Veelgestelde vragen over Microsoft Defender for Identity

Defender for Identity detecteert bekende aanvallen en technieken, beveiligingsproblemen en risico's voor uw netwerk. Zie Defender for Identity Security-waarschuwingen voor de volledige lijst met Defender for Identity-detecties.

Defender for Identity verzamelt en slaat gegevens op van uw geconfigureerde servers, zoals domeincontrollers, lidservers, enzovoort. Gegevens worden opgeslagen in een database die specifiek is voor de service voor beheer-, tracerings- en rapportagedoeleinden.

Verzamelde gegevens omvatten:

• Netwerkverkeer naar en van domeincontrollers, zoals Kerberos-verificatie, NTLM-verificatie of DNS-query's.
• Beveiligingslogboeken, zoals Windows-beveiligingsevenementen.
• Active Directory-gegevens, zoals structuur, subnetten of sites.
• Entiteitsgegevens, zoals namen, e-mailadressen en telefoonnummers.

Microsoft gebruikt deze gegevens om:

• Identificeer proactief indicatoren van aanvallen (IOA's) in uw organisatie.
• Waarschuwingen genereren als er een mogelijke aanval is gedetecteerd.
• Geef uw beveiligingsbewerkingen een overzicht van entiteiten met betrekking tot bedreigingssignalen van uw netwerk, zodat u de aanwezigheid van beveiligingsrisico's in het netwerk kunt onderzoeken en verkennen.

Microsoft maakt geen gebruik van uw gegevens voor advertenties of voor andere doeleinden dan het leveren van de service.

Defender for Identity ondersteunt momenteel het toevoegen van maximaal 30 verschillende directoryservicereferenties ter ondersteuning van Active Directory-omgevingen met niet-vertrouwde forests. Als u meer accounts nodig hebt, opent u een ondersteuningsticket.

Naast het analyseren van Active Directory-verkeer met behulp van deep packet inspection-technologie, verzamelt Defender for Identity ook relevante Windows-gebeurtenissen van uw domeincontroller en maakt entiteitsprofielen op basis van informatie van Active Directory-domein Services. Defender for Identity ondersteunt ook het ontvangen van RADIUS-accounting van VPN-logboeken van verschillende leveranciers (Microsoft, Cisco, F5 en Checkpoint).

Nee Defender for Identity bewaakt alle apparaten in het netwerk die verificatie- en autorisatieaanvragen uitvoeren voor Active Directory, inclusief niet-Windows- en mobiele apparaten.

Ja. Aangezien computeraccounts en andere entiteiten kunnen worden gebruikt om schadelijke activiteiten uit te voeren, bewaakt Defender for Identity het gedrag van alle computeraccounts en alle andere entiteiten in de omgeving.

ATA is een zelfstandige on-premises oplossing met meerdere onderdelen, zoals het ATA Center waarvoor toegewezen hardware on-premises is vereist.

Defender for Identity is een cloudbeveiligingsoplossing die gebruikmaakt van uw on-premises Active Directory-signalen. De oplossing is zeer schaalbaar en wordt regelmatig bijgewerkt.

De definitieve release van ATA is algemeen beschikbaar. ATA beëindigde basisondersteuning op 12 januari 2021. Uitgebreide ondersteuning wordt voortgezet tot januari 2026. Lees onze blog voor meer informatie.

In tegenstelling tot de ATA-sensor gebruikt de Defender for Identity-sensor ook gegevensbronnen zoals Event Tracing for Windows (ETW) waarmee Defender for Identity extra detecties kan leveren.

De frequente updates van Defender for Identity omvatten de volgende functies en mogelijkheden:

• Ondersteuning voor omgevingen met meerdere forests: biedt organisaties inzicht in AD-forests.

• Microsoft Secure Score-houdingsevaluaties: identificeert veelvoorkomende onjuiste configuraties en exploiteerbare onderdelen en biedt herstelpaden om het kwetsbaarheid voor aanvallen te verminderen.

