Microsoft Defender para Identidade perguntas frequentes

O Defender for Identity deteta ataques e técnicas maliciosas conhecidos, problemas de segurança e riscos contra a sua rede. Para obter a lista completa de Deteções de Identidade do Defender, consulte Defender para Alertas de Segurança de Identidade.

O Defender for Identity recolhe e armazena informações dos seus servidores configurados (controladores de domínio, servidores de membros, etc.) numa base de dados específica do serviço para fins de administração, rastreio e reporte. As informações recolhidas incluem tráfego de rede de e para controladores de domínio (tais como a autenticação Kerberos, autenticação NTLM, consultas de DNS), registos de segurança (tais como eventos de segurança do Windows), informações de Diretório Ativo (estrutura, sub-redes, sites) e informações de entidades (como nomes, endereços de e-mail e números de telefone).

A Microsoft utiliza estes dados para:

• Identifique proativamente indicadores de ataque (IOAs) na sua organização
• Gerar alertas se um possível ataque foi detetado
• Forneça as suas operações de segurança com vista a entidades relacionadas com sinais de ameaça da sua rede, permitindo-lhe investigar e explorar a presença de ameaças de segurança na rede.

A Microsoft não mina os seus dados para publicidade ou para qualquer outra finalidade que não seja fornecer-lhe o serviço.

A Defender for Identity suporta atualmente a adição de 30 credenciais diferentes do Serviço de Diretório para apoiar ambientes de Diretório Ativo com florestas não fidedquisas. Se precisar de mais contas, abra um bilhete de apoio.

Além de analisar o tráfego do Ative Directory utilizando tecnologia de inspeção de pacotes profundos, o Defender for Identity também recolhe eventos do Windows relevantes do seu controlador de domínio e cria perfis de entidades com base em informações de Ative Directory Domain Services. O Defender for Identity também suporta a receção da contabilidade RADIUS de registos VPN de vários fornecedores (Microsoft, Cisco, F5 e Checkpoint).

N.º O Defender for Identity monitoriza todos os dispositivos da rede que realizam pedidos de autenticação e autorização contra o Ative Directory, incluindo dispositivos não Windows e mobile.

Sim. Uma vez que as contas de computador (bem como quaisquer outras entidades) podem ser usadas para realizar atividades maliciosas, o Defender for Identity monitoriza todo o comportamento das contas informáticas e de todas as outras entidades do ambiente.

A ATA é uma solução autónoma no local com vários componentes, como o ATA Center que requer hardware dedicado no local.

O Defender for Identity é uma solução de segurança baseada na nuvem que aproveita os sinais Ative Directory no local. A solução é altamente escalável e é frequentemente atualizada.

O lançamento final da ATA está geralmente disponível. A ATA terminou o Mainstream Support em 12 de janeiro de 2021. O Apoio Alargado continuará até janeiro de 2026. Para mais informações, leia o nosso blog.

Em contraste com o sensor ATA, o sensor Defender for Identity também utiliza fontes de dados como o Event Tracing for Windows (ETW) permitindo ao Defender for Identity fornecer deteções adicionais.

As atualizações frequentes do Defender for Identity incluem as seguintes funcionalidades e capacidades:

• Apoio a ambientes multi-florestais: Proporciona visibilidade às organizações através das florestas de AD.

• Avaliações de postura do Microsoft Secure Score: Identifica as configurações comuns e componentes exploráveis, bem como, fornecendo caminhos de reparação para reduzir a superfície de ataque.

• Capacidades UEBA: Insights sobre o risco individual do utilizador através da pontuação prioritária da investigação do utilizador. A pontuação pode ajudar os SecOps nas suas investigações e ajudar os analistas a entender atividades incomuns para o utilizador e a organização.

• Integrações nativas: Integra-se com Microsoft Defender for Cloud Apps e Azure AD Proteção de Identidade para proporcionar uma visão híbrida do que está a acontecer tanto no local como nos ambientes híbridos.

