Microsoft Defender pour Identity forum aux questions

cet article fournit une liste des questions fréquemment posées et des réponses sur les Microsoft Defender pour Identity divisées en plusieurs catégories :

Qu’est-ce que Defender pour l’identité ?

Qu’est-ce que peut défendre pour la détection d’identité ?

Defender for Identity détecte les attaques et les techniques malveillantes connues, les problèmes de sécurité et les risques liés à votre réseau. Pour obtenir la liste complète des détections d’identité, consultez Quelles sont les détections qui sont effectuées par Defender pour l’identité ?.

Quelles sont les données collectées par Defender pour l’identité ?

Defender for Identity collecte et stocke les informations de vos serveurs configurés (contrôleurs de domaine, serveurs membres, etc.) dans une base de données spécifique au service à des fins d’administration, de suivi et de création de rapports. Les informations collectées comprennent le trafic réseau vers et depuis des contrôleurs de domaine (par exemple, l’authentification Kerberos, l’authentification NTLM, les requêtes DNS), les journaux de sécurité (par exemple, les événements de sécurité Windows), les informations Active Directory (structure, sous-réseaux, sites) et les informations sur les entités (par exemple, les noms, les adresses e-mail et les numéros de téléphone).

Microsoft utilise ces données pour :

  • identifier de manière proactive les indicateurs d’attaque dans votre organisation ;
  • générer des alertes si une possible attaque a été détectée ;
  • fournir à vos opérations de sécurité une vue sur les entités liées aux signaux des menaces de votre réseau, ce qui vous permet de rechercher et de détecter la présence de menaces de sécurité sur le réseau.

Microsoft n’exploite pas vos données à des fins publicitaires ni autres que la fourniture du service.

Combien d’informations d’identification de service d’annuaire est-ce que Defender pour la prise en charge des identités ?

Defender for Identity prend actuellement en charge l’ajout d’un maximum de 30 informations d’identification de service d’annuaire différentes pour prendre en charge Active Directory environnements avec des forêts non approuvées. Si vous avez besoin de comptes supplémentaires, ouvrez un ticket de support.

Defender pour l’identité exploite-t-il uniquement le trafic à partir de Active Directory ?

outre l’analyse du trafic Active Directory à l’aide de la technologie d’inspection approfondie des paquets, defender for identity collecte également les événements Windows pertinents de votre contrôleur de domaine et crée des profils d’entité en fonction des informations de services de domaine Active Directory. Defender for Identity prend également en charge la gestion de la comptabilité RADIUS des journaux VPN de différents fournisseurs (Microsoft, Cisco, F5 et Checkpoint).

Defender pour l’analyse d’identité n’utilise-t-il que des appareils joints à un domaine ?

Non. defender for identity surveille tous les appareils du réseau qui effectuent des demandes d’authentification et d’autorisation sur Active Directory, y compris des appareils non Windows et mobiles.

Defender pour les comptes d’ordinateur de l’analyseur d’identité et les comptes d’utilisateurs ?

Oui. Étant donné que les comptes d’ordinateurs (ainsi que toutes les autres entités) peuvent être utilisés pour effectuer des activités malveillantes, Defender pour l’identité surveille le comportement de tous les comptes d’ordinateur et toutes les autres entités de l’environnement.

Quelle est la différence entre Advanced Threat Analytics (ATA) et Defender for Identity ?

ATA est une solution locale autonome avec plusieurs composants, tels que le centre ATA qui nécessite du matériel dédié localement.

defender for identity est une solution de sécurité basée sur le cloud qui exploite vos signaux de Active Directory local. La solution est très scalable et fréquemment mise à jour.

La version finale d’ATA est mise à la disposition générale. ATA prendra fin au support standard le 12 janvier 2021. Le support étendu se poursuivra jusqu’au 2026 janvier. Pour plus d’informations, consultez notre blog.

contrairement au capteur ATA, l’defender pour le capteur d’identité utilise également des sources de données telles que Suivi d’v nements pour Windows (ETW) permettant à defender d’obtenir une identité pour fournir des détections supplémentaires.

