Perguntas frequentes sobre o Microsoft Defender for Identity

O Defender for Identity deteta técnicas e ataques mal-intencionados conhecidos, problemas de segurança e riscos contra sua rede. Para obter a lista completa de deteções do Defender for Identity, consulte Defender for Identity Security Alerts.

O Defender for Identity coleta e armazena informações de seus servidores configurados, como controladores de domínio, servidores membros e assim por diante. Os dados são armazenados em um banco de dados específico para o serviço para fins de administração, rastreamento e relatórios.

As informações recolhidas incluem:

• Tráfego de rede de e para controladores de domínio, como autenticação Kerberos, autenticação NTLM ou consultas DNS.
• Logs de segurança, como eventos de segurança do Windows.
• Informações do Ative Directory, como estrutura, sub-redes ou sites.
• Informações da entidade, como nomes, endereços de e-mail e números de telefone.

A Microsoft usa esses dados para:

• Identifique proativamente indicadores de ataque (IOAs) em sua organização.
• Gere alertas se um possível ataque for detetado.
• Forneça às suas operações de segurança uma visão das entidades relacionadas aos sinais de ameaça da sua rede, permitindo que você investigue e explore a presença de ameaças à segurança na rede.

A Microsoft não explora os seus dados para fins publicitários ou para qualquer outra finalidade que não seja o fornecimento do serviço.

Atualmente, o Defender for Identity oferece suporte à adição de até 30 credenciais diferentes do Serviço de Diretório para oferecer suporte a ambientes do Ative Directory com florestas não confiáveis. Se você precisar de mais contas, abra um tíquete de suporte.

Além de analisar o tráfego do Ative Directory usando a tecnologia de inspeção profunda de pacotes, o Defender for Identity também coleta eventos relevantes do Windows do controlador de domínio e cria perfis de entidade com base em informações dos Serviços de Domínio Ative Directory. O Defender for Identity também suporta o recebimento de contabilização RADIUS de logs de VPN de vários fornecedores (Microsoft, Cisco, F5 e Checkpoint).

N.º O Defender for Identity monitora todos os dispositivos na rede executando solicitações de autenticação e autorização no Ative Directory, incluindo dispositivos móveis e não Windows.

Sim. Como as contas de computador e outras entidades podem ser usadas para executar atividades maliciosas, o Defender for Identity monitora o comportamento de todas as contas de computador e todas as outras entidades no ambiente.

O ATA é uma solução local autônoma com vários componentes, como o Centro do ATA, que requer hardware dedicado local.

O Defender for Identity é uma solução de segurança baseada na nuvem que usa seus sinais do Ative Directory local. A solução é altamente escalável e é atualizada com frequência.

A versão final do ATA está geralmente disponível. A ATA encerrou o Suporte Base em 12 de janeiro de 2021. O Suporte Estendido continua até janeiro de 2026. Para mais informações, leia o nosso blog.

Em contraste com o sensor ATA, o sensor Defender for Identity também usa fontes de dados como o Rastreamento de Eventos para Windows (ETW), permitindo que o Defender for Identity forneça deteções extras.

As atualizações frequentes do Defender for Identity incluem os seguintes recursos e capacidades:

• Suporte para ambientes de várias florestas: fornece visibilidade às organizações em florestas do AD.

• Avaliações de postura do Microsoft Secure Score: identifica configurações incorretas comuns e componentes exploráveis e fornece caminhos de correção para reduzir a superfície de ataque.

• Recursos da UEBA: Informações sobre o risco individual do usuário por meio da pontuação de prioridade de investigação do usuário. A pontuação pode ajudar o SecOps em suas investigações e ajudar os analistas a entender atividades incomuns para o usuário e a organização.

• Integrações nativas: integra-se com o Microsoft Defender for Cloud Apps e o Azure AD Identity Protection para fornecer uma visão híbrida do que está ocorrendo em ambientes locais e híbridos.

• Contribui para o Microsoft Defender XDR: Contribui com dados de alertas e ameaças para o Microsoft Defender XDR. O Microsoft Defender XDR usa o portfólio de segurança do Microsoft 365 (identidades, pontos de extremidade, dados e aplicativos) para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque em um único painel.

  Com essa amplitude e profundidade de clareza, os Defensores podem se concentrar em ameaças críticas e caçar violações sofisticadas. Os defensores podem confiar que a poderosa automação do Microsoft Defender XDR interrompe ataques em qualquer lugar da cadeia de destruição e devolve a organização a um estado seguro.

O Defender for Identity está disponível como parte do pacote Enterprise Mobility + Security 5 (EMS E5) e como uma licença independente. Você pode adquirir uma licença diretamente do portal do Microsoft 365 ou por meio do modelo de licenciamento CSP (Cloud Solution Partner).

