender for Identity-Sensor zu verwenden. Wenn die virtuellen Domänencontroller zwischen Hosts verschoben werden, müssen Sie einen der folgenden Schritte ausführen:

  • Wenn der virtuelle Domänencontroller auf einen anderen Host verschoben wird, müssen Sie den eigenständigen Defender for Identity-Sensor auf diesem Host vorkonfiguriert, um den Datenverkehr vom kürzlich verschobenen virtuellen Domänencontroller zu empfangen.
  • Stellen Sie sicher, dass Sie den eigenständigen Defender for Identity-Sensor mit dem virtuellen Domänencontroller verpartnern, damit der eigenständige Defender for Identity-Sensor verschoben wird, wenn er verschoben wird.
  • Es gibt einige virtuelle Switches, über die der Datenverkehr zwischen Hosts gesendet werden kann.

Gewusst wie die Defender for Identity-Sensoren für die Kommunikation mit dem Defender for Identity-Clouddienst konfigurieren, wenn ich einen Proxy habe?

Für die Kommunikation Ihrer Domänencontroller mit dem Clouddienst müssen Sie in Ihrer Firewall und auf Ihrem Proxyserver Port 443 für „*.atp.azure.com“ freigeben. Anweisungen hierzu finden Sie unter Konfigurieren Ihres Proxys oder Ihrer Firewall zum Aktivieren der Kommunikation mit Defender for Identity-Sensoren.

Können von Defender for Identity überwachte Domänencontroller in Ihrer IaaS-Lösung virtualisiert werden?

Ja, Sie können den Defender for Identity-Sensor verwenden, um Domänencontroller zu überwachen, die sich in einer beliebigen IaaS-Lösung befinden.

Kann Defender for Identity mehrere Domänen und mehrere Gesamtstrukturen unterstützen?

Defender for Identity unterstützt Umgebungen mit mehreren Domänen und mehrere Gesamtstrukturen. Weitere Informationen und Anforderungen in Bezug auf Vertrauensstellungen finden Sie unter Unterstützung für mehrere Gesamtstrukturen.

Kann die Gesamtintegrität der Bereitstellung angezeigt werden?

Ja, Sie können die allgemeine Integrität der Bereitstellung sowie bestimmte Probleme in Bezug auf Konfiguration, Konnektivität usw. anzeigen, und Sie werden benachrichtigt, sobald sie mit Integritätswarnungen von Defender for Identity auftreten.

WinPcap- und Npcap-Treiber

Welche Empfehlungen zu WinPcap- und Npcap-Treibern ändern sich?

Das Microsoft Defender for Identity-Team empfiehlt derzeit, dass alle Kunden den Npcap-Treiber bereitstellen, bevor sie den Sensor bereitstellen. Dadurch wird sichergestellt, dass der Npcap-Treiber anstelle des WinPcap-Treibers verwendet wird.

Warum gehen wir von WinPcap weg?

WinPcap wird nicht mehr unterstützt, und da es nicht mehr entwickelt wird, kann der Treiber nicht mehr für den Defender for Identity-Sensor optimiert werden. Wenn in Zukunft ein Problem mit dem WinPcap-Treiber vor liegt, gibt es keine Optionen für eine Lösung.

Gründe für Npcap

Npcap wird unterstützt, während WinPcap kein unterstütztes Produkt mehr ist.

Welche Version von Npcap wird unterstützt?

Die empfohlene und offiziell unterstützte Version von Npcap ist Version 1.00. Andere Versionen werden nicht unterstützt.

Welche zusätzlichen Vorteile bietet npcap?

Das Defender for Identity-Team arbeitet in den letzten Monaten eng mit dem Npcap-Team zusammen, um eine optimale Leistung des Sensors sicherzustellen. Der Npcap-Treiber bietet eine bessere Leistung und Stabilität gegenüber dem WinPcap-Treiber.

Ich habe mehr als 5 Domänencontroller in meiner Organisation. Muss ich eine Npcap-Lizenz erwerben, wenn ich Npcap auf diesen Domänencontrollern verwendet?

