Dieser Artikel enthält eine Liste der häufig gestellten Fragen und Antworten zu Microsoft Defender for Identity, die in die folgenden Kategorien unterteilt sind:
Was ist Microsoft Defender for Identity?
Was kann Defender for Identity erkennen?
Azure ATP kann bekannte schädliche Angriffe und Vorgehensweisen, Sicherheitsprobleme und Risiken in Bezug auf Ihr Netzwerk erkennen. Die vollständige Liste der Defender for Identity-Erkennungen finden Sie unter Defender for Identity Security Alerts.
Welche Daten sammelt Defender for Identity?
Defender for Identity sammelt und speichert Informationen von Ihren konfigurierten Servern, z. B. Standard Controller, Mitgliedsserver usw. Daten werden in einer Datenbank gespeichert, die für den Dienst für Verwaltungs-, Nachverfolgungs- und Berichterstellungszwecke spezifisch ist.
Zu den gesammelten Informationen gehören:
- Netzwerkdatenverkehr zu und von do Standard Controllern, z. B. Kerberos-Authentifizierung, NTLM-Authentifizierung oder DNS-Abfragen.
- Sicherheitsprotokolle, z. B. Windows-Sicherheitsereignisse.
- Active Directory-Informationen, z. B. Struktur, Subnetze oder Standorte.
- Diese Informationen umfassen Namen, E-Mail-Adressen und Telefonnummern.
Microsoft verwendet diese Daten für:
- Identifizieren Sie proaktiv Indikatoren für Angriffe (IOAs) in Ihrer Organisation.
- Generieren Sie Warnungen, wenn ein möglicher Angriff erkannt wurde.
- Bieten Sie Ihren Sicherheitsvorgängen einen Einblick in Entitäten im Zusammenhang mit Bedrohungssignalen aus Ihrem Netzwerk, sodass Sie das Vorhandensein von Sicherheitsbedrohungen im Netzwerk untersuchen und untersuchen können.
Microsoft verwendet Ihre Daten nicht für Werbung oder für andere Zwecke als die Bereitstellung des Diensts.
Wie viele Verzeichnisdienstanmeldeinformationen unterstützt Defender for Identity?
Defender for Identity unterstützt derzeit das Hinzufügen von bis zu 30 verschiedenen Verzeichnisdienstanmeldeinformationen zur Unterstützung von Active Directory-Umgebungen mit nicht vertrauenswürdigen Gesamtstrukturen. Wenn Sie weitere Konten benötigen, öffnen Sie ein Supportticket.
Verwendet Defender for Identity nur Datenverkehr aus Active Directory?
Neben der Analyse von Active Directory-Datenverkehr mithilfe der Deep Packet Inspection-Technologie sammelt Defender for Identity auch relevante Windows-Ereignisse von Ihrer Do Standard Controller und erstellt Entitätsprofile basierend auf Informationen aus Active Directory-Domäne Services. Defender for Identity unterstützt auch das Empfangen der RADIUS-Buchhaltung von VPN-Protokollen verschiedener Anbieter (Microsoft, Cisco, F5 und Prüfpunkt).
Funktioniert der Defender for Identity-Monitor nur Standard-verbundenen Geräten?
Nein. Defender for Identity überwacht alle Geräte im Netzwerk, die Authentifizierungs- und Autorisierungsanforderungen für Active Directory ausführen, einschließlich nicht windows- und mobiler Geräte.
Überwacht Defender for Identity Computerkonten und Benutzerkonten?
Ja. Da Computerkonten und andere Entitäten zum Ausführen bösartiger Aktivitäten verwendet werden können, überwacht Defender for Identity das Verhalten aller Computerkonten und alle anderen Entitäten in der Umgebung.
Was ist der Unterschied zwischen Advanced Threat Analytics (ATA) und Defender for Identity?
ATA ist eine eigenständige lokale Lösung mit mehreren Komponenten, z. B. dem ATA Center, das dedizierte Hardware lokal erfordert.
Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokales Active Directory Signale verwendet. Die Lösung ist hochgradig skalierbar und wird häufig aktualisiert.