• Contribui para Microsoft 365 Defender: Contribui com dados de alerta e ameaças para Microsoft 365 Defender. Microsoft 365 Defender aproveita o portfólio de segurança microsoft 365 (identidades, pontos finais, dados e aplicações) para analisar automaticamente os dados de ameaças de domínio cruzado, construindo uma imagem completa de cada ataque num único dashboard. Com esta amplitude e profundidade de clareza, os defensores podem focar-se em ameaças críticas e caçar violações sofisticadas, confiando que a poderosa automatização de Microsoft 365 Defender para os ataques em qualquer lugar da cadeia de morte e devolve a organização a um estado seguro.

O Defender for Identity está disponível como parte da suite Enterprise Mobility + Security 5 (EMS E5), e como licença autónoma. Pode adquirir uma licença diretamente do portal Microsoft 365 ou através do modelo de licenciamento Cloud Solution Partner (CSP).

Para obter informações sobre os requisitos de licenciamento do Defender for Identity, consulte a orientação de licenciamento do Defender for Identity.

Sim, os seus dados são isolados através da autenticação de acesso e segregação lógica com base em identificadores de clientes. Cada cliente só pode aceder aos dados recolhidos a partir da sua própria organização e dados genéricos que a Microsoft fornece.

Não. Quando o seu exemplo Defender for Identity é criado, é armazenado automaticamente na região de Azure mais próxima da localização geográfica do seu inquilino Azure Ative Directory. Uma vez criado o seu Exemplo Defender para identidade, os dados do Defender for Identity não podem ser transferidos para uma região diferente.

Os desenvolvedores e administradores da Microsoft receberam, por design, privilégios suficientes para desempenharem os seus deveres atribuídos para operarem e desenvolverem o serviço. A Microsoft implementa combinações de controlos preventivos, detetives e reativos, incluindo os seguintes mecanismos para ajudar a proteger contra o desenvolvedor não autorizado e/ou atividade administrativa:

• Controlo apertado do acesso a dados sensíveis
• Combinações de controlos que aumentam consideravelmente a deteção independente de atividade maliciosa
• Múltiplos níveis de monitorização, registo e reporte

Além disso, a Microsoft realiza verificações de antecedentes em determinados funcionários de operações e limita o acesso a aplicações, sistemas e infraestruturas de rede proporcionalmente ao nível de verificação de antecedentes. O pessoal das operações segue um processo formal quando é obrigado a aceder à conta de um cliente ou a informações relacionadas no exercício das suas funções.

Todos os controladores de domínio no ambiente devem ser cobertos por um sensor Defender for Identity ou um sensor autónomo. Para obter mais informações, consulte o defender para o sensor de identidade.

Os protocolos de rede com tráfego encriptado (por exemplo, AtSvc e WMI) não são desencriptados, mas são analisados pelos sensores.

A ativação do Kerberos Armoring, também conhecido como Autenticação Flexível Túnel Seguro (FAST), é apoiada pelo Defender for Identity, com exceção da deteção Overpass-the-Hash, que não funciona com o Kerberos Armoring.

A maioria dos controladores de domínio virtual pode ser coberta pelo sensor Defender for Identity, para determinar se o sensor Defender for Identity é apropriado para o seu ambiente, consulte Defender for Identity Capacity Planning.

Se um controlador de domínio virtual não puder ser coberto pelo sensor Defender for Identity, pode ter um sensor independente de Defender para identidade virtual ou físico, conforme descrito no espelhamento da porta de configuração. A maneira mais fácil é ter um sensor autónomo do Defender para a Identidade em cada hospedeiro onde existe um controlador de domínio virtual. Se os controladores de domínio virtual se moverem entre os anfitriões, tem de executar um dos seguintes passos:

• Quando o controlador de domínio virtual se deslocar para outro hospedeiro, pré-configurar o sensor autónomo defender a identidade nesse hospedeiro para receber o tráfego do controlador de domínio virtual recentemente movido.
• Certifique-se de que afilia o sensor autónomo do Defender para a Identidade virtual com o controlador de domínio virtual para que, se for movido, o sensor autónomo defender para a identidade se mova com ele.
• Existem alguns comutadores virtuais que podem enviar tráfego entre anfitriões.