• UEBA-mogelijkheden: Inzichten in individuele gebruikersrisico's via scoren van gebruikersonderzoeksprioriteit. De score kan SecOps helpen bij hun onderzoeken en analisten helpen bij het begrijpen van ongebruikelijke activiteiten voor de gebruiker en de organisatie.

• Systeemeigen integraties: integreert met Microsoft Defender voor Cloud Apps en Azure AD Identity Protection om een hybride weergave te bieden van wat er plaatsvindt in zowel on-premises als hybride omgevingen.

• Draagt bij aan Microsoft Defender XDR: draagt waarschuwings- en bedreigingsgegevens bij aan Microsoft Defender XDR. Microsoft Defender XDR maakt gebruik van het Microsoft 365-beveiligingsportfolio (identiteiten, eindpunten, gegevens en toepassingen) om automatisch bedreigingsgegevens voor meerdere domeinen te analyseren, waarbij een volledig beeld wordt opgebouwd van elke aanval in één dashboard.

  Met deze breedte en diepte van helderheid kunnen Defenders zich richten op kritieke bedreigingen en zoeken naar geavanceerde schendingen. Defenders kan vertrouwen dat de krachtige automatisering van Microsoft Defender XDR overal in de kill chain aanvallen stopt en de organisatie teruggeeft naar een veilige status.

Defender for Identity is beschikbaar als onderdeel van Enterprise Mobility + Security 5 Suite (EMS E5) en als zelfstandige licentie. U kunt rechtstreeks een licentie verkrijgen via de Microsoft 365-portal of via het CSP-licentiemodel (Cloud Solution Partner).

Zie de richtlijnen voor Defender for Identity-licentieverlening voor meer informatie over de licentievereisten voor Defender for Identity.

Ja, uw gegevens worden geïsoleerd via toegangsverificatie en logische scheiding op basis van klant-id's. Elke klant heeft alleen toegang tot gegevens die zijn verzameld uit hun eigen organisatie en algemene gegevens die Microsoft biedt.

Nee Wanneer uw Defender for Identity-werkruimte wordt gemaakt, wordt deze automatisch opgeslagen in de Azure-regio die zich het dichtst bij de geografische locatie van uw Microsoft Entra-tenant bevindt. Zodra uw Defender for Identity-werkruimte is gemaakt, kunnen Defender for Identity-gegevens niet worden verplaatst naar een andere regio.

Microsoft-ontwikkelaars en -beheerders hebben standaard voldoende bevoegdheden gekregen om hun toegewezen taken uit te voeren om de service te bedienen en te ontwikkelen. Microsoft implementeert combinaties van preventieve, rechercheur- en reactieve controles, waaronder de volgende mechanismen om bescherming te bieden tegen onbevoegde ontwikkelaars en/of administratieve activiteiten:

• Strikt toegangsbeheer voor gevoelige gegevens
• Combinaties van besturingselementen die de onafhankelijke detectie van schadelijke activiteiten aanzienlijk verbeteren
• Meerdere niveaus van bewaking, logboekregistratie en rapportage

Daarnaast voert Microsoft achtergrondverificatiecontroles uit op bepaalde operationele medewerkers en beperkt de toegang tot toepassingen, systemen en netwerkinfrastructuur in verhouding tot het niveau van achtergrondverificatie. Operationele medewerkers volgen een formeel proces wanneer ze toegang nodig hebben tot het account van een klant of gerelateerde informatie in de uitvoering van hun taken.

U wordt aangeraden een Defender for Identity-sensor of zelfstandige sensor voor elk van uw domeincontrollers te hebben. Zie Defender for Identity-sensorgrootte voor meer informatie.

Hoewel netwerkprotocollen met versleuteld verkeer, zoals AtSvc en WMI, niet worden ontsleuteld, analyseren sensoren het verkeer nog steeds.