Les mises à jour fréquentes de Defender pour les identités incluent les fonctionnalités suivantes :

  • Prise en charge des environnements multiforêts : Permet aux organisations d’avoir une visibilité sur les forêts AD.

  • Évaluations de la posture de sécurité des identités : Identifie les configurations incorrectes et les composants exploitables courants, et fournit des voies d’atténuation pour réduire la surface d’attaque.

  • Fonctions UEBA : Insights sur les risques de chaque utilisateur via le scoring des priorités d’investigation des utilisateurs. Le score peut assister SecOps dans leurs investigations et aider les analystes à comprendre les activités inhabituelles de l’utilisateur et de l’organisation.

  • intégrations natives: s’intègre à Microsoft Defender for Cloud Apps et Azure AD identity Protection pour fournir une vue hybride de ce qui se produit dans les environnements locaux et hybrides.

  • contribue à Microsoft 365 Defender: fournit des données d’alerte et de menace à Microsoft 365 Defender. Microsoft 365 Defender tire parti du portefeuille de sécurité Microsoft 365 (identités, points de terminaison, données et applications) pour analyser automatiquement les données de menace inter-domaines, en créant une image complète de chaque attaque dans un tableau de bord unique. avec cette large précision, les défenseurs peuvent se concentrer sur les menaces critiques et la recherche de failles sophistiquées, en faisant confiance à l’automatisation puissante de Microsoft 365 Defender arrête les attaques n’importe où dans la chaîne de destruction et rétablit l’état sécurisé de l’organisation.

Gestion des licences et confidentialité

où puis-je obtenir une licence pour Microsoft Defender pour Identity ?

defender for identity est disponible dans le cadre de Enterprise Mobility + Security 5 suite (EMS E5) et en tant que licence autonome. Vous pouvez acquérir une licence directement sur le portail Microsoft 365 ou via le modèle de licence de fournisseur de solutions cloud (CSP).

Defender pour l’identité a-t-il besoin d’une seule licence ou nécessite-t-il une licence pour chaque utilisateur que je souhaite protéger ?

Pour plus d’informations sur les conditions requises pour les licences d’identité, consultez Defender pour obtenir des conseils en matière de licences d’identité.

Est-ce que mes données sont isolées des données des autres clients ?

Oui, vos données sont isolées par l’authentification de l’accès et la séparation logique basée sur les identificateurs client. Chaque client peut uniquement accéder aux données collectées dans sa propre organisation et aux données génériques fournies par Microsoft.

Ai-je la possibilité de sélectionner l’emplacement où stocker mes données ?

Non. lorsque votre defender pour l’instance identity est créé, il est stocké automatiquement dans la région Azure la plus proche de l’emplacement géographique de votre locataire Azure Active Directory. Une fois que votre Defender pour l’instance Identity est créé, Defender ne peut pas déplacer les données d’identité vers une autre région.

Comment est-ce que Microsoft empêche les activités internes malveillantes et les abus de rôles dotés de privilèges élevés ?

Les développeurs et administrateurs Microsoft, par conception, ont reçu des privilèges suffisants pour effectuer les tâches qui leur ont été affectées afin de faire fonctionner et évoluer le service. Microsoft déploie des combinaisons de contrôles préventifs, défensifs et réactifs favorisant la protection contre les activités de développement et/ou d’administration non autorisées, comprenant les mécanismes suivants :

  • contrôles d’accès stricts aux données sensibles ;
  • combinaisons de contrôles améliorant la détection indépendante des activités malveillantes ;
  • niveaux multiples de surveillance, d’enregistrement et de génération de rapports.

En outre, Microsoft effectue des vérifications des antécédents sur certains membres du personnel d’exploitation et limite l’accès aux applications, aux systèmes et à l’infrastructure réseau par rapport au niveau de ces vérifications. Le personnel d’exploitation suit un processus formel quand il doit accéder au compte d’un client ou à des informations associées dans l’exercice de ses fonctions.

Déploiement

De combien de défenseurs d’identité ai-je besoin ?

Chaque contrôleur de domaine dans l’environnement doit être couvert par un Defender pour le capteur d’identité ou le capteur autonome. Pour plus d’informations, consultez Defender pour le dimensionnement du capteur d’identité.

