Microsoft Defender for Identity gyakori kérdések

A Defender for Identity észleli az ismert rosszindulatú támadásokat és technikákat, a biztonsági problémákat és a hálózattal kapcsolatos kockázatokat. A Defender identitásészleléseinek teljes listáját a Defender for Identity Security riasztásai között találja.

A Defender for Identity a konfigurált kiszolgálókról (tartományvezérlőkről, tagkiszolgálókról stb.) adatokat gyűjt és tárol a szolgáltatásra jellemző adatbázisban adminisztrációs, nyomon követési és jelentéskészítési célokra. Az összegyűjtött információk közé tartozik a tartományvezérlők bejövő és kimenő hálózati forgalma (például Kerberos-hitelesítés, NTLM-hitelesítés, DNS-lekérdezések), biztonsági naplók (például Windows biztonsági események), Active Directory-információk (struktúra, alhálózatok, helyek) és entitásadatok (például nevek, e-mail-címek és telefonszámok).

A Microsoft ezeket az adatokat a következő célokra használja fel:

• Proaktívan azonosítja a szervezeten belüli támadások (IOA-k) mutatóit
• Riasztások létrehozása lehetséges támadás észlelése esetén
• A biztonsági műveletek betekintést nyújtanak a hálózatból érkező fenyegetésjelekkel kapcsolatos entitásokba, így megvizsgálhatja és feltárhatja a biztonsági fenyegetések jelenlétét a hálózaton.

A Microsoft a szolgáltatás nyújtásán kívül semmilyen más célra nem szolgáltatja az Ön adatait reklámozásra vagy más célra.

A Defender for Identity jelenleg legfeljebb 30 különböző címtárszolgáltatás hitelesítő adatainak hozzáadását támogatja a nem megbízható erdőkkel rendelkező Active Directory-környezetek támogatásához. Ha több fiókra van szüksége, hozzon létre egy támogatási jegyet.

Az Active Directory-forgalom mély csomagvizsgálati technológiával történő elemzése mellett a Defender for Identity összegyűjti a releváns Windows-eseményeket a tartományvezérlőről, és entitásprofilokat hoz létre Active Directory tartományi szolgáltatások adatai alapján. A Defender for Identity támogatja a KÜLÖNBÖZŐ szállítóktól (Microsoft, Cisco, F5 és Checkpoint) származó VPN-naplók RADIUS-nyilvántartásának fogadását is.

Nem. A Defender for Identity a hálózat összes eszközét figyeli, amely hitelesítési és engedélyezési kéréseket hajt végre az Active Directoryn, beleértve a nem Windows- és mobileszközöket is.

Igen. Mivel a számítógépfiókok (és más entitások) rosszindulatú tevékenységek végrehajtására is használhatók, a Defender for Identity figyeli a számítógépfiókok viselkedését és a környezet összes többi entitását.

Az ATA egy különálló helyszíni megoldás több összetevővel, például az ATA-központtal, amely dedikált hardvert igényel a helyszínen.

A Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jeleket használja. A megoldás nagy mértékben skálázható, és gyakran frissül.

Az ATA végleges kiadása általánosan elérhető. Az ATA 2021. január 12-én megszüntette az alapvető technikai támogatást. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információért olvassa el blogunkat.

Az ATA-érzékelővel ellentétben a Defender for Identity érzékelő olyan adatforrásokat is használ, mint például a Windows esemény-nyomkövetése (ETW), amely lehetővé teszi a Defender for Identity számára további észlelések biztosítását.

A Defender for Identity gyakori frissítései a következő funkciókat és képességeket tartalmazzák:

• Többerdős környezetek támogatása: A szervezetek számára biztosítja a láthatóságot az AD-erdőkben.

• A Microsoft biztonsági pontszámának helyzetértékelései: Azonosítja a gyakori helytelen konfigurációkat és a kihasználható összetevőket, valamint szervizelési útvonalakat biztosít a támadási felület csökkentéséhez.

• UEBA-képességek: Elemzések az egyes felhasználói kockázatokról a felhasználói vizsgálat prioritási pontozásán keresztül. A pontszám segíthet a SecOpsnak a vizsgálatokban, és segíthet az elemzőknek megérteni a felhasználó és a szervezet szokatlan tevékenységeit.

• Natív integrációk: Integrálható Microsoft Defender for Cloud Apps és Azure AD Identity Protection szolgáltatással, hogy hibrid képet nyújtson a helyszíni és a hibrid környezetek folyamatáról.

