Usługa Microsoft Defender for Identity — często zadawane pytania

Usługa Defender for Identity wykrywa znane złośliwe ataki i techniki, problemy z zabezpieczeniami i zagrożenia związane z siecią. Aby uzyskać pełną listę wykrywania tożsamości usługi Defender for Identity, zobacz Defender for Identity Security Alerts (Alerty zabezpieczeń usługi Defender for Identity).

Usługa Defender for Identity zbiera i przechowuje informacje ze skonfigurowanych serwerów, takich jak kontrolery domeny, serwery członkowskie itd. Dane są przechowywane w bazie danych specyficznej dla usługi na potrzeby administracji, śledzenia i raportowania.

Zebrane informacje obejmują:

• Ruch sieciowy do i z kontrolerów domeny, takich jak uwierzytelnianie Kerberos, uwierzytelnianie NTLM lub zapytania DNS.
• Dzienniki zabezpieczeń, takie jak zdarzenia zabezpieczeń systemu Windows.
• Informacje o usłudze Active Directory, takie jak struktura, podsieci lub lokacje.
• Informacje o jednostkach, takie jak nazwy, adresy e-mail i numery telefonów.

Firma Microsoft używa tych danych do:

• Proaktywne identyfikowanie wskaźników ataku (IOA) w organizacji.
• Wygeneruj alerty, jeśli wykryto możliwy atak.
• Zapewnij swoim operacjom zabezpieczeń wgląd w jednostki związane z sygnałami zagrożenia z sieci, umożliwiając badanie i eksplorowanie obecności zagrożeń bezpieczeństwa w sieci.

Firma Microsoft nie udostępnia Twoich danych w celu reklamowania ani do żadnego innego celu niż dostarczanie ci usługi.

Usługa Defender for Identity obsługuje obecnie dodawanie do 30 różnych poświadczeń usługi katalogowej w celu obsługi środowisk usługi Active Directory z niezaufanymi lasami. Jeśli potrzebujesz więcej kont, otwórz bilet pomocy technicznej.

Oprócz analizowania ruchu usługi Active Directory przy użyciu technologii głębokiej inspekcji pakietów usługa Defender for Identity zbiera również odpowiednie zdarzenia systemu Windows z kontrolera domeny i tworzy profile jednostek na podstawie informacji z usług domena usługi Active Directory Services. Usługa Defender for Identity obsługuje również otrzymywanie ewidencjonowania dzienników sieci VPN w usłudze RADIUS od różnych dostawców (Microsoft, Cisco, F5 i Checkpoint).

L.p. Usługa Defender for Identity monitoruje wszystkie urządzenia w sieci wykonujące żądania uwierzytelniania i autoryzacji względem usługi Active Directory, w tym urządzeń innych niż Windows i urządzeń przenośnych.

Tak. Ponieważ konta komputerów i inne jednostki mogą służyć do wykonywania złośliwych działań, usługa Defender for Identity monitoruje zachowanie wszystkich kont komputerów i wszystkie inne jednostki w środowisku.

Usługa ATA jest autonomicznym rozwiązaniem lokalnym z wieloma składnikami, takimi jak centrum usługi ATA, które wymaga dedykowanego sprzętu lokalnego.

Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń korzystające z sygnałów lokalna usługa Active Directory. Rozwiązanie jest wysoce skalowalne i jest często aktualizowane.

Ostateczna wersja usługi ATA jest ogólnie dostępna. Usługa ATA zakończyła wsparcie podstawowe 12 stycznia 2021 r. Wsparcie dodatkowe trwa do stycznia 2026 r. Aby uzyskać więcej informacji, przeczytaj nasz blog.

W przeciwieństwie do czujnika usługi ATA czujnik usługi Defender for Identity używa również źródeł danych, takich jak śledzenie zdarzeń dla systemu Windows (ETW), co umożliwia usłudze Defender for Identity dostarczanie dodatkowych wykryć.

Częste aktualizacje usługi Defender for Identity obejmują następujące funkcje i możliwości:

• Obsługa środowisk z wieloma lasami: zapewnia organizacjom widoczność w lasach usługi AD.