Nein. Npcap verfügt über eine Ausnahme vom üblichen Grenzwert von 5 Installationen. Sie können es auf unbegrenzten Systemen installieren, wo es nur mit dem Defender for Identity-Sensor verwendet wird.

Lesen Sie den Npcap-Lizenzvertrag hier,und suchen Sie nach Microsoft Defender for Identity.

Ist Npcap auch für ATA relevant?

Nein, nur der Microsoft Defender for Identity unterstützt Npcap Version 1.0.

Ich möchte ein Skript für die Bereitstellung von Npcap erstellen. Muss ich die OEM-Version erwerben?

Nein, Sie müssen die OEM-Version nicht erwerben. Laden Sie das Sensorinstallationspaket Version 2.156 und höher von der Defender for Identity-Konsole herunter, die die OEM-Version von Npcap enthält.

Gewusst wie Den Npcap-Treiber herunterladen und installieren?

  • Sie können die ausführbaren NPCAP-Dateien abrufen, indem Sie das neueste Bereitstellungspaket des MDI-Sensors herunterladen.

    Hinweis

    Kopien von Npcap werden nicht auf die Lizenzierungseinschränkung von fünf Kopien, fünf Computern oder fünf Benutzern angerechnet, wenn sie ausschließlich in Verbindung mit Defender for Identity installiert und verwendet werden. Weitere Informationen finden Sie unter Npcap-Lizenzierung.

  • Wenn Sie den Sensor noch nicht installiert haben:

    1. Deinstallieren Sie WinPcap (falls installiert).
    2. Installieren Sie Npcap mit den folgenden Optionen: loopback_support=no und winpcap_mode=yes. Verwenden Sie NICHT die /admin_only Option .
      • Wenn Sie den GUI-Installer verwenden, deaktivieren Sie die Loopbackunterstützung, und aktivieren Sie den WinPcap-Modus. Stellen Sie sicher, dass die Option Npcap-Treiberzugriff nur auf Administratoren einschränken deaktiviert ist.
  • Wenn Sie den Sensor bereits mit WinPcap installiert haben und zur Verwendung von Npcap aktualisieren müssen:

    1. Deinstallieren Sie den Sensor.

    2. Deinstallieren Sie WinPcap.

    3. Installieren Sie Npcap mit den folgenden Optionen: loopback_support=no und winpcap_mode=yes. Verwenden Sie NICHT die /admin_only Option .

      • Wenn Sie den GUI-Installer verwenden, deaktivieren Sie die Loopbackunterstützung, und aktivieren Sie den WinPcap-Modus. Stellen Sie sicher, dass die Option Npcap-Treiberzugriff nur auf Administratoren einschränken deaktiviert ist.
    4. Installieren Sie den Sensor neu.

Vorgang

Welche Art von Integration bietet Defender for Identity in SIEMs?

Defender for Identity kann so konfiguriert werden, dass eine Syslog-Warnung an jeden SIEM-Server im CEF-Format gesendet wird, um Integritätswarnungen zu erhalten und eine Sicherheitswarnung zu erkennen. Weitere Informationen finden Sie unter Referenz zum SIEM-Protokoll.

Warum gelten bestimmte Konten als sensible Konten?

Dies ist der Fall, wenn ein Konto Mitglied bestimmter Gruppen ist, die als sensibel festgelegt sind (z. B. „Domänen-Admins“).

Um nachzuvollziehen, warum ein Konto ein sensibles Konto ist, können Sie seine Gruppenmitgliedschaft überprüfen, um festzustellen, welchen sensiblen Gruppen es angehört (die Gruppe, der das Konto angehört, kann auch wegen einer anderen Gruppe eine sensible Gruppe sein. Daher sollten Sie immer die höchste sensible Gruppe überprüfen). Sie können auch manuell Konten als vertraulich kennzeichnen.

Müssen eigene Regeln geschrieben und ein Schwellenwert/eine Basislinie erstellt werden?