• Hozzájárul a Microsoft 365 Defender: Riasztási és fenyegetési adatokkal járul hozzá a Microsoft 365 Defender. Microsoft 365 Defender a Microsoft 365 biztonsági portfólióját (identitásokat, végpontokat, adatokat és alkalmazásokat) használja a tartományok közötti fenyegetések adatainak automatikus elemzéséhez, és teljes képet készít az egyes támadásokról egyetlen irányítópulton. Az egyértelműség ezen mélysége és mélysége miatt a védők a kritikus fenyegetésekre összpontosíthatnak, és kifinomult biztonsági incidensekre vadászhatnak, bízva abban, hogy Microsoft 365 Defender hatékony automatizálása bárhol leállítja a támadásokat a leállítási láncban, és biztonságos állapotba állítja vissza a szervezetet.

A Defender for Identity a Enterprise Mobility + Security 5 csomag (EMS E5) részeként és önálló licencként érhető el. Licencet közvetlenül a Microsoft 365 portálon vagy a felhőmegoldás-partner (CSP) licencelési modelljén keresztül szerezhet be.

A Defender for Identity licencelési követelményeiről a Defender for Identity licencelési útmutatója nyújt tájékoztatást.

Igen, az adatok hozzáférés-hitelesítéssel és az ügyfélazonosítókon alapuló logikai elkülönítéssel lesznek elkülönítve. Minden ügyfél csak a saját szervezetétől gyűjtött adatokat és a Microsoft által biztosított általános adatokat érheti el.

Nem. A Defender for Identity-példány létrehozásakor a rendszer automatikusan az Azure Active Directory-bérlő földrajzi helyéhez legközelebbi Azure-régióban tárolja. A Defender for Identity-példány létrehozása után a Defender for Identity adatai nem helyezhetők át egy másik régióba.

A Microsoft fejlesztői és rendszergazdái a tervezés során megfelelő jogosultságokkal rendelkeznek a szolgáltatás működtetéséhez és továbbfejlesztéséhez szükséges feladatok elvégzéséhez. A Microsoft prevenciós, nyomozói és reaktív vezérlők kombinációját alkalmazza, beleértve az alábbi mechanizmusokat a jogosulatlan fejlesztői és/vagy adminisztratív tevékenységek elleni védelem érdekében:

• Szigorú hozzáférés-vezérlés bizalmas adatokhoz
• A kártékony tevékenységek független észlelését jelentősen növelő vezérlőkombinációk
• Többszintű monitorozás, naplózás és jelentéskészítés

Emellett a Microsoft háttérellenőrzést végez bizonyos üzemeltetési munkatársakon, és a háttérellenőrzés szintjéhez viszonyított arányban korlátozza az alkalmazásokhoz, rendszerekhez és hálózati infrastruktúrához való hozzáférést. Az üzemeltetési munkatársak hivatalos eljárást követnek, amikor az ügyfél fiókjához vagy a kapcsolódó információkhoz való hozzáférésre van szükségük feladataik ellátása során.

A környezet minden tartományvezérlőjéhez egy Defender for Identity-érzékelőnek vagy önálló érzékelőnek kell tartoznia. További információ: Defender for Identity érzékelő méretezése.

A titkosított forgalmat (például AtSvc és WMI) tartalmazó hálózati protokollokat a rendszer nem fejti vissza, hanem az érzékelők elemzik.

A Defender for Identity támogatja a Kerberos-védelem, más néven a rugalmas hitelesítés biztonságos bújtatásának (FAST) engedélyezését, kivéve a kivonatészlelést, amely nem működik a Kerberos-védelemmel.

A legtöbb virtuális tartományvezérlőt lefedheti a Defender for Identity érzékelő, amely meghatározza, hogy a Defender for Identity érzékelő megfelelő-e a környezetéhez. Lásd: Defender for Identity Capacity Planning.

Ha egy virtuális tartományvezérlőt nem tud lefedni a Defender for Identity érzékelője, rendelkezhet egy önálló virtuális vagy fizikai Defender for Identity-érzékelővel a porttükrözés konfigurálása című szakaszban leírtak szerint. A legegyszerűbb megoldás, ha a virtuális Defender for Identity különálló érzékelővel rendelkezik minden gazdagépen, ahol létezik virtuális tartományvezérlő. Ha a virtuális tartományvezérlők a gazdagépek között mozognak, az alábbi lépések egyikét kell végrehajtania:

• Amikor a virtuális tartományvezérlő átkerül egy másik gazdagépre, konfigurálja előre a Defender for Identity önálló érzékelőt a gazdagépen, hogy fogadja a forgalmat a nemrég áthelyezett virtuális tartományvezérlőről.
• Győződjön meg arról, hogy összekapcsolta a virtuális Defender for Identity önálló érzékelőt a virtuális tartományvezérlővel, hogy áthelyezés esetén a Defender for Identity önálló érzékelője vele együtt mozogjon.
• Vannak olyan virtuális kapcsolók, amelyek képesek a gazdagépek között forgalmat küldeni.