• Oceny stanu wskaźnika bezpieczeństwa firmy Microsoft: identyfikuje typowe błędy konfiguracji i możliwe do wykorzystania składniki oraz udostępnia ścieżki korygowania w celu zmniejszenia obszaru ataków.

• Możliwości analizy UEBA: Szczegółowe informacje na ryzyko poszczególnych użytkowników za pomocą oceniania priorytetu badania użytkowników. Wynik może pomóc SecOps w badaniach i pomóc analitykom zrozumieć nietypowe działania dla użytkownika i organizacji.

• Integracje natywne: integruje się z aplikacjami Microsoft Defender dla Chmury i usługą Azure AD Identity Protection, aby zapewnić hybrydowy widok tego, co odbywa się zarówno w środowiskach lokalnych, jak i hybrydowych.

• Współtworzy usługę Microsoft Defender XDR: współtworzy dane alertów i zagrożeń w usłudze Microsoft Defender XDR. Usługa Microsoft Defender XDR używa portfolio zabezpieczeń platformy Microsoft 365 (tożsamości, punktów końcowych, danych i aplikacji), aby automatycznie analizować dane zagrożeń między domenami, tworząc pełny obraz każdego ataku na jednym pulpicie nawigacyjnym.

  Dzięki tej szerokości i głębi jasności obrońcy mogą skupić się na krytycznych zagrożeniach i polowaniu na zaawansowane naruszenia. Obrońcy mogą ufać, że zaawansowana automatyzacja usługi Microsoft Defender zatrzymuje ataki w dowolnym miejscu w łańcuchu zabić i zwraca organizację do bezpiecznego stanu.

Usługa Defender for Identity jest dostępna w ramach pakietu Enterprise Mobility + Security 5 (EMS E5) i jako licencja autonomiczna. Licencję można uzyskać bezpośrednio z portalu platformy Microsoft 365 lub za pośrednictwem modelu licencjonowania Cloud Solution Partner (CSP).

Aby uzyskać informacje o wymaganiach dotyczących licencjonowania usługi Defender for Identity, zobacz Defender for Identity licensing guidance (Wskazówki dotyczące licencjonowania usługi Defender for Identity).

Tak, dane są izolowane za pośrednictwem uwierzytelniania dostępu i segregacji logicznej na podstawie identyfikatorów klientów. Każdy klient może uzyskiwać dostęp tylko do danych zebranych z własnej organizacji i ogólnych danych zapewnianych przez firmę Microsoft.

L.p. Po utworzeniu obszaru roboczego usługi Defender for Identity jest on przechowywany automatycznie w regionie świadczenia usługi Azure znajdującym się najbliżej lokalizacji geograficznej dzierżawy firmy Microsoft Entra. Po utworzeniu obszaru roboczego usługi Defender for Identity nie można przenieść danych usługi Defender for Identity do innego regionu.

Deweloperzy i administratorzy firmy Microsoft otrzymali wystarczające uprawnienia do wykonywania przypisanych im obowiązków związanych z działaniem i rozwijaniem usługi. Firma Microsoft wdraża kombinacje mechanizmów zapobiegawczych, detektywistywnych i reaktywnych, w tym następujących mechanizmów, które pomagają chronić przed nieautoryzowanym deweloperem i/lub działaniami administracyjnymi:

• Ścisła kontrola dostępu do poufnych danych
• Kombinacje kontrolek, które znacznie zwiększają niezależne wykrywanie złośliwych działań
• Wiele poziomów monitorowania, rejestrowania i raportowania

Ponadto firma Microsoft przeprowadza kontrole weryfikacji w tle dla niektórych pracowników operacyjnych i ogranicza dostęp do aplikacji, systemów i infrastruktury sieciowej proporcjonalnie do poziomu weryfikacji w tle. Personel operacyjny postępuje zgodnie z formalnym procesem, gdy jest wymagany do uzyskania dostępu do konta klienta lub powiązanych informacji w zakresie wykonywania swoich obowiązków.

Zalecamy posiadanie czujnika usługi Defender for Identity lub autonomicznego czujnika dla każdego z kontrolerów domeny. Aby uzyskać więcej informacji, zobacz Ustalanie rozmiaru czujnika usługi Defender for Identity.

Chociaż protokoły sieciowe z zaszyfrowanym ruchem, takim jak AtSvc i WMI, nie są odszyfrowywane, czujniki nadal analizują ruch.