Die endgültige Version von ATA ist allgemein verfügbar. ATA beendete den Mainstream-Support am 12. Januar 2021. Erweiterter Support wird bis Januar 2026 fortgesetzt. Weitere Informationen finden Sie in unserem Blog.
Im Gegensatz zum ATA-Sensor verwendet der Defender for Identity-Sensor auch Datenquellen wie Die Ereignisablaufverfolgung für Windows (ETW), mit der Defender for Identity zusätzliche Erkennungen liefern kann.
Zu den häufigen Updates von Defender for Identity gehören die folgenden Features und Funktionen:
Unterstützung für Umgebungen mit mehreren Gesamtstrukturen: Bietet Organisationen Sichtbarkeit über AD-Gesamtstrukturen hinweg.
Sicherheitsbewertungsbewertungen von Microsoft: Identifiziert häufige Fehlkonfigurationen und exploitable Komponenten und stellt Wartungspfade bereit, um die Angriffsfläche zu reduzieren.
UEBA-Funktionen: Einblicke in individuelles Benutzerrisiko durch Bewertung der Prioritätsbewertung der Benutzeruntersuchung. Die Bewertung kann SecOps bei ihren Untersuchungen unterstützen und Analysten helfen, ungewöhnliche Aktivitäten für den Benutzer und die Organisation zu verstehen.
Native Integrationen: Integriert in Microsoft Defender for Cloud-Apps und Azure AD Identity Protection, um eine Hybridansicht zu bieten, die sowohl in lokalen als auch in Hybridumgebungen stattfindet.
Trägt zu Microsoft Defender XDR bei: Trägt Warnungs- und Bedrohungsdaten zu Microsoft Defender XDR bei. Microsoft Defender XDR verwendet das Microsoft 365-Sicherheitsportfolio (Identitäten, Endpunkte, Daten und Anwendungen), um aufgabenübergreifende Standard Bedrohungsdaten automatisch zu analysieren und ein vollständiges Bild der einzelnen Angriffe in einem einzigen Dashboard zu erstellen.
Mit diesem Umfang und dieser Tiefe an Klarheit können sich die Verteidiger auf kritische Bedrohungen konzentrieren und ausgeklügelte Verstöße aufspüren. Defenders können vertrauen, dass die leistungsstarke Automatisierung von Microsoft Defender XDR Angriffe überall in der Killchain stoppt und die Organisation in einen sicheren Zustand zurückgibt.
Lizenzierung und Datenschutz
Wo erhalte ich eine Lizenz für Microsoft Defender for Identity?
Defender for Identity ist als Teil der Enterprise Mobility + Security 5 Suite (EMS E5) und als Einzellizenz erhältlich. Sie können eine Lizenz direkt über das Microsoft 365-Portal oder über das Cloud Solution Partner (CSP)-Lizenzierungsmodell erwerben.
Benötigt Defender for Identity nur eine einzige Lizenz oder erfordert eine Lizenz für jeden Benutzer, den ich schützen möchte?
Informationen zu den Lizenzierungsanforderungen für Defender for Identity finden Sie unter Defender for Identity-Lizenzierungsleitfaden.
Sind meine Daten von anderen Kundendaten isoliert?
Ja, Ihre Daten werden durch Zugriffsauthentifizierung und logische Trennung basierend auf Kunden-IDs isoliert. Jeder Kunde kann nur auf Daten zugreifen, die von ihrer eigenen Organisation und generischen Daten gesammelt werden, die Microsoft bereitstellt.
Kann ich auswählen, wo meine Daten gespeichert werden sollen?
Nein Wenn Ihr Defender for Identity-Arbeitsbereich erstellt wird, wird er automatisch in der Azure-Region gespeichert, die dem geografischen Standort Ihres Microsoft Entra-Mandanten am nächsten kommt. Nachdem Ihr Defender for Identity-Arbeitsbereich erstellt wurde, können Defender for Identity-Daten nicht in eine andere Region verschoben werden.
Wie verhindert Microsoft böswillige Insider-Aktivitäten und Missbrauch von Rollen mit hohen Rechten?