Ahhoz, hogy a tartományvezérlők kommunikálhassanak a felhőszolgáltatással, meg kell nyitnia a *.atp.azure.com 443-as portot a tűzfalon/proxyn. Ennek módjáról a proxy vagy a tűzfal konfigurálása a Defender for Identity érzékelőivel való kommunikáció engedélyezéséhez című témakörben talál útmutatást.

Igen, a Defender for Identity érzékelővel figyelheti a bármely IaaS-megoldásban található tartományvezérlőket.

A Defender for Identity támogatja a többtartományos környezeteket és több erdőt. További információ és megbízhatósági követelmények: Többerdős támogatás.

Igen, megtekintheti az üzemelő példány általános állapotát, valamint a konfigurációval, a kapcsolattal stb. kapcsolatos konkrét problémákat, és riasztást kap, amint megjelennek a Defender for Identity állapotriasztásai.

A Microsoft Defender for Identity csapata azt javasolja, hogy minden ügyfél használja az Npcap illesztőprogramot a WinPcap illesztőprogramok helyett. A Defender for Identity 2.184-es verziójától kezdve a telepítőcsomag az Npcap 1.0 OEM-et telepíti a WinPcap 4.1.3 illesztőprogramok helyett.

A WinPcap már nem támogatott, és mivel már nem fejlesztik, az illesztőprogram nem optimalizálható tovább a Defender for Identity érzékelőhöz. Továbbá, ha a jövőben probléma merül fel a WinPcap-illesztővel kapcsolatban, nincs lehetőség a javításra.

Az Npcap támogatott, míg a WinPcap már nem támogatott termék.

Az Npcap ajánlott és hivatalosan támogatott verziója az 1.0-s verzió. Az Npcap újabb verzióját is telepítheti, de vegye figyelembe, hogy a hibaelhárításhoz a támogatási szolgálat megkéri, hogy lépjen vissza az Npcap-verzióra, és ellenőrizze, hogy a probléma nem kapcsolódik-e a telepített újabb verzióhoz.

Nem, az Npcap kivételt élvez az 5 telepítésre vonatkozó szokásos korlát alól. Korlátlan rendszerekre telepítheti, ahol csak a Defender for Identity érzékelővel használható.

Tekintse meg itt az Npcap licencszerződést, és keressen Microsoft Defender for Identity.

Nem, csak a Microsoft Defender for Identity érzékelő támogatja az Npcap 1.00-s verzióját.

Nem, nem kell megvásárolnia az OEM-verziót. Töltse le az érzékelőtelepítési csomag 2.156-os vagy újabb verzióját a Defender for Identity konzolról, amely tartalmazza az Npcap OEM-verzióját.

• Az Npcap végrehajtható fájljait a Defender for Identity érzékelő legújabb üzembehelyezési csomagjának letöltésével szerezheti be.

• Ha még nem telepítette az érzékelőt:

  1. Telepítse az érzékelőt (a 2.184-es vagy újabb verziójú telepítőcsomaggal).

• Ha már telepítette az érzékelőt a WinPcap használatával, és frissítenie kell az Npcap használatához:

  1. Távolítsa el az érzékelőt.
  2. Távolítsa el a WinPcap programot.
  3. Telepítse újra az érzékelőt (a 2.184-es vagy újabb verziójú telepítőcsomaggal).

• Ha manuálisan szeretné telepíteni az Npcapet:

  1. Telepítse az Npcapet a következő beállításokkal:
  • A grafikus felhasználói felület telepítőjének használata esetén szüntesse meg a visszacsatolási támogatás kijelölését, és válassza a WinPcap módot. Győződjön meg arról, hogy az Npcap-illesztő csak a rendszergazdákhoz való hozzáférésének korlátozása beállítás nincs bejelölve.
  • Ha a parancssort használja: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Ha manuálisan szeretné frissíteni az Npcap-t:

  1. Állítsa le a Defender for Identity érzékelőszolgáltatásait (AATPSensorUpdater és AATPSensor)
     Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
  2. Az Npcap eltávolítása a Vezérlőpult programok hozzáadása/eltávolítása funkciójával (appwiz.cpl)
  3. Telepítse az Npcapet a következő beállításokkal:
     • A grafikus felhasználói felület telepítőjének használata esetén szüntesse meg a visszacsatolási támogatás kijelölését, és válassza a WinPcap módot. Győződjön meg arról, hogy az Npcap-illesztő csak a rendszergazdákhoz való hozzáférésének korlátozása beállítás nincs bejelölve.
     • Ha a parancssort használja: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  4. Indítsa el a Defender for Identity érzékelőszolgáltatásait (AATPSensorUpdater és AATPSensor)
     Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

A Defender for Identity konfigurálható úgy, hogy syslog-riasztást küldjön bármely, CEF formátumú SIEM-kiszolgálóra, állapotriasztásokhoz és biztonsági riasztás észlelésekor. További információért tekintse meg az SIEM-naplóreferenciát .