Defender for Identity ondersteunt Kerberos Armoring, ook wel bekend als Flexible Authentication Secure Tunneling (FAST). De uitzondering op deze ondersteuning is de over-pass van de hash-detectie, die niet werkt met Kerberos Armoring.

De Defender for Identity-sensor kan betrekking hebben op de meeste virtuele domeincontrollers. Zie Defender for Identity Capacity Planning voor meer informatie.

Als de Defender for Identity-sensor geen betrekking heeft op een virtuele domeincontroller, gebruikt u in plaats daarvan een virtuele of fysieke zelfstandige Defender for Identity-sensor. Zie Poortspiegeling configureren voor meer informatie.

De eenvoudigste manier is om een zelfstandige sensor van Defender for Identity te hebben op elke host waar een virtuele domeincontroller bestaat.

Als uw virtuele domeincontrollers schakelen tussen hosts, moet u een van de volgende stappen uitvoeren:

• Wanneer de virtuele domeincontroller naar een andere host wordt verplaatst, configureert u de zelfstandige sensor van Defender for Identity in die host vooraf om het verkeer van de onlangs verplaatste virtuele domeincontroller te ontvangen.

• Zorg ervoor dat u de zelfstandige sensor van de virtuele Defender for Identity aan de virtuele domeincontroller hebt gekoppeld, zodat de zelfstandige Defender for Identity-sensor bij de virtuele domeincontroller wordt verplaatst.

• Er zijn enkele virtuele switches die verkeer tussen hosts kunnen verzenden.

Als uw domeincontrollers met de cloudservice kunnen communiceren, moet u het volgende openen: *.atp.azure.com poort 443 in uw firewall/proxy. Zie Uw proxy of firewall configureren voor communicatie met Defender for Identity-sensoren voor meer informatie.

Ja, u kunt de Defender for Identity-sensor gebruiken om domeincontrollers te bewaken die zich in elke IaaS-oplossing bevinden.

Defender for Identity ondersteunt omgevingen met meerdere domeinen en meerdere forests. Zie Ondersteuning voor meerdere forests voor meer informatie en vertrouwensvereisten.

Ja, u kunt de algehele implementatiestatus en eventuele specifieke problemen met betrekking tot configuratie, connectiviteit, enzovoort bekijken. U wordt gewaarschuwd wanneer deze gebeurtenissen optreden bij problemen met de status van Defender for Identity.

Microsoft Defender for Identity biedt beveiligingswaarde voor alle Active Directory-accounts, inclusief accounts die niet zijn gesynchroniseerd met Microsoft Entra-id. Gebruikersaccounts die zijn gesynchroniseerd met Microsoft Entra-id, profiteren ook van de beveiligingswaarde die wordt geleverd door Microsoft Entra-id (op basis van licentieniveau) en van Scoren op onderzoeksprioriteit.

Het Microsoft Defender for Identity-team raadt aan dat alle klanten het Npcap-stuurprogramma gebruiken in plaats van de WinPcap-stuurprogramma's. Vanaf Defender for Identity versie 2.184 installeert het installatiepakket Npcap 1.0 OEM in plaats van de WinPcap 4.1.3-stuurprogramma's.

WinPcap wordt niet meer ondersteund en omdat het niet meer wordt ontwikkeld, kan het stuurprogramma niet langer worden geoptimaliseerd voor de Defender for Identity-sensor. Als er in de toekomst een probleem is met het WinPcap-stuurprogramma, zijn er geen opties voor een oplossing.

Npcap wordt ondersteund, terwijl WinPcap geen ondersteund product meer is.

Voor de MDI-sensor is Npcap 1.0 of hoger vereist. Het sensorinstallatiepakket installeert versie 1.0 als er geen andere versie van Npcap is geïnstalleerd. Als u Npcap al hebt geïnstalleerd (vanwege andere softwarevereisten of een andere reden), is het belangrijk om ervoor te zorgen dat deze versie 1.0 of hoger is geïnstalleerd en dat het is geïnstalleerd met de vereiste instellingen voor MDI.

