Microsoft Defender per identità domande frequenti

Defender per identità rileva attacchi dannosi noti e tecniche, problemi di sicurezza e rischi per la rete. Per l'elenco completo dei rilevamenti di Defender per identità, vedere Defender per gli avvisi di sicurezza delle identità.

Defender per identità raccoglie e archivia le informazioni dai server configurati, ad esempio controller di dominio, server membri e così via. I dati vengono archiviati in un database specifico del servizio per scopi di amministrazione, rilevamento e creazione di report.

Le informazioni raccolte includono:

• Traffico di rete da e verso controller di dominio, ad esempio l'autenticazione Kerberos, l'autenticazione NTLM o le query DNS.
• Log di sicurezza, ad esempio eventi di sicurezza di Windows.
• Informazioni di Active Directory, ad esempio struttura, subnet o siti.
• Informazioni sull'entità, ad esempio nomi, indirizzi di posta elettronica e numeri di telefono.

Microsoft usa questi dati per:

• Identificare in modo proattivo gli indicatori di attacco (I/O) nell'organizzazione.
• Generare avvisi se è stato rilevato un possibile attacco.
• Fornire alle operazioni di sicurezza una visualizzazione delle entità correlate ai segnali di minaccia della rete, consentendo di analizzare ed esplorare la presenza di minacce alla sicurezza nella rete.

Microsoft non esegue il mining dei dati per la pubblicità o per altri scopi diversi da fornire il servizio.

Defender per identità supporta attualmente l'aggiunta di fino a 30 credenziali del servizio directory diverse per supportare gli ambienti Active Directory con foreste non attendibili. Se sono necessari più account, aprire un ticket di supporto.

Oltre ad analizzare il traffico di Active Directory usando una tecnologia di ispezione approfondita dei pacchetti, Defender per identità raccoglie anche gli eventi di Windows pertinenti dal controller di dominio e crea profili di entità in base alle informazioni dei servizi di Dominio di Active Directory. Defender per identità supporta anche la ricezione della contabilità RADIUS dei log VPN da diversi fornitori (Microsoft, Cisco, F5 e Checkpoint).

No. Defender per identità monitora tutti i dispositivi nella rete che eseguono richieste di autenticazione e autorizzazione su Active Directory, inclusi i dispositivi non Windows e mobili.

Sì. Poiché gli account computer e altre entità, possono essere usati per eseguire attività dannose, Defender per identità monitora il comportamento di tutti gli account computer e tutte le altre entità nell'ambiente.

ATA è una soluzione locale autonoma con più componenti, ad esempio ATA Center che richiede hardware dedicato in locale.

Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali Active Directory locale. La soluzione è altamente scalabile e viene aggiornata di frequente.

La versione finale di ATA è disponibile a livello generale. ATA ha terminato il supporto Mainstream il 12 gennaio 2021. Il supporto esteso continua fino a gennaio 2026. Per altre informazioni, leggere il blog.

A differenza del sensore ATA, il sensore Defender per identità usa anche origini dati come Event Tracing for Windows (ETW) che consente a Defender per identità di fornire rilevamenti aggiuntivi.

Gli aggiornamenti frequenti di Defender per identità includono le funzionalità e le funzionalità seguenti:

• Supporto per ambienti con più foreste: offre alle organizzazioni visibilità tra foreste di Active Directory.

• Valutazioni del comportamento di Microsoft Secure Score: identifica le configurazioni errate comuni e i componenti sfruttabili e fornisce percorsi di correzione per ridurre la superficie di attacco.

• Funzionalità UEBA: informazioni dettagliate sui singoli rischi utente tramite l'assegnazione dei punteggi con priorità di indagine utente. Il punteggio può aiutare SecOps nelle indagini e aiutare gli analisti a comprendere le attività insolite per l'utente e l'organizzazione.

• Integrazioni native: si integra con le app di Microsoft Defender per il cloud e Azure AD Identity Protection per offrire una visualizzazione ibrida delle operazioni eseguite in ambienti locali e ibridi.

• Contribuisce a Microsoft Defender XDR: contribuisce ai dati degli avvisi e delle minacce per Microsoft Defender XDR. Microsoft Defender XDR usa il portfolio di sicurezza di Microsoft 365 (identità, endpoint, dati e applicazioni) per analizzare automaticamente i dati delle minacce tra domini, creando un quadro completo di ogni attacco in un singolo dashboard.