Defender pour l’identité fonctionne-t-il avec le trafic chiffré ?

Les protocoles réseau avec le trafic chiffré (par exemple AtSvc et WMI) ne sont pas chiffrés, mais ils sont analysés par les capteurs.

Defender pour l’identité fonctionne-t-il avec le blindage Kerberos ?

l’activation du blindage Kerberos, également connu sous le nom de FAST (Flexible authentication secure tunneling), est prise en charge par defender pour l’identité, à l’exception de la détection de hachage surpass, qui ne fonctionne pas avec le blindage Kerberos.

Comment faire surveiller un contrôleur de domaine virtuel à l’aide de defender pour l’identité ?

La plupart des contrôleurs de domaine virtuels peuvent être couverts par l’Defender pour le capteur d’identité, afin de déterminer si l’Defender du capteur d’identité est approprié à votre environnement, consultez Defender pour la planification de la capacité d’identité.

Si un contrôleur de domaine virtuel ne peut pas être couvert par l’Defender pour le capteur d’identité, vous pouvez avoir un défendeur virtuel ou physique pour le capteur autonome d’identité, comme décrit dans configurer la mise en miroir des ports. Le moyen le plus simple consiste à disposer d’un outil Virtual Defender pour le capteur autonome d’identité sur chaque ordinateur hôte où se trouve un contrôleur de domaine virtuel. Si vos contrôleurs de domaine virtuels passent d’un hôte à l’autre, vous devez effectuer l’une des étapes suivantes :

  • Lorsque le contrôleur de domaine virtuel est déplacé vers un autre hôte, préconfigurez le capteur de protection autonome de l’identité de cet hôte pour qu’il reçoive le trafic du contrôleur de domaine virtuel récemment déplacé.
  • Assurez-vous que vous avez affilié le capteur autonome Virtual Defender pour identité au contrôleur de domaine virtuel. ainsi, s’il est déplacé, Defender pour le capteur autonome d’identité le déplace.
  • Certains commutateurs virtuels peuvent envoyer le trafic entre les hôtes.

Comment faire configurer l’defender pour que les capteurs d’identité communiquent avec defender pour identity cloud service lorsque j’ai un proxy ?

Pour que vos contrôleurs de domaine communiquent avec le service cloud, vous devez ouvrir le port 443 dans votre pare-feu/proxy sur *.atp.azure.com. Pour obtenir des instructions sur la procédure à suivre, consultez configurer votre proxy ou pare-feu pour activer la communication avec Defender pour les capteurs d’identité.

Est-il possible de protéger les contrôleurs de domaine contrôlés par l’identité sur votre solution IaaS ?

Oui, vous pouvez utiliser le capteur de protection des identités pour analyser les contrôleurs de domaine qui se trouvent dans n’importe quelle solution IaaS.

Defender peut-il prendre en charge plusieurs domaines et plusieurs forêts ?

Defender for Identity prend en charge les environnements à plusieurs domaines et plusieurs forêts. Pour plus d’informations et les exigences de confiance, consultez Prise en charge de plusieurs forêts.

Puis-je examiner l’intégrité globale du déploiement ?

Oui, vous pouvez afficher l’intégrité globale du déploiement, ainsi que les problèmes spécifiques liés à la configuration, la connectivité, etc., et vous êtes alerté lorsqu’ils se produisent avec Defender pour les alertes d’intégrité des identités.

Pilotes WinPcap et Npcap

Quelles sont les recommandations relatives aux pilotes WinPcap et Npcap ?

le Microsoft Defender pour Identity équipe recommande actuellement que tous les clients déploient le pilote Npcap avant de déployer le capteur. Cela permet de s’assurer que le pilote Npcap sera utilisé à la place du pilote WinPcap.

Pourquoi sommes-nous en déplacement à partir de WinPcap ?

WinPcap n’est plus pris en charge et étant donné qu’il n’est plus développé, le pilote ne peut plus être optimisé pour l’Defender pour le capteur d’identité. En outre, s’il y a un problème à l’avenir avec le pilote WinPcap, il n’existe aucune option pour un correctif.