Para que os controladores de domínio se comuniquem com o serviço de nuvem, tem de abrir: *.atp.azure.com porta 443 na sua firewall/proxy. Para obter instruções sobre como fazê-lo, consulte configurar o seu proxy ou firewall para permitir a comunicação com o Defender para sensores de identidade.

Sim, pode utilizar o sensor Defender for Identity para monitorizar controladores de domínio que se encontrem em qualquer solução IaaS.

O Defender for Identity suporta ambientes de vários domínios e múltiplas florestas. Para obter mais informações e requisitos de confiança, consulte o apoio multi-floresta.

Sim, pode ver a saúde geral da implementação, bem como questões específicas relacionadas com a configuração, conectividade, etc., e você é alertado à medida que ocorrem com alertas de saúde Defender for Identity.

A equipa Microsoft Defender para Identidade recomenda que todos os clientes utilizem o condutor Npcap em vez dos condutores winPcap. Começando pelo Defender for Identity versão 2.184, o pacote de instalação instalará OEM Npcap 1.0 em vez dos controladores WinPcap 4.1.3.

O WinPcap já não é suportado e como já não está a ser desenvolvido, o condutor já não pode ser otimizado para o sensor Defender for Identity. Além disso, se houver um problema no futuro com o controlador WinPcap, não há opções para uma correção.

O Npcap é suportado, enquanto o WinPcap já não é um produto suportado.

A versão recomendada e oficialmente suportada do Npcap é a versão 1.0. Pode instalar uma versão mais recente do Npcap, mas note que, para a resolução de problemas, o suporte irá pedir-lhe para desvalorizar a versão Npcap para validar que o problema não está relacionado com a versão mais recente instalada.

Não, a Npcap tem uma isenção para o limite habitual de 5 instalações. Pode instalá-lo em sistemas ilimitados, onde este é utilizado apenas com o sensor Defender for Identity.

Consulte o contrato de licença da Npcap aqui e procure Microsoft Defender para Identidade.

Não, só o sensor Microsoft Defender para Identidade suporta a versão Npcap 1.00.

Não, não precisas de comprar a versão OEM. Descarregue a versão 2.156 e superior do pacote de instalação do sensor da consola Defender for Identity, que inclui a versão OEM do Npcap.

• Pode obter os executáveis Npcap descarregando o mais recente pacote de implementação do sensor Defender for Identity.

• Se ainda não instalou o sensor:

  1. Instale o sensor (com um pacote de instalação da versão 2.184 ou superior).

• Se já instalou o sensor com WinPcap e precisa de atualizar para utilizar o Npcap:

  1. Desinstale o sensor.
  2. Desinstalar winpcap.
  3. Volte a instalar o sensor (com um pacote de instalação da versão 2.184 ou superior).

• Se quiser instalar manualmente o Npcap:

  1. Instalar o Npcap com as seguintes opções:
  • Se utilizar o instalador GUI, desmarca o suporte de backback e selecione o modo WinPcap . Certifique-se de que a opção Restringir o acesso do condutor Npcap apenas aos Administradores é desescolhida.
  • Se utilizar a linha de comando: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Se quiser atualizar manualmente o Npcap:

  1. Parar os serviços de sensores de identidade (AATPSensorUpdater e AATPSensor)
     Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
  2. Remover Npcap utilizando programas Add/Remove no painel de controlo (appwiz.cpl)
  3. Instalar o Npcap com as seguintes opções:
     • Se utilizar o instalador GUI, desmarca o suporte de backback e selecione o modo WinPcap . Certifique-se de que a opção Restringir o acesso do condutor Npcap apenas aos Administradores é desescolhida.
     • Se utilizar a linha de comando: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  4. Iniciar os serviços de sensores de identidade (AATPSensorUpdater e AATPSensor)
     Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

O Defender for Identity pode ser configurado para enviar um alerta Syslog, para qualquer servidor SIEM que utilize o formato CEF, para alertas de saúde e quando for detetado um alerta de segurança. Consulte a referência de registo SIEM para obter mais informações.