  Con questa ampiezza e profondità di chiarezza, Defender può concentrarsi sulle minacce critiche e cercare violazioni sofisticate. Defender può considerare attendibile che la potente automazione di Microsoft Defender XDR arresta gli attacchi in qualsiasi punto della kill chain e restituisce l'organizzazione a uno stato sicuro.

Defender per identità è disponibile come parte della suite Enterprise Mobility + Security 5 (EMS E5) e come licenza autonoma. È possibile acquisire una licenza direttamente dal portale di Microsoft 365 o tramite il modello di licenza Cloud Solution Partner (CSP).

Per informazioni sui requisiti di licenza di Defender per identità, vedere Le indicazioni sulle licenze di Defender per identità.

Sì, i dati vengono isolati tramite l'autenticazione di accesso e la separazione logica in base agli identificatori dei clienti. Ogni cliente può accedere solo ai dati raccolti dalla propria organizzazione e dai dati generici forniti da Microsoft.

No. Quando viene creata l'area di lavoro di Defender per identità, viene archiviata automaticamente nell'area di Azure più vicina alla posizione geografica del tenant di Microsoft Entra. Dopo aver creato l'area di lavoro di Defender per identità, i dati di Defender per identità non possono essere spostati in un'area diversa.

Per impostazione predefinita, agli sviluppatori e agli amministratori Microsoft sono stati concessi privilegi sufficienti per svolgere i compiti assegnati per operare ed evolvere il servizio. Microsoft distribuisce combinazioni di controlli preventivi, detective e reattivi, inclusi i meccanismi seguenti per proteggere da attività amministrative e/o sviluppatori non autorizzati:

• Controllo di accesso stretto ai dati sensibili
• Combinazioni di controlli che migliorano notevolmente il rilevamento indipendente delle attività dannose
• Più livelli di monitoraggio, registrazione e creazione di report

Inoltre, Microsoft esegue controlli di verifica in background su determinati personale operativo e limita l'accesso ad applicazioni, sistemi e infrastruttura di rete in proporzione al livello di verifica in background. Il personale operativo segue un processo formale quando è necessario accedere all'account di un cliente o alle informazioni correlate nell'esecuzione dei compiti.

È consigliabile disporre di un sensore defender per identità o di un sensore autonomo per ognuno dei controller di dominio. Per altre informazioni, vedere Ridimensionamento del sensore defender per identità.

Anche se i protocolli di rete con traffico crittografato, ad esempio AtSvc e WMI, non vengono decrittografati, i sensori analizzano comunque il traffico.

Defender per identità supporta la blindatura Kerberos, nota anche come Fast (Flexible Authentication Secure Tunneling). L'eccezione a questo supporto è l'over-pass del rilevamento hash, che non funziona con Kerberos Armoring.

Il sensore Defender per identità può coprire la maggior parte dei controller di dominio virtuali. Per altre informazioni, vedere Defender per la pianificazione della capacità di gestione delle identità.

Se il sensore Defender per identità non può coprire un controller di dominio virtuale, usare invece un sensore autonomo di Defender per identità o virtuale. Per altre informazioni, vedere Configurare il mirroring delle porte.

Il modo più semplice consiste nell'avere un sensore autonomo di Defender per identità virtuale in ogni host in cui esiste un controller di dominio virtuale.

Se i controller di dominio virtuali si spostano tra host, è necessario eseguire uno dei passaggi seguenti:

• Quando il controller di dominio virtuale passa a un altro host, preconfigurare il sensore autonomo Defender per identità in tale host per ricevere il traffico dal controller di dominio virtuale spostato di recente.

• Assicurarsi di associare il sensore autonomo virtual Defender per identità al controller di dominio virtuale in modo che, se spostato, il sensore autonomo Defender per identità si sposti con esso.

• Esistono alcuni commutatori virtuali che possono inviare traffico tra host.

Affinché i controller di dominio comunichino con il servizio cloud, è necessario aprire: *.atp.azure.com porta 443 nel firewall/proxy. Per altre informazioni, vedere Configurare il proxy o il firewall per abilitare la comunicazione con i sensori di Defender per identità.

Sì, è possibile usare il sensore Defender per identità per monitorare i controller di dominio presenti in qualsiasi soluzione IaaS.