Usługa Defender for Identity obsługuje ochronę protokołu Kerberos, znaną również jako bezpieczne tunelowanie uwierzytelniania elastycznego (FAST). Wyjątkiem od tej obsługi jest over-pass wykrywanie skrótów, które nie działa z kerberos Armoring.

Czujnik usługi Defender for Identity może obejmować większość wirtualnych kontrolerów domeny. Aby uzyskać więcej informacji, zobacz Defender for Identity Capacity Planning (Planowanie pojemności usługi Defender for Identity).

Jeśli czujnik usługi Defender for Identity nie może objąć wirtualnego kontrolera domeny, zamiast tego użyj wirtualnego lub fizycznego czujnika autonomicznego usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz Konfigurowanie dublowania portów.

Najprostszym sposobem jest posiadanie wirtualnego czujnika autonomicznego usługi Defender for Identity na każdym hoście, na którym istnieje wirtualny kontroler domeny.

Jeśli wirtualne kontrolery domeny przechodzą między hostami, należy wykonać jedną z następujących czynności:

• Po przeniesieniu wirtualnego kontrolera domeny do innego hosta należy wstępnie skonfigurować autonomiczny czujnik usługi Defender for Identity na tym hoście w celu odbierania ruchu z ostatnio przeniesionego wirtualnego kontrolera domeny.

• Upewnij się, że jest powiązany wirtualny czujnik autonomiczny usługi Defender for Identity z wirtualnym kontrolerem domeny, tak aby w przypadku jego przeniesienia czujnik autonomiczny usługi Defender for Identity był przenoszony z nim.

• Istnieją pewne przełączniki wirtualne, które mogą wysyłać ruch między hostami.

Aby kontrolery domeny komunikowały się z usługą w chmurze, należy otworzyć port *.atp.azure.com 443 w zaporze/serwerze proxy. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera proxy lub zapory w celu włączenia komunikacji z czujnikami usługi Defender for Identity.

Tak, możesz użyć czujnika usługi Defender for Identity do monitorowania kontrolerów domeny, które znajdują się w dowolnym rozwiązaniu IaaS.

Usługa Defender for Identity obsługuje środowiska z wieloma domenami i wiele lasów. Aby uzyskać więcej informacji i wymagań dotyczących zaufania, zobacz Obsługa wielu lasów.

Tak, możesz wyświetlić ogólną kondycję wdrożenia i wszelkie konkretne problemy związane z konfiguracją, łącznością itd. Otrzymasz alert, gdy te zdarzenia występują w przypadku problemów z kondycją usługi Defender for Identity.

Usługa Microsoft Defender for Identity zapewnia wartość zabezpieczeń dla wszystkich kont usługi Active Directory, w tym tych, które nie są synchronizowane z identyfikatorem Entra firmy Microsoft. Konta użytkowników, które są synchronizowane z identyfikatorem Entra firmy Microsoft, również będą korzystać z wartości zabezpieczeń udostępnianej przez identyfikator entra firmy Microsoft (na podstawie poziomu licencji) i oceniania priorytetu badania.

Zespół usługi Microsoft Defender for Identity zaleca, aby wszyscy klienci używali sterownika Npcap zamiast sterowników WinPcap. Począwszy od usługi Defender for Identity w wersji 2.184, pakiet instalacyjny instaluje oprogramowanie Npcap 1.0 OEM zamiast sterowników WinPcap 4.1.3.

WinPcap nie jest już obsługiwany i ponieważ nie jest już opracowywany, sterownik nie może być już zoptymalizowany dla czujnika usługi Defender for Identity. Ponadto, jeśli w przyszłości wystąpi problem ze sterownikiem WinPcap, nie ma możliwości rozwiązania problemu.

Narzędzie Npcap jest obsługiwane, a narzędzie WinPcap nie jest już obsługiwanym produktem.

Czujnik MDI wymaga rozwiązania Npcap 1.0 lub nowszego. Pakiet instalacyjny czujnika zainstaluje wersję 1.0, jeśli nie zainstalowano innej wersji programu Npcap. Jeśli masz już zainstalowaną aplikację Npcap (ze względu na inne wymagania dotyczące oprogramowania lub z jakiegokolwiek innego powodu), ważne jest, aby upewnić się, że jest ona zainstalowana w wersji 1.0 lub nowszej i że została zainstalowana z wymaganymi ustawieniami mdI.