Isto acontece quando uma conta é um membro de grupos que são designados como sensíveis (por exemplo: "Administradores de domínio").

Para compreender por que motivo uma conta é confidencial, pode consultar a respetiva associação a grupos para compreender a que grupos sensíveis pertence (o grupo a que pertence também pode ser sensível devido a outro grupo, como tal, o mesmo processo deve ser efetuado até localizar o grupo sensível de nível mais alto). Também pode etiquetar as contas manualmente como sensíveis.

Com o Defender for Identity, não há necessidade de criar regras, limiares ou linhas de base e, em seguida, afinar. O Defender for Identity analisa os comportamentos entre utilizadores, dispositivos e recursos, bem como a sua relação entre si, e pode detetar atividades suspeitas e ataques conhecidos rapidamente. Três semanas após a implantação, o Defender for Identity começa a detetar atividades suspeitas comportamentais. Por outro lado, o Defender for Identity começará a detetar ataques maliciosos conhecidos e problemas de segurança imediatamente após a implantação.

O Defender for Identity gera tráfego de controladores de domínio para computadores na organização num dos três cenários:

1. Resolução do nome da rede O Defender for Identity capta tráfego e eventos, aprendendo e perfis de utilizadores e atividades informáticas na rede. Para aprender e perfilar atividades de acordo com computadores da organização, o Defender for Identity precisa de resolver os IPs em contas informáticas. Para resolver os IPs com nomes de computador Defender para sensores de identidade solicite o endereço IP para o nome do computador por trás do endereço IP.

   Os pedidos são feitos utilizando um dos quatro métodos:

   • NTLM através de RPC (Porta TCP 135)
   • NetBIOS (Porta UDP 137)
   • PDR (porta TCP 3389)
   • Consultar o servidor DNS utilizando a pesquisa de DNS inversa do endereço IP (UDP 53)

   Depois de obter o nome do computador, os sensores Defender for Identity cruzam os detalhes no Ative Directory para ver se existe um objeto de computador correlacionado com o mesmo nome de computador. Se for encontrada uma correspondência, é feita uma associação entre o endereço IP e o objeto de computador combinado.

2. Caminho de Movimento Lateral (LMP) Para construir potenciais LMPs para utilizadores sensíveis, o Defender for Identity requer informações sobre os administradores locais nos computadores. Neste cenário, o sensor Defender para identidade utiliza o SAM-R (TCP 445) para consultar o endereço IP identificado no tráfego da rede, de forma a determinar os administradores locais do computador. Para saber mais sobre o Defender for Identity e SAM-R, consulte as permissões necessárias para configurar o SAM-R.

3. Consulta diretório ativo utilizando LDAP para os sensores de identidade da entidade Defender para sensores de identidade consulta o controlador de domínio a partir do domínio onde a entidade pertence. Pode ser o mesmo sensor, ou outro controlador de domínio desse domínio.

O Defender for Identity captura atividades em vários protocolos diferentes. Em alguns casos, o Defender for Identity não recebe os dados do utilizador de origem no tráfego. O Defender for Identity tenta correlacionar a sessão do utilizador com a atividade, e quando a tentativa é bem sucedida, é apresentado o utilizador de origem da atividade. Quando as tentativas de correlação do utilizador falham, apenas o computador de origem é apresentado.

Veja o erro mais recente no registo de erros de corrente (onde o Defender for Identity está instalado na pasta "Logs").

Consulte também

• Pré-requisitos do Defender para Identidade
• Defensor do planeamento da capacidade de identidade
• Configurar a recolha de eventos
• Configurar o reencaminhamento de eventos do Windows
• Resolução de problemas
• Confira o Fórum Defensor da Identidade!