Microsoft-Entwickler und -Administratoren haben im Entwurf ausreichende Berechtigungen erhalten, um ihre zugewiesenen Aufgaben zum Betrieb und Zur Entwicklung des Diensts auszuführen. Um dieses System aus Hintergrundüberprüfungen und Sicherheitserziehung zu ergänzen, setzt Microsoft Kombinationen aus vorbeugenden, abwehrenden und reaktiven Regelungen ein, um den Schutz vor unberechtigten Entwickler- und/oder Administratoraktivitäten zu stärken; dazu gehören die folgenden Mechanismen:
- Enge Zugriffssteuerung für vertrauliche Daten
- Kombinationen von Steuerungen, die die unabhängige Erkennung bösartiger Aktivitäten erheblich verbessern
- Mehrstufige Überwachung, Protokollierung und Berichterstellung.
Darüber hinaus führt Microsoft Hintergrundüberprüfungen für bestimmte Betriebsmitarbeiter durch und beschränkt den Zugriff auf Anwendungen, Systeme und Netzwerkinfrastruktur im Verhältnis zur Ebene der Hintergrundüberprüfung. Betriebsmitarbeiter folgen einem formalen Prozess, wenn sie für den Zugriff auf das Konto eines Kunden oder verwandte Informationen in der Erfüllung ihrer Aufgaben erforderlich sind.
Bereitstellung
Wie viele Defender for Identity-Sensoren benötige ich?
Es wird empfohlen, dass Sie über einen Defender for Identity-Sensor oder einen eigenständigen Sensor für jede Ihrer Aufgaben Standard Controller verfügen. Weitere Informationen finden Sie unter Größenbestimmung von Defender for Identity-Sensoren.
Funktioniert Defender for Identity mit verschlüsseltem Datenverkehr?
Während Netzwerkprotokolle mit verschlüsseltem Datenverkehr, z. B. AtSvc und WMI, nicht entschlüsselt werden, analysieren Sensoren den Datenverkehr weiterhin.
Funktioniert Defender for Identity mit Kerberos-Schutz?
Defender for Identity unterstützt Kerberos-Schutz, auch bekannt als Flexible Authentication Secure Tunneling (FAST). Die Ausnahme von dieser Unterstützung ist die Überlaufdurchlauf der Hasherkennung, die nicht mit Kerberos-Schutz funktioniert.
Gewusst wie einen virtuellen Do Standard Controller mit Defender for Identity überwachen?
Der Defender for Identity-Sensor kann die meisten virtuellen Aufgaben abdecken Standard-Controller. Weitere Informationen finden Sie unter Defender for Identity Kapazitätsplanung.
Wenn der Defender for Identity-Sensor keine virtuelle Vorgehensweise abdecken kann Standard Controller verwenden Sie stattdessen einen virtuellen oder physischen Defender for Identity-Sensor. Weitere Informationen finden Sie unter Portspiegelung konfigurieren.
Die einfachste Möglichkeit besteht darin, einen eigenständigen virtuellen Defender for Identity-Sensor auf jedem Host zu haben, auf dem ein virtueller Do Standard Controller vorhanden ist.
Wenn Ihre virtuellen Aufgaben ausgeführt werden Standard Controller zwischen Hosts wechseln, müssen Sie einen der folgenden Schritte ausführen:
Wenn der virtuelle Do Standard-Controller zu einem anderen Host wechselt, konfigurieren Sie den eigenständigen Defender for Identity-Sensor in diesem Host, um den Datenverkehr vom kürzlich verschobenen virtuellen Do Standard controller zu empfangen.
Stellen Sie sicher, dass Sie den eigenständigen virtuellen Defender for Identity-Sensor mit dem virtuellen Do Standard Controller verbinden, damit der eigenständige Defender for Identity-Sensor mit dem Sensor verschoben wird.
Es gibt einige virtuelle Switches, die Datenverkehr zwischen Hosts senden können.
Gewusst wie konfigurieren die Defender for Identity-Sensoren für die Kommunikation mit dem Defender for Identity-Clouddienst, wenn ich einen Proxy habe?
Damit Ihre Aufgaben Standard Controller mit dem Clouddienst kommunizieren können, müssen Sie folgendes öffnen: *.atp.azure.com Port 443 in Ihrer Firewall/Proxy. Weitere Informationen finden Sie unter Konfigurieren Sie Ihren Proxy oder Ihre Firewall, um die Kommunikation mit Defender for Identitysensoren zu ermöglichen.