Defender per identità supporta ambienti multidominio e più foreste. Per altre informazioni e requisiti di attendibilità, vedere Supporto di più foreste.

Sì, è possibile visualizzare l'integrità complessiva della distribuzione e tutti i problemi specifici correlati alla configurazione, alla connettività e così via. Viene visualizzato un avviso quando si verificano questi eventi con i problemi di integrità di Defender per identità.

Microsoft Defender per identità fornisce valore di sicurezza per tutti gli account Active Directory, inclusi quelli non sincronizzati con Microsoft Entra ID. Gli account utente sincronizzati con Microsoft Entra ID trarranno vantaggio anche dal valore di sicurezza fornito da Microsoft Entra ID (in base al livello di licenza) e dall'assegnazione dei punteggi prioritari di indagine.

Il team Microsoft Defender per identità consiglia a tutti i clienti di usare il driver Npcap anziché i driver WinPcap. A partire da Defender per identità versione 2.184, il pacchetto di installazione installa Npcap 1.0 OEM anziché i driver WinPcap 4.1.3.

WinPcap non è più supportato e, poiché non è più in fase di sviluppo, il driver non può più essere ottimizzato per il sensore Defender per identità. Inoltre, se si verifica un problema in futuro con il driver WinPcap, non sono disponibili opzioni per una correzione.

Npcap è supportato, mentre WinPcap non è più un prodotto supportato.

Il sensore MDI richiede Npcap 1.0 o versione successiva. Il pacchetto di installazione sensor installerà la versione 1.0 se non è installata alcuna altra versione di Npcap. Se Npcap è già installato (a causa di altri requisiti software o qualsiasi altro motivo) è importante assicurarsi che la versione 1.0 o successiva sia stata installata con le impostazioni necessarie per MDI.

Sì. È necessario rimuovere manualmente il sensore per rimuovere i driver WinPcap. La reinstallazione con il pacchetto più recente installerà i driver Npcap.

È possibile notare che 'Npcap OEM' è installato tramite i programmi di aggiunta/rimozione (appwiz.cpl) e se si è verificato un problema di integrità aperto per questo, verrà chiuso automaticamente.

No, Npcap ha un'esenzione dal limite consueto di cinque installazioni. È possibile installarlo in sistemi illimitati in cui viene usato solo con il sensore Defender per identità.

Vedere il contratto di licenza Npcap qui e cercare Microsoft Defender per identità.

No, solo il sensore Microsoft Defender per identità supporta Npcap versione 1.00.

No, non è necessario acquistare la versione OEM. Scaricare il pacchetto di installazione del sensore versione 2.156 e successive dalla console di Defender per identità, che include la versione OEM di Npcap.

• È possibile ottenere i file eseguibili Npcap scaricando il pacchetto di distribuzione più recente del sensore Defender per identità.

• Se il sensore non è ancora stato installato, installare il sensore usando la versione 2.184 o successiva.

• Se il sensore è già stato installato con WinPcap ed è necessario eseguire l'aggiornamento per usare Npcap:

  1. Disinstallare il sensore. Usare Installazione applicazioni dal pannello di controllo di Windows (appwiz.cpl) oppure eseguire il comando di disinstallazione seguente:".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Disinstallare WinPcap, se necessario. Questo passaggio è rilevante solo se WinPcap è stato installato manualmente prima dell'installazione del sensore. In questo caso, è necessario rimuovere manualmente WinPcap.

  3. Reinstallare il sensore usando la versione 2.184 o successiva.

• Se si vuole installare manualmente Npcap: Installare Npcap con le opzioni seguenti:

  • Se si usa il programma di installazione gui, deselezionare l'opzione di supporto del loopback e selezionare Modalità WinPcap . Assicurarsi che l'opzione Limita l'accesso del driver Npcap a Amministrazione istrators sia deselezionata.
  • Se si usa la riga di comando, eseguire: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Se si vuole aggiornare manualmente Npcap:

  1. Arrestare i servizi del sensore Defender per identità, AATPSensorUpdater e AATPSensor. Eseguire: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Rimuovere Npcap usando Installazione applicazioni nel pannello di controllo di Windows (appwiz.cpl).

  3. Installare Npcap con le opzioni seguenti:

     • Se si usa il programma di installazione gui, deselezionare l'opzione di supporto del loopback e selezionare Modalità WinPcap . Assicurarsi che l'opzione Limita l'accesso del driver Npcap a Amministrazione istrators sia deselezionata.