Mit Defender for Identity ist es nicht notwendig, Regeln, Schwellenwerte oder Baselines zu erstellen und dann zu optimieren. Defender for Identity analysiert das Verhalten zwischen Benutzern, Geräten und Ressourcen sowie deren Beziehung zueinander und kann verdächtige Aktivitäten und bekannte Angriffe schnell erkennen. Drei Wochen nach der Bereitstellung beginnt Defender for Identity damit, verdächtige Verhaltensaktivitäten zu erkennen. Auf der anderen Seite beginnt Defender for Identity sofort nach der Bereitstellung mit der Erkennung bekannter böswilliger Angriffe und Sicherheitsprobleme.

Welcher Datenverkehr wird von Defender for Identity im Netzwerk von Domänencontrollern generiert, und warum?

Defender for Identity generiert Datenverkehr von Domänencontrollern zu Computern in der Organisation in einem von drei Szenarien:

  1. Netzwerknamensauflösung Defender for Identity erfasst Datenverkehr und Ereignisse sowie Lern- und Profilerstellung für Benutzer und Computeraktivitäten im Netzwerk. Um Aktivitäten entsprechend den Computern in der Organisation zu erlernen und zu profilieren, muss Defender for Identity IPs in Computerkonten auflösen. Um IP-Adressen in Computernamen aufzulösen, fordern Defender für Identitätssensoren die IP-Adresse für den Computernamen hinter der IP-Adresse an.

    Anforderungen erfolgen mithilfe einer von vier Methoden:

    • NTLM über RPC (TCP-Port 135)
    • NetBIOS (UDP-Port 137)
    • RDP (TCP-Port 3389)
    • Abfragen des DNS-Servers mittels Reverse-DNS-Lookup der IP-Adresse (UDP 53)

    Nach dem Abrufen des Computernamens überprüfen Defender für Identitätssensoren die Details in Active Directory, um festzustellen, ob ein korreliertes Computerobjekt mit demselben Computernamen vorhanden ist. Wenn eine Übereinstimmung gefunden wird, erfolgt eine Zuordnung zwischen der IP-Adresse und dem übereinstimmenden Computerobjekt.

  2. Lateral Movement Path (LMP) Um potenzielle LMPs für sensible Benutzer zu erstellen, benötigt Defender for Identity Informationen zu den lokalen Administratoren auf Computern. In diesem Szenario verwendet der Defender for Identity-Sensor SAM-R (TCP 445), um die im Netzwerkdatenverkehr identifizierte IP-Adresse abfragt, um die lokalen Administratoren des Computers zu ermitteln. Weitere Informationen zu Defender for Identity und SAM-R finden Sie unter Konfigurieren der erforderlichen SAM-R-Berechtigungen.

  3. Abfragen von Active Directory mit LDAP für Entitätsdaten Defender for Identity-Sensoren fragen den Domänencontroller aus der Domäne ab, zu der die Entität gehört. Es kann derselbe Sensor oder ein anderer Domänencontroller aus dieser Domäne sein.

Protokoll Dienst Port Quelle Richtung
LDAP TCP und UDP 389 Domänencontroller Ausgehend
Sicheres LDAP (LDAPS) TCP 636 Domänencontroller Ausgehend
LDAP an globalen Katalog TCP 3268 Domänencontroller Ausgehend
LDAPs an globalen Katalog TCP 3269 Domänencontroller Ausgehend

Warum werden in Aktivitäten nicht immer sowohl der Quellbenutzer als auch der Quellcomputer angezeigt?

Defender for Identity erfasst Aktivitäten über viele verschiedene Protokolle. In einigen Fällen empfängt Defender for Identity nicht die Daten des Quellbenutzers im Datenverkehr. Defender for Identity versucht, die Sitzung des Benutzers mit der Aktivität zu korrelieren. Wenn der Versuch erfolgreich ist, wird der Quellbenutzer der Aktivität angezeigt. Schlagen Korrelationsversuche des Benutzers aber fehl, wird nur der Quellcomputer angezeigt.

Problembehandlung

Was soll ich tun, wenn der Defender for Identity-Sensor oder der eigenständige Sensor nicht gestartet wird?

Sehen Sie sich den letzten Fehler im aktuellen Fehlerprotokoll an (wobei Defender for Identity im Ordner "Protokolle" installiert ist).