Tak. Wymagane jest ręczne usunięcie czujnika w celu usunięcia sterowników WinPcap. Ponowna instalacja przy użyciu najnowszego pakietu spowoduje zainstalowanie sterowników Npcap.

Zobaczysz, że "Npcap OEM" jest zainstalowany za pośrednictwem programów dodawania/usuwania (appwiz.cpl), a jeśli wystąpił problem z otwartą kondycją, zostanie on automatycznie zamknięty.

Nie, Npcap ma wykluczenie ze zwykłego limitu pięciu instalacji. Można go zainstalować w systemach bez ograniczeń, w których jest używany tylko z czujnikiem usługi Defender for Identity.

Zobacz tutaj umowę licencyjną Npcap i wyszukaj usługę Microsoft Defender for Identity.

Nie, tylko czujnik usługi Microsoft Defender for Identity obsługuje protokół Npcap w wersji 1.00.

Nie, nie musisz kupować wersji OEM. Pobierz pakiet instalacyjny czujnika w wersji 2.156 lub nowszej z konsoli usługi Defender for Identity, która zawiera wersję OEM serwera Npcap.

• Pliki wykonywalne Npcap można uzyskać, pobierając najnowszy pakiet wdrożeniowy czujnika usługi Defender for Identity.

• Jeśli czujnik nie został jeszcze zainstalowany, zainstaluj czujnik przy użyciu wersji 2.184 lub nowszej.

• Jeśli czujnik został już zainstalowany za pomocą narzędzia WinPcap i musisz zaktualizować go, aby użyć narzędzia Npcap:

  1. Odinstaluj czujnik. Użyj polecenia Dodaj/Usuń programy z panelu sterowania systemu Windows (appwiz.cpl) lub uruchom następujące polecenie odinstalowania:".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Odinstaluj program WinPcap w razie potrzeby. Ten krok ma zastosowanie tylko wtedy, gdy program WinPcap został ręcznie zainstalowany przed instalacją czujnika. W takim przypadku należy ręcznie usunąć winpcap.

  3. Zainstaluj ponownie czujnik przy użyciu wersji 2.184 lub nowszej.

• Jeśli chcesz ręcznie zainstalować narzędzie Npcap: zainstaluj narzędzie Npcap z następującymi opcjami:

  • Jeśli używasz instalatora graficznego interfejsu użytkownika, wyczyść opcję obsługi sprzężenia zwrotnego i wybierz tryb WinPcap . Upewnij się, że opcja Ogranicz dostęp sterownika Npcap do Administracja istrators jest czyszczone.
  • Jeśli używasz wiersza polecenia, uruchom polecenie: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Jeśli chcesz ręcznie uaktualnić narzędzie Npcap:

  1. Zatrzymaj usługi czujników usługi Defender for Identity, AATPSensorUpdater i AATPSensor. Uruchom polecenie Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Usuń narzędzie Npcap przy użyciu opcji Dodaj/Usuń programy w panelu sterowania systemu Windows (appwiz.cpl).

  3. Zainstaluj narzędzie Npcap z następującymi opcjami:

     • Jeśli używasz instalatora graficznego interfejsu użytkownika, wyczyść opcję obsługi sprzężenia zwrotnego i wybierz tryb WinPcap . Upewnij się, że opcja Ogranicz dostęp sterownika Npcap do Administracja istrators jest czyszczone.

     • Jeśli używasz wiersza polecenia, uruchom polecenie: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Uruchom usługi czujników usługi Defender for Identity, AATPSensorUpdater i AATPSensor. Uruchom polecenie Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Usługę Defender for Identity można skonfigurować do wysyłania alertu dziennika systemowego do dowolnego serwera SIEM przy użyciu formatu CEF, w przypadku problemów z kondycją i wykrycia alertu zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację dziennika SIEM.

Konta są traktowane jako poufne, gdy konto jest członkiem grup wyznaczonych jako poufne (na przykład: "Administracja domeny").