     • Se si usa la riga di comando, eseguire: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Avviare i servizi del sensore Defender per identità, AATPSensorUpdater e AATPSensor. Eseguire: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender per identità può essere configurato per inviare un avviso Syslog a qualsiasi server SIEM usando il formato CEF, per problemi di integrità e quando viene rilevato un avviso di sicurezza. Per altre informazioni, vedere le informazioni di riferimento sui log SIEM.

Gli account vengono considerati sensibili quando un account è un membro di gruppi designati come sensibili (ad esempio: "Amministrazione di dominio").

Per comprendere il motivo per cui un account è sensibile, è possibile esaminarne l'appartenenza al gruppo per comprendere a quali gruppi sensibili appartiene. Il gruppo a cui appartiene può anche essere sensibile a causa di un altro gruppo, quindi lo stesso processo deve essere eseguito fino a quando non si individua il gruppo sensibile di livello più alto. In alternativa, contrassegna manualmente gli account come sensibili.

Con Defender per identità non è necessario creare regole, soglie o baseline e quindi ottimizzare. Defender per identità analizza i comportamenti tra utenti, dispositivi e risorse, nonché la relazione tra loro e può rilevare rapidamente attività sospette e attacchi noti. Tre settimane dopo la distribuzione, Defender per identità inizia a rilevare attività sospette comportamentali. D'altra parte, Defender per identità inizierà a rilevare attacchi dannosi noti e problemi di sicurezza immediatamente dopo la distribuzione.

Defender per identità genera traffico dai controller di dominio ai computer dell'organizzazione in uno dei tre scenari seguenti:

• Risoluzione dei nomi di rete Defender per identità acquisisce il traffico e gli eventi, l'apprendimento e la profilatura di utenti e attività del computer nella rete. Per apprendere e profilare le attività in base ai computer dell'organizzazione, Defender per identità deve risolvere gli indirizzi IP negli account computer. Per risolvere gli indirizzi IP nei nomi computer dei sensori defender per identità, richiedere l'indirizzo IP per il nome del computer dietro l'indirizzo IP.

  Le richieste vengono effettuate usando uno dei quattro metodi seguenti:

  • NTLM su RPC (porta TCP 135)
  • NetBIOS (porta UDP 137)
  • RDP (porta TCP 3389)
  • Eseguire query sul server DNS usando la ricerca DNS inversa dell'indirizzo IP (UDP 53)

  Dopo aver ottenuto il nome del computer, i sensori defender per identità controllano i dettagli in Active Directory per verificare se è presente un oggetto computer correlato con lo stesso nome computer. Se viene trovata una corrispondenza, viene eseguita un'associazione tra l'indirizzo IP e l'oggetto computer corrispondente.

• Percorso di spostamento laterale (LMP) Per creare potenziali LMP agli utenti sensibili, Defender per identità richiede informazioni sugli amministratori locali nei computer. In questo scenario, il sensore Defender per identità usa SAM-R (TCP 445) per eseguire una query sull'indirizzo IP identificato nel traffico di rete, per determinare gli amministratori locali del computer. Per altre informazioni su Defender per identità e SAM-R, vedere Configurare le autorizzazioni richieste SAM-R.

• L'esecuzione di query su Active Directory tramite LDAP per i sensori di entità Data Defender per identità esegue una query sul controller di dominio dal dominio a cui appartiene l'entità. Può essere lo stesso sensore o un altro controller di dominio da tale dominio.

Defender per identità acquisisce le attività su molti protocolli diversi. In alcuni casi Defender per identità non riceve i dati dell'utente di origine nel traffico. Defender per identità tenta di correlare la sessione dell'utente all'attività e, quando il tentativo ha esito positivo, viene visualizzato l'utente di origine dell'attività. Quando i tentativi di correlazione utente hanno esito negativo, viene visualizzato solo il computer di origine.

Esaminare l'errore più recente nel log degli errori corrente (dove Defender per identità è installato nella cartella "Logs").

Contenuto correlato

• Prerequisiti di Defender per identità
• Pianificazione della capacità di Defender per identità
• Configurare la raccolta di eventi
• Configurazione dell'inoltro di eventi di Windows
• Risoluzione dei problemi
• Consultare il forum di Defender per identità.