Kann Defender for Identity überwacht werden Standard Controller in Ihrer IaaS-Lösung virtualisiert werden?
Ja, Sie können den Defender for Identity-Sensor verwenden, um Dies zu überwachen Standard Controller, die sich in einer beliebigen IaaS-Lösung befinden.
Kann Defender for Identity multi-do Standard und mehrere Gesamtstrukturen unterstützen?
Defender for Identity unterstützt Multi-Do Standard Umgebungen und mehrere Gesamtstrukturen. Weitere Informationen und Vertrauensanforderungen finden Sie unter Unterstützung für mehrere Gesamtstrukturen.
Können Sie die allgemeine Integrität der Bereitstellung sehen?
Ja, Sie können die allgemeine Bereitstellungsintegrität und alle spezifischen Probleme im Zusammenhang mit Konfiguration, Konnektivität usw. anzeigen. Sie werden benachrichtigt, da diese Ereignisse mit Defender for Identity-Integritätsproblemen auftreten.
Erfordert Microsoft Defender for Identity die Synchronisierung von Benutzern mit der Microsoft Entra-ID?
Microsoft Defender for Identity bietet Einen Sicherheitswert für alle Active Directory-Konten, einschließlich derJenigen, die nicht mit Microsoft Entra ID synchronisiert werden. Benutzerkonten, die mit Microsoft Entra ID synchronisiert sind, profitieren ebenfalls von den Sicherheitsvorteilen, die Microsoft Entra ID (je nach Lizenzstufe) bietet, sowie von der Prioritätsbewertung für Untersuchungen.
WinPcap- und Npcap-Treiber
Welche Empfehlungen für WinPcap- und Npcap-Treiber ändern sich?
Das Microsoft Defender for Identity-Team empfiehlt, dass alle Kunden den Npcap-Treiber anstelle der WinPcap-Treiber verwenden. Ab Defender for Identity Version 2.184 installiert das Installationspaket npcap 1.0 OEM anstelle der WinPcap 4.1.3-Treiber.
Warum bewegen wir uns von WinPcap ab?
WinPcap wird nicht mehr unterstützt und da er nicht mehr entwickelt wird, kann der Treiber nicht mehr für den Defender for Identity-Sensor optimiert werden. Wenn es in Zukunft ein Problem mit dem WinPcap-Treiber gibt, gibt es keine Optionen für eine Lösung.
Warum Npcap?
Npcap wird unterstützt, während WinPcap kein unterstütztes Produkt mehr ist.
Welche Version von Npcap wird unterstützt?
Der MDI-Sensor erfordert Npcap 1.0 oder höher. Das Sensor-Installationspaket installiert Version 1.0, wenn keine andere Version von Npcap installiert ist. Wenn Npcap bereits installiert ist (aufgrund anderer Softwareanforderungen oder eines anderen Grunds), ist es wichtig, sicherzustellen, dass sie Version 1.0 oder höher ist und mit den erforderlichen Einstellungen für MDI installiert wurde.
Muss ich den Sensor manuell entfernen und neu installieren, oder wird der automatische Updatedienst dies im Rahmen der normalen Aktualisierung behandeln?
Ja. Es ist erforderlich, den Sensor manuell zu entfernen, um die WinPcap-Treiber zu entfernen. Die Neuinstallation mit dem neuesten Paket installiert die Npcap-Treiber.
Wie kann ich überprüfen, ob meine aktuelle Installation von Defender for Identity Npcap oder WinPcap verwendet?
Sie können sehen, dass "Npcap OEM" über die Add/Remove-Programme (appwiz.cpl) installiert ist und wenn hierfür ein offenes Integritätsproblem aufgetreten ist, wird es automatisch geschlossen.
Ich habe mehr als fünf Aufgaben Standard Controller in meiner Organisation. Muss ich eine Npcap-Lizenz erwerben, wenn ich Npcap auf diesen Standard-Controllern verwende?
Nein, Npcap hat eine Ausnahme von der üblichen Grenze von fünf Installationen. Sie können es auf unbegrenzten Systemen installieren, in denen sie nur mit dem Defender for Identity-Sensor verwendet wird.