Aby zrozumieć, dlaczego konto jest wrażliwe, możesz przejrzeć jego członkostwo w grupie, aby zrozumieć, do których poufnych grup należy. Grupa, do której należy, może być również wrażliwa ze względu na inną grupę, więc ten sam proces należy wykonać do momentu zlokalizowania grupy poufnej najwyższego poziomu. Możesz też ręcznie oznaczyć konta jako poufne.

W usłudze Defender for Identity nie ma potrzeby tworzenia reguł, progów ani punktów odniesienia, a następnie dostrajania ich. Usługa Defender for Identity analizuje zachowania użytkowników, urządzeń i zasobów, a także ich relacje ze sobą i może szybko wykrywać podejrzane działania i znane ataki. Trzy tygodnie po wdrożeniu usługa Defender for Identity zaczyna wykrywać podejrzane działania behawioralne. Z drugiej strony usługa Defender for Identity rozpocznie wykrywanie znanych złośliwych ataków i problemów z zabezpieczeniami natychmiast po wdrożeniu.

Usługa Defender for Identity generuje ruch z kontrolerów domeny do komputerów w organizacji w jednym z trzech scenariuszy:

• Rozpoznawanie nazw sieciowych w usłudze Defender for Identity przechwytuje ruch i zdarzenia, uczenie i profilowanie użytkowników i działań komputerowych w sieci. Aby nauczyć się i profilować działania zgodnie z komputerami w organizacji, usługa Defender for Identity musi rozpoznawać adresy IP na kontach komputerów. Aby rozpoznać adresy IP do nazw komputerów Usługi Defender for Identity, zażądaj adresu IP nazwy komputera za adresem IP.

  Żądania są wykonywane przy użyciu jednej z czterech metod:

  • NTLM przez RPC (port TCP 135)
  • NetBIOS (port UDP 137)
  • RDP (port TCP 3389)
  • Wykonywanie zapytań względem serwera DNS przy użyciu wstecznego wyszukiwania DNS adresu IP (UDP 53)

  Po otrzymaniu nazwy komputera czujniki usługi Defender for Identity sprawdzają szczegóły w usłudze Active Directory, aby sprawdzić, czy istnieje skorelowany obiekt komputera o tej samej nazwie komputera. W przypadku znalezienia dopasowania skojarzenie jest wykonywane między adresem IP a dopasowanym obiektem komputera.

• Ścieżka ruchu bocznego (LMP) Aby utworzyć potencjalnych dostawców lmps dla poufnych użytkowników, usługa Defender for Identity wymaga informacji o lokalnych administratorach na komputerach. W tym scenariuszu czujnik usługi Defender for Identity używa protokołu SAM-R (TCP 445) do wykonywania zapytań dotyczących adresu IP zidentyfikowanego w ruchu sieciowym w celu określenia lokalnych administratorów komputera. Aby dowiedzieć się więcej o usłudze Defender for Identity i SAM-R, zobacz Konfigurowanie wymaganych uprawnień SAM-R.

• Wykonywanie zapytań dotyczących usługi Active Directory przy użyciu protokołu LDAP dla czujników danych jednostki Defender for Identity wysyła zapytanie do kontrolera domeny z domeny, do której należy jednostka. Może to być ten sam czujnik lub inny kontroler domeny z tej domeny.

Usługa Defender for Identity przechwytuje działania za pośrednictwem wielu różnych protokołów. W niektórych przypadkach usługa Defender for Identity nie odbiera danych użytkownika źródłowego w ruchu. Usługa Defender for Identity próbuje skorelować sesję użytkownika z działaniem, a gdy próba zakończy się pomyślnie, zostanie wyświetlony źródłowy użytkownik działania. Gdy próby korelacji użytkownika kończą się niepowodzeniem, wyświetlany jest tylko komputer źródłowy.

Zapoznaj się z najnowszym błędem w bieżącym dzienniku błędów (gdzie usługa Defender for Identity jest zainstalowana w folderze "Dzienniki").

Powiązana zawartość

• Wymagania wstępne usługi Defender for Identity
• Planowanie pojemności usługi Defender for Identity
• Konfigurowanie zbierania zdarzeń
• Konfigurowanie przekazywania zdarzeń systemu Windows
• Rozwiązywanie problemów
• Zapoznaj się z forum usługi Defender for Identity!