Pourquoi Npcap ?

Npcap est pris en charge, tandis que WinPcap n’est plus un produit pris en charge.

Quelle version de Npcap est prise en charge ?

La version de Npcap recommandée et officiellement prise en charge est la version 1,00. Les autres versions ne sont pas prises en charge.

Quels sont les avantages supplémentaires que nous obtenons à l’aide de Npcap ?

L’équipe Defender for Identity travaille en étroite collaboration avec l’équipe Npcap au cours des derniers mois pour garantir des performances optimales du capteur. Le pilote Npcap offre de meilleures performances et une meilleure stabilité sur le pilote WinPcap.

J’ai plus de 5 contrôleurs de domaine dans mon organisation. Dois-je acheter une licence Npcap si j’utilise Npcap sur ces contrôleurs de domaine ?

Non, Npcap a une exemption à la limite habituelle de 5 installations. Vous pouvez l’installer sur des systèmes illimités lorsqu’il est utilisé uniquement avec le capteur d’identité de Defender.

consultez le contrat de licence Npcap iciet recherchez Microsoft Defender pour Identity.

Npcap est-il également adapté à ATA ?

non, seul le capteur Microsoft Defender pour Identity prend en charge la version 1,0 de Npcap.

J’aimerais créer un script pour le déploiement de Npcap, dois-je acheter la version OEM ?

Non, vous n’avez pas besoin d’acheter la version OEM. Téléchargez le package d’installation du capteur version 2,156 et ultérieure à partir de la console Defender for Identity, qui comprend la version OEM de Npcap.

Comment faire télécharger et installer le pilote Npcap ?

  • Vous pouvez obtenir les exécutables NPCAP en téléchargeant le dernier package de déploiement du capteur MDI.

    Notes

    Les copies de Npcap ne sont pas prises en compte dans les limites de licence pour cinq copies, cinq utilisateurs ou cinq ordinateurs, si elles sont installées et utilisées uniquement conjointement avec Defender pour Identity. Pour plus d’informations, consultez Npcap Licensing.

  • Si vous n’avez pas encore installé le capteur :

    1. Désinstallez WinPcap, s’il était installé.
    2. Installez Npcap avec les options suivantes : /loopback_support = no et /winpcap_mode = Yes et /s pour une installation sans assistance. N’utilisez pas l' /admin_only option.
      • Si vous utilisez le programme d’installation de l’interface utilisateur graphique, désactivez le support de bouclage et sélectionnez mode WinPcap. Assurez-vous que l’option restreindre l’accès du pilote Npcap aux administrateurs uniquement est désélectionnée.
  • Si vous avez déjà installé le capteur avec WinPcap et que vous devez mettre à jour pour utiliser Npcap :

    1. Désinstallez le capteur.

    2. Désinstallez WinPcap.

    3. Installez Npcap avec les options suivantes : loopback_support=no and winpcap_mode=yes. N’utilisez pas l' /admin_only option.

      • Si vous utilisez le programme d’installation de l’interface utilisateur graphique, désactivez le support de bouclage et sélectionnez mode WinPcap. Assurez-vous que l’option restreindre l’accès du pilote Npcap aux administrateurs uniquement est désélectionnée.
    4. Réinstallez le capteur.

Opération

Quel type d’intégration l’identité a-t-elle avec SIEMs ?

Defender for Identity peut être configuré pour envoyer une alerte syslog, à n’importe quel serveur SIEM utilisant le format CEF, pour les alertes d’intégrité et lorsqu’une alerte de sécurité est détectée. Pour plus d’informations, consultez Informations de référence sur le journal SIEM.

Pourquoi certains comptes sont-ils considérés comme sensibles ?

Cela arrive quand un compte est membre de groupes désignés comme sensibles (par exemple, « Administrateurs de domaine »).

Pour comprendre pourquoi un compte est sensible, vous pouvez examiner son appartenance au groupe pour déterminer à quels groupes sensibles il appartient. Le groupe auquel il appartient peut également être sensible en raison d’un autre groupe ; dans ce cas, répétez la procédure jusqu’à ce que vous trouviez le groupe sensible de plus haut niveau. Vous pouvez aussi marquer manuellement des comptes comme étant sensibles.