Lesen Sie hier den Npcap-Lizenzvertrag, und suchen Sie nach Microsoft Defender for Identity.
Ist Npcap auch für ATA relevant?
Nein, nur der Microsoft Defender for Identity-Sensor unterstützt Npcap, Version 1.00.
Ich möchte die Bereitstellung von Npcap skripten, muss ich die OEM-Version kaufen?
Nein, Sie müssen die OEM-Version nicht kaufen. Laden Sie das Sensorinstallationspaket, Version 2.156 und höher, aus der Defender for Identity-Konsole herunter, die die OEM-Version von Npcap enthält.
Gewusst wie den Npcap-Treiber herunterladen und installieren oder aktualisieren?
Sie können die ausführbaren Npcap-Dateien abrufen, indem Sie das neueste Bereitstellungspaket des Defender for Identity-Sensors herunterladen.
Wenn Sie den Sensor noch nicht installiert haben, installieren Sie den Sensor mit Version 2.184 oder höher.
Wenn Sie den Sensor bereits mit WinPcap installiert haben und aktualisieren müssen, um Npcap zu verwenden:
Deinstallieren des Sensors Verwenden Sie entweder "Programme hinzufügen/entfernen" aus der Windows-Systemsteuerung (appwiz.cpl), oder führen Sie den folgenden Deinstallationsbefehl aus:
".\Azure ATP Sensor Setup.exe" /uninstall /quietDeinstallieren Sie WinPcap bei Bedarf. Dieser Schritt ist nur relevant, wenn WinPcap vor der Sensorinstallation manuell installiert wurde. In diesem Fall müssen Sie WinPcap manuell entfernen.
Installieren Sie den Sensor mit Version 2.184 oder höher neu.
Wenn Sie Npcap manuell installieren möchten: Installieren Sie Npcap mit den folgenden Optionen:
- Wenn Sie das GUI-Installationsprogramm verwenden, deaktivieren Sie die Loopbackunterstützungsoption , und wählen Sie den WinPcap-Modus aus. Stellen Sie sicher, dass der Zugriff des Npcap-Treibers auf Administratoren nur deaktiviert ist.
- Wenn Sie die Befehlszeile verwenden, führen Sie aus:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Wenn Sie Npcap manuell aktualisieren möchten:
Beenden Sie die Defender for Identity-Sensordienste, AATPSensorUpdater und AATPSensor. Führen Sie aus:
Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -ForceEntfernen Sie Npcap mithilfe von Add/Remove-Programmen in der Windows-Systemsteuerung (appwiz.cpl).
Installieren Sie sie mithilfe der folgenden Optionen:
Wenn Sie das GUI-Installationsprogramm verwenden, deaktivieren Sie die Loopbackunterstützungsoption , und wählen Sie den WinPcap-Modus aus. Stellen Sie sicher, dass der Zugriff des Npcap-Treibers auf Administratoren nur deaktiviert ist.
Wenn Sie die Befehlszeile verwenden, führen Sie aus:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Starten Sie die Defender for Identity-Sensordienste, AATPSensorUpdater und AATPSensor. Führen Sie
Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensoraus.
Vorgang
Welche Art von Integration hat Defender for Identity mit SIEMs?
Defender for Identity kann so konfiguriert werden, dass eine Syslog-Warnung mit dem CEF-Format an jeden SIEM-Server gesendet wird, für Integritätsprobleme und wenn eine Sicherheitswarnung erkannt wird. Weitere Informationen finden Sie in der docker login-Referenz.
Warum gelten bestimmte Konten als vertraulich?
Konten werden als vertraulich betrachtet, wenn ein Konto Mitglied von Gruppen ist, die als vertraulich gekennzeichnet sind (z. B. "Do Standard Admins").
Um zu verstehen, warum ein Konto vertraulich ist, können Sie die Gruppenmitgliedschaft überprüfen, um zu verstehen, zu welchen vertraulichen Gruppen es gehört. Die Gruppe, zu der sie gehört, kann auch aufgrund einer anderen Gruppe vertraulich sein, sodass derselbe Prozess ausgeführt werden sollte, bis Sie die Gruppe mit der höchsten Ebene vertraulich finden. Alternativ können Sie Konten manuell als vertraulich markieren.