Ja. Het is vereist om de Sensor handmatig te verwijderen om de WinPcap-stuurprogramma's te verwijderen. De herinstallatie met behulp van het nieuwste pakket installeert de Npcap-stuurprogramma's.

U kunt zien dat 'Npcap OEM' is geïnstalleerd via de programma's voor toevoegen/verwijderen (appwiz.cpl) en als er een open statusprobleem voor is, wordt deze automatisch gesloten.

Nee, Npcap heeft een uitzondering op de gebruikelijke limiet van vijf installaties. U kunt het installeren op onbeperkte systemen waar deze alleen wordt gebruikt met de Defender for Identity-sensor.

Zie de Npcap-licentieovereenkomst hier en zoek naar Microsoft Defender for Identity.

Nee, alleen de Microsoft Defender for Identity-sensor ondersteunt Npcap versie 1.00.

Nee, u hoeft de OEM-versie niet aan te schaffen. Download het sensorinstallatiepakket versie 2.156 en hoger vanuit de Defender for Identity-console, waaronder de OEM-versie van Npcap.

• U kunt de npcap-uitvoerbare bestanden verkrijgen door het meest recente implementatiepakket van de Defender for Identity-sensor te downloaden.

• Als u de sensor nog niet hebt geïnstalleerd, installeert u de sensor met versie 2.184 of hoger.

• Als u de sensor al hebt geïnstalleerd met WinPcap en u moet bijwerken voor het gebruik van Npcap:

  1. Verwijder de sensor. Gebruik programma's toevoegen/verwijderen uit het Configuratiescherm van Windows (appwiz.cpl) of voer de volgende verwijderopdracht uit:".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Verwijder WinPcap indien nodig. Deze stap is alleen relevant als WinPcap handmatig is geïnstalleerd vóór de sensorinstallatie. In dit geval moet u WinPcap handmatig verwijderen.

  3. Installeer de sensor opnieuw met versie 2.184 of hoger.

• Als u Npcap handmatig wilt installeren: Installeer Npcap met de volgende opties:

  • Als u het GUI-installatieprogramma gebruikt, schakelt u de optie voor loopback-ondersteuning uit en selecteert u de WinPcap-modus. Zorg ervoor dat de optie Alleen de optie Npcap-stuurprogramma's beperken tot Beheer istrators is uitgeschakeld.
  • Als u de opdrachtregel gebruikt, voert u het volgende uit: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Als u Npcap handmatig wilt upgraden:

  1. Stop de Defender for Identity-sensorservices, AATPSensorUpdater en AATPSensor. Voer dit uit: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Npcap verwijderen met behulp van Programma's toevoegen/verwijderen in het Windows-configuratiescherm (appwiz.cpl).

  3. Installeer Npcap met de volgende opties:

     • Als u het GUI-installatieprogramma gebruikt, schakelt u de optie voor loopback-ondersteuning uit en selecteert u de WinPcap-modus. Zorg ervoor dat de optie Alleen de optie Npcap-stuurprogramma's beperken tot Beheer istrators is uitgeschakeld.

     • Als u de opdrachtregel gebruikt, voert u het volgende uit: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Start de Defender for Identity-sensorservices, AATPSensorUpdater en AATPSensor. Voer dit uit: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity kan worden geconfigureerd voor het verzenden van een Syslog-waarschuwing, naar elke SIEM-server met behulp van de CEF-indeling, voor statusproblemen en wanneer er een beveiligingswaarschuwing wordt gedetecteerd. Zie de SIEM-logboekreferentie voor meer informatie.

Accounts worden beschouwd als gevoelig wanneer een account lid is van groepen die zijn aangewezen als gevoelig (bijvoorbeeld: 'Domein Beheer s').