Est-ce que je dois écrire mes propres règles et créer un seuil/une ligne de base ?

Avec Defender for Identity, il n’est pas nécessaire de créer des règles, des seuils ou des lignes de base, puis de les affiner. Defender for Identity analyse les comportements des utilisateurs, des appareils et des ressources, ainsi que leurs relations entre eux, et peut détecter rapidement les activités suspectes et les attaques connues. Trois semaines après le déploiement, Defender pour l’identité commence à détecter les activités suspectes comportementales. En revanche, Defender for Identity commence à détecter les attaques malveillantes connues et les problèmes de sécurité immédiatement après le déploiement.

Quel est le trafic généré par Defender pour l’identité dans le réseau à partir des contrôleurs de domaine et pourquoi ?

Defender for Identity génère le trafic des contrôleurs de domaine vers les ordinateurs de l’organisation dans l’un des trois scénarios suivants :

  1. Résolution de noms réseau Defender for Identity capture le trafic et les événements, l’apprentissage et le profilage des utilisateurs et des activités informatiques sur le réseau. Pour apprendre et profiler les activités conformément aux ordinateurs de l’organisation, Defender for Identity doit résoudre les adresses IP en comptes d’ordinateur. Pour résoudre les adresses IP en noms d’ordinateur Defender pour les capteurs d’identité, demandez l’adresse IP du nom de l’ordinateur derrière l’adresse IP.

    Les requêtes sont effectuées à l’aide d’une des quatre méthodes :

    • NTLM sur RPC (port TCP 135)
    • NetBIOS (port UDP 137)
    • RDP (port TCP 3389)
    • Interroger le serveur DNS à l’aide de la recherche DNS inversée de l’adresse IP (UDP 53)

    Après avoir obtenu le nom de l’ordinateur, Defender pour les capteurs d’identité vérifie les détails dans Active Directory pour voir s’il existe un objet ordinateur corrélé portant le même nom d’ordinateur. Si une correspondance est trouvée, une association est établie entre l’adresse IP et l’objet ordinateur correspondant.

  2. Chemin de mouvement latéral (LMP) Pour générer des LMPs potentiels pour les utilisateurs sensibles, Defender for Identity requiert des informations sur les administrateurs locaux sur les ordinateurs. Dans ce scénario, l’Defender pour le capteur d’identité utilise SAM-R (TCP 445) pour interroger l’adresse IP identifiée dans le trafic réseau afin de déterminer les administrateurs locaux de l’ordinateur. Pour en savoir plus sur Defender pour l’identité et SAM-R, consultez configurer les autorisations requises Sam-r.

  3. Interrogation de Active Directory à l’aide de LDAP pour Entity Data Defender pour les capteurs d’identité interrogez le contrôleur de domaine à partir du domaine auquel appartient l’entité. Il peut s’agir du même capteur ou d’un autre contrôleur de domaine de ce domaine.

Protocole Service Port Source Sens
LDAP TCP et UDP 389 Contrôleurs de domaine Sortant
LDAP sécurisé (LDAPS) TCP 636 Contrôleurs de domaine Sortant
LDAP vers le catalogue global TCP 3268 Contrôleurs de domaine Sortant
LDAPS vers le catalogue global TCP 3269 Contrôleurs de domaine Sortant

Pourquoi les activités n’affichent-elles pas toujours l’utilisateur source et l’ordinateur source ?

Defender for Identity capture des activités sur de nombreux protocoles différents. Dans certains cas, Defender for Identity ne reçoit pas les données de l’utilisateur source dans le trafic. Defender pour les identités tente de mettre en corrélation la session de l’utilisateur avec l’activité et, lorsque la tentative réussit, l’utilisateur source de l’activité s’affiche. Lorsque la tentative de corrélation de l’utilisateur échoue, seul l’ordinateur source s’affiche.

Dépannage

Que dois-je faire si l’Defender pour le capteur d’identité ou le capteur autonome ne démarre pas ?

Examinez l’erreur la plus récente dans le Journal des erreurs actuel (où Defender for Identity est installé sous le dossier « logs »).