Müssen Sie eigene Regeln schreiben und einen Schwellenwert/einen Basisplan erstellen?
Mit Defender for Identity müssen sie keine Regeln, Schwellenwerte oder Basispläne erstellen und dann optimieren. Defender for Identity analysiert das Verhalten zwischen Benutzern, Geräten und Ressourcen sowie ihre Beziehung zueinander und kann verdächtige Aktivitäten und bekannte Angriffe schnell erkennen. Drei Wochen nach der Bereitstellung beginnt Defender for Identity, verhaltensverdächtige Aktivitäten zu erkennen. Andererseits erkennt Defender for Identity sofort nach der Bereitstellung bekannte schädliche Angriffe und Sicherheitsprobleme.
Welcher Datenverkehr generiert Defender for Identity im Netzwerk aus Standard Controllern und warum?
Defender for Identity generiert Datenverkehr von do Standard Controllern zu Computern in der Organisation in einem von drei Szenarien:
Die Netzwerknamenauflösung Defender for Identity erfasst Datenverkehr und Ereignisse, Lernen und Profilerstellung von Benutzern und Computeraktivitäten im Netzwerk. Um Aktivitäten gemäß Computern in der Organisation zu erlernen und zu profilieren, muss Defender for Identity IPs auf Computerkonten auflösen. Um IPs auf Computernamen defender for Identity-Sensoren aufzulösen, fordern Sie die IP-Adresse für den Computernamen hinter der IP-Adresse an.
Anforderungen werden mit einer von vier Methoden gestellt:
- NTLM über RPC (TCP-Port 135)
- NetBIOS (UDP-Port 137)
- RDP (TCP-Port 3389)
- Abfragen des DNS-Servers mithilfe des Reverse-DNS-Nachschlagevorgangs der IP-Adresse (UDP 53)
Nach dem Abrufen des Computernamens überprüfen Defender for Identity-Sensoren die Details in Active Directory, um festzustellen, ob ein korreliertes Computerobjekt mit demselben Computernamen vorhanden ist. Wenn eine Übereinstimmung gefunden wird, wird eine Zuordnung zwischen der IP-Adresse und dem übereinstimmenen Computerobjekt hergestellt.
Lateral Movement Path (LMP) Um potenzielle LMPs für vertrauliche Benutzer zu erstellen, erfordert Defender for Identity Informationen zu den lokalen Administratoren auf Computern. In diesem Szenario verwendet der Defender for Identity-Sensor SAM-R (TCP 445), um die im Netzwerkdatenverkehr identifizierte IP-Adresse abzufragen, um die lokalen Administratoren des Computers zu ermitteln. Weitere Informationen zu Defender for Identity und SAM-R finden Sie unter Konfigurieren der erforderlichen SAM-R-Berechtigungen.
Das Abfragen von Active Directory mithilfe von LDAP für Entitätsdaten von Defender for Identity-Sensoren fragt den Do Standard-Controller aus der Do Standard wo die Entität gehört. Dabei kann es sich um denselben Sensor oder einen anderen Standard Controller handeln Standard.
| Protokoll | Dienst | Port | Quelle | Direction |
|---|---|---|---|---|
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| Sicheres LDAP (LDAPS) | TCP | 636 | Domänencontroller | Ausgehend |
| LDAP zum globalen Katalog | TCP | 3268 | Domänencontroller | Ausgehend |
| LDAPS zum globalen Katalog | TCP | 3269 | Domänencontroller | Ausgehend |
Warum zeigen Aktivitäten nicht immer sowohl den Quellbenutzer als auch den Computer an?
Defender for Identity erfasst Aktivitäten über viele verschiedene Protokolle. In einigen Fällen empfängt Defender for Identity nicht die Daten des Quellbenutzers im Datenverkehr. Defender for Identity versucht, die Sitzung des Benutzers mit der Aktivität zu korrelieren, und wenn der Versuch erfolgreich ist, wird der Quellbenutzer der Aktivität angezeigt. Wenn Fehler bei der Benutzerkorrelation auftreten, wird nur der Quellcomputer angezeigt.