Ez akkor fordul elő, ha egy fiók bizalmasként megjelölt csoportok (például "Tartományi rendszergazdák") tagja.

Ha meg szeretné érteni, hogy miért lett egy fiók bizalmas, nézze meg a fiók csoporttagságát. Ebből megtudhatja, hogy mely bizalmas csoportoknak tagja (a csoport, amelybe a fiók tartozik, egy másik csoport miatt is bizalmas lehet, ezért ezt a folyamatot addig kell ismételnie, amíg meg nem találja a legmagasabb szintű bizalmas csoportot). A fiókokat manuálisan is megjelölheti bizalmasként.

A Defender for Identity esetében nincs szükség szabályok, küszöbértékek vagy alapkonfigurációk létrehozására, majd a finomhangolásra. A Defender for Identity elemzi a felhasználók, eszközök és erőforrások viselkedését, valamint az egymáshoz való viszonyukat, és képes gyorsan észlelni a gyanús tevékenységeket és az ismert támadásokat. Az üzembe helyezés után három héttel a Defender for Identity megkezdi a viselkedésgyanús tevékenységek észlelését. Ezzel szemben a Defender for Identity az üzembe helyezést követően azonnal észlelni fogja az ismert rosszindulatú támadásokat és biztonsági problémákat.

A Defender for Identity a következő három forgatókönyv egyikében generál forgalmat a tartományvezérlőkről a szervezet számítógépeire:

1. Hálózati névfeloldás A Defender for Identity rögzíti a hálózati forgalmat és eseményeket, a felhasználók és a számítógépes tevékenységek tanulását és profilkészítését. Ahhoz, hogy a tevékenységek a szervezet számítógépeinek megfelelően tanulhatók és profillal szerepeljenek, a Defender for Identitynek számítógépfiókokra kell feloldania az IP-címeket. Az IP-címeknek a Defender for Identity-érzékelők számítógépnevekre történő feloldásához kérje le az IP-cím mögötti számítógépnév IP-címét.

   A kérések a következő négy módszer egyikével jönnek létre:

   • NTLM over RPC (135-ös TCP-port)
   • NetBIOS (137-es UDP-port)
   • RDP (TCP-port: 3389)
   • A DNS-kiszolgáló lekérdezése az IP-cím fordított DNS-keresésével (UDP 53)

   A számítógép nevének lekérése után a Defender for Identity érzékelői keresztben ellenőrzik az Active Directory adatait, és ellenőrzik, hogy van-e azonos számítógépnévvel rendelkező, korrelált számítógép-objektum. Ha talál egyezést, társítás jön létre az IP-cím és az egyező számítógép-objektum között.

2. Oldalirányú mozgási útvonal (LMP) Ahhoz, hogy potenciális LMP-ket tudjon létrehozni a bizalmas felhasználók számára, a Defender for Identitynek információkat kell tudnia a helyi rendszergazdákról a számítógépeken. Ebben a forgatókönyvben a Defender for Identity érzékelőJE SAM-R (TCP 445) használatával kérdezi le a hálózati forgalomban azonosított IP-címet a számítógép helyi rendszergazdáinak meghatározásához. A Defender for Identityről és az SAM-R-ről további információt az SAM-R szükséges engedélyeinek konfigurálását ismertető cikkben talál.

3. Az Active Directory ldAP használatával történő lekérdezése az entitásadatok Defender for Identity-érzékelőihez lekérdezi a tartományvezérlőt abból a tartományból, amelyhez az entitás tartozik. Ez lehet ugyanaz az érzékelő, vagy egy másik tartományvezérlő az adott tartományból.

A Defender for Identity számos különböző protokollon keresztül rögzíti a tevékenységeket. Bizonyos esetekben a Defender for Identity nem kapja meg a forgalom forrásfelhasználójának adatait. A Defender for Identity megpróbálja korrelálni a felhasználó munkamenetét a tevékenységhez, és ha a kísérlet sikeres, a tevékenység forrásfelhasználója jelenik meg. Ha a felhasználó korrelációs kísérletei meghiúsulnak, csak a forrásszámítógép jelenik meg.

Tekintse meg a legutóbbi hibát az aktuális hibanaplóban (ahol a Defender for Identity telepítve van a "Naplók" mappában).

Lásd még:

• A Defender for Identity előfeltételei
• A Defender for Identity kapacitástervezése
• Az eseménygyűjtés konfigurálása
• A Windows-eseménytovábbítás konfigurálása
• Hibaelhárítás
• Tekintse meg a Defender for Identity fórumot!