Para obter informações sobre os requisitos de licenciamento do Defender for Identity, consulte Diretrizes de licenciamento do Defender for Identity.

Sim, seus dados são isolados por meio de autenticação de acesso e segregação lógica com base em identificadores de clientes. Cada cliente só pode aceder aos dados recolhidos da sua própria organização e aos dados genéricos fornecidos pela Microsoft.

N.º Quando o espaço de trabalho do Defender for Identity é criado, ele é armazenado automaticamente na região do Azure mais próxima da localização geográfica do locatário do Microsoft Entra. Depois que o espaço de trabalho do Defender for Identity for criado, os dados do Defender for Identity não poderão ser movidos para uma região diferente.

Os desenvolvedores e administradores da Microsoft receberam, por design, privilégios suficientes para realizar suas tarefas atribuídas para operar e evoluir o serviço. A Microsoft implanta combinações de controles preventivos, detectivos e reativos, incluindo os seguintes mecanismos para ajudar a proteger contra atividades administrativas e/ou de desenvolvedores não autorizados:

• Controlo de acesso apertado a dados confidenciais
• Combinações de controles que melhoram muito a deteção independente de atividades maliciosas
• Vários níveis de monitoramento, registro e emissão de relatórios

Além disso, a Microsoft realiza verificações de antecedentes em determinadas equipes de operações e limita o acesso a aplicativos, sistemas e infraestrutura de rede proporcionalmente ao nível de verificação em segundo plano. O pessoal de operações segue um processo formal quando é necessário acessar a conta de um cliente ou informações relacionadas no desempenho de suas funções.

Recomendamos que você tenha um sensor do Defender for Identity ou um sensor autônomo para cada um dos controladores de domínio. Para obter mais informações, consulte Dimensionamento do sensor do Defender for Identity.

Embora os protocolos de rede com tráfego criptografado, como AtSvc e WMI, não sejam descriptografados, os sensores ainda analisam o tráfego.

O Defender for Identity suporta a Blindagem Kerberos, também conhecida como Flexible Authentication Secure Tunneling (FAST). A exceção a esse suporte é a ultrapassagem da deteção de hash, que não funciona com a Blindagem Kerberos.

O sensor Defender for Identity pode abranger a maioria dos controladores de domínio virtuais. Para obter mais informações, consulte Defender for Identity Capacity Planning.

Se o sensor do Defender for Identity não puder cobrir um controlador de domínio virtual, use um sensor autônomo virtual ou físico do Defender for Identity. Para obter mais informações, consulte Configurar espelhamento de porta.

A maneira mais fácil é ter um sensor autônomo virtual do Defender for Identity em cada host onde existe um controlador de domínio virtual.

Se os controladores de domínio virtual se moverem entre hosts, você precisará executar uma das seguintes etapas:

• Quando o controlador de domínio virtual for movido para outro host, pré-configure o sensor autônomo do Defender for Identity nesse host para receber o tráfego do controlador de domínio virtual movido recentemente.

• Certifique-se de afiliar o sensor autônomo virtual do Defender for Identity ao controlador de domínio virtual para que, se ele for movido, o sensor autônomo do Defender for Identity se mova com ele.

• Existem alguns comutadores virtuais que podem enviar tráfego entre hosts.

Para que os controladores de domínio se comuniquem com o serviço de nuvem, você deve abrir: *.atp.azure.com porta 443 no firewall/proxy. Para obter mais informações, consulte Configurar seu proxy ou firewall para habilitar a comunicação com os sensores do Defender for Identity.

Sim, você pode usar o sensor Defender for Identity para monitorar controladores de domínio que estão em qualquer solução IaaS.

O Defender for Identity suporta ambientes de vários domínios e várias florestas. Para obter mais informações e requisitos de confiança, consulte Suporte a várias florestas.

Sim, você pode exibir a integridade geral da implantação e quaisquer problemas específicos relacionados à configuração, conectividade e assim por diante. Você será alertado quando esses eventos ocorrerem com problemas de integridade do Defender for Identity.

O Microsoft Defender for Identity fornece valor de segurança para todas as contas do Ative Directory, incluindo aquelas que não são sincronizadas com o Microsoft Entra ID. As contas de usuário sincronizadas com o Microsoft Entra ID também se beneficiarão do valor de segurança fornecido pelo Microsoft Entra ID (com base no nível de licença) e da Pontuação de Prioridade de Investigação.

A equipe do Microsoft Defender for Identity recomenda que todos os clientes usem o driver Npcap em vez dos drivers WinPcap. A partir do Defender for Identity versão 2.184, o pacote de instalação instala o Npcap 1.0 OEM em vez dos drivers WinPcap 4.1.3.