Als u wilt weten waarom een account gevoelig is, kunt u het groepslidmaatschap bekijken om te begrijpen tot welke gevoelige groepen het behoort. De groep waartoe deze behoort, kan ook gevoelig zijn vanwege een andere groep, dus hetzelfde proces moet worden uitgevoerd totdat u de gevoelige groep op het hoogste niveau hebt gevonden. U kunt accounts ook handmatig labelen als gevoelig.

Met Defender for Identity hoeft u geen regels, drempelwaarden of basislijnen te maken en vervolgens af te stemmen. Defender for Identity analyseert het gedrag tussen gebruikers, apparaten en resources, evenals hun relatie met elkaar en kan verdachte activiteiten en bekende aanvallen snel detecteren. Drie weken na de implementatie begint Defender for Identity verdachte activiteiten te detecteren. Aan de andere kant detecteert Defender for Identity bekende schadelijke aanvallen en beveiligingsproblemen direct na de implementatie.

Defender for Identity genereert verkeer van domeincontrollers naar computers in de organisatie in een van de volgende drie scenario's:

• Netwerknaamomzetting Defender for Identity legt verkeer en gebeurtenissen vast, leert en profileert gebruikers en computeractiviteiten in het netwerk. Voor meer informatie en profielactiviteiten op basis van computers in de organisatie moet Defender for Identity IP-adressen voor computeraccounts oplossen. Als u IP-adressen wilt omzetten naar computernamen Defender for Identity-sensoren, vraagt u het IP-adres aan voor de computernaam achter het IP-adres.

  Aanvragen worden gedaan met behulp van een van de vier methoden:

  • NTLM via RPC (TCP-poort 135)
  • NetBIOS (UDP-poort 137)
  • RDP (TCP-poort 3389)
  • Een query uitvoeren op de DNS-server met behulp van omgekeerde DNS-zoekactie van het IP-adres (UDP 53)

  Nadat de computernaam is opgehaald, controleert Defender for Identity-sensoren de details in Active Directory om te zien of er een gecorreleerd computerobject met dezelfde computernaam is. Als er een overeenkomst wordt gevonden, wordt er een koppeling gemaakt tussen het IP-adres en het overeenkomende computerobject.

• Lateral Movement Path (LMP) Om potentiële LMP's te bouwen voor gevoelige gebruikers, vereist Defender for Identity informatie over de lokale beheerders op computers. In dit scenario gebruikt de Defender for Identity-sensor SAM-R (TCP 445) om een query uit te voeren op het IP-adres dat is geïdentificeerd in het netwerkverkeer om de lokale beheerders van de computer te bepalen. Zie Vereiste machtigingen voor SAM-R configureren voor meer informatie over Defender for Identity en SAM-R.

• Query's uitvoeren op Active Directory met LDAP voor entiteitsgegevens Defender for Identity-sensoren voeren een query uit op de domeincontroller van het domein waartoe de entiteit behoort. Het kan dezelfde sensor of een andere domeincontroller van dat domein zijn.

Defender for Identity legt activiteiten vast via veel verschillende protocollen. In sommige gevallen ontvangt Defender for Identity de gegevens van de brongebruiker niet in het verkeer. Defender for Identity probeert de sessie van de gebruiker aan de activiteit te correleren en wanneer de poging is geslaagd, wordt de brongebruiker van de activiteit weergegeven. Wanneer pogingen van gebruikerscorrelatie mislukken, wordt alleen de broncomputer weergegeven.

Bekijk de meest recente fout in het huidige foutenlogboek (waar Defender for Identity is geïnstalleerd onder de map Logboeken).

Gerelateerde inhoud

• Vereisten voor Defender for Identity
• Capaciteitsplanning van Defender for Identity
• Gebeurtenisverzameling configureren
• Windows Event Forwarding configureren
• Problemen oplossen
• Bekijk het Defender for Identity-forum.