O WinPcap não é mais suportado e, como não está mais sendo desenvolvido, o driver não pode mais ser otimizado para o sensor Defender for Identity. Além disso, se houver um problema no futuro com o driver WinPcap, não há opções para uma correção.

Npcap é suportado, enquanto WinPcap não é mais um produto suportado.

O sensor MDI requer Npcap 1.0 ou posterior. O pacote de instalação do Sensor instalará a versão 1.0 se nenhuma outra versão do Npcap estiver instalada. Se você já tiver o Npcap instalado (devido a outros requisitos de software ou qualquer outro motivo), é importante garantir que ele seja a versão 1.0 ou posterior e que tenha sido instalado com as configurações necessárias para o MDI.

Sim. É necessário remover manualmente o sensor para remover os drivers WinPcap. A reinstalação usando o pacote mais recente instalará os drivers Npcap.

Você pode ver que 'Npcap OEM' está instalado através de Adicionar ou remover programas (appwiz.cpl), e se houver um problema de integridade aberto para isso, ele será fechado automaticamente.

Não, o Npcap tem uma isenção do limite habitual de cinco instalações. Você pode instalá-lo em sistemas ilimitados onde ele só é usado com o sensor Defender for Identity.

Consulte o contrato de licença do Npcap aqui e procure Microsoft Defender for Identity.

Não, apenas o sensor Microsoft Defender for Identity suporta Npcap versão 1.00.

Não, você não precisa comprar a versão OEM. Transfira o pacote de instalação do sensor versão 2.156 e superior a partir da consola do Defender for Identity, que inclui a versão OEM do Npcap.

• Você pode obter os executáveis do Npcap baixando o pacote de implantação mais recente do sensor Defender for Identity.

• Se você ainda não instalou o sensor, instale o sensor usando a versão 2.184 ou superior.

• Se você já instalou o sensor com WinPcap e precisa atualizar para usar o Npcap:

  1. Desinstale o sensor. Use Adicionar ou remover programas do painel de controle do Windows (appwiz.cpl) ou execute o seguinte comando de desinstalação:".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Desinstale o WinPcap, se necessário. Esta etapa é relevante somente se o WinPcap foi instalado manualmente antes da instalação do sensor. Nesse caso, você precisaria remover manualmente o WinPcap.

  3. Reinstale o sensor usando a versão 2.184 ou superior.

• Se você quiser instalar manualmente o Npcap: Instale o Npcap com as seguintes opções:

  • Se você estiver usando o instalador GUI, desmarque a opção de suporte de loopback e selecione o modo WinPcap. Verifique se a opção Restringir o acesso do driver Npcap apenas a administradores está desmarcada.
  • Se você estiver usando a linha de comando, execute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Se você quiser atualizar manualmente o Npcap:

  1. Pare os serviços de sensor do Defender for Identity, AATPSensorUpdater e AATPSensor. Execute: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Remova o Npcap usando Adicionar ou remover programas no painel de controle do Windows (appwiz.cpl).

  3. Instale o Npcap com as seguintes opções:

     • Se você estiver usando o instalador GUI, desmarque a opção de suporte de loopback e selecione o modo WinPcap. Verifique se a opção Restringir o acesso do driver Npcap apenas a administradores está desmarcada.

     • Se você estiver usando a linha de comando, execute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Inicie os serviços de sensor do Defender for Identity, AATPSensorUpdater e AATPSensor. Execute: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

O Defender for Identity pode ser configurado para enviar um alerta Syslog para qualquer servidor SIEM usando o formato CEF, para problemas de integridade e quando um alerta de segurança é detetado. Para obter mais informações, consulte a referência de log do SIEM.

As contas são consideradas confidenciais quando uma conta é membro de grupos designados como confidenciais (por exemplo: "Administradores do Domínio").

Para entender por que uma conta é confidencial, você pode revisar sua associação ao grupo para entender a quais grupos confidenciais ela pertence. O grupo ao qual ele pertence também pode ser sensível devido a outro grupo, portanto, o mesmo processo deve ser executado até que você localize o grupo sensível de nível mais alto. Como alternativa, marque manualmente as contas como confidenciais.

Com o Defender for Identity, não há necessidade de criar regras, limites ou linhas de base e, em seguida, ajustar. O Defender for Identity analisa os comportamentos entre usuários, dispositivos e recursos, bem como seu relacionamento entre si, e pode detetar atividades suspeitas e ataques conhecidos rapidamente. Três semanas após a implantação, o Defender for Identity começa a detetar atividades comportamentais suspeitas. Por outro lado, o Defender for Identity começará a detetar ataques mal-intencionados conhecidos e problemas de segurança imediatamente após a implantação.

O Defender for Identity gera tráfego de controladores de domínio para computadores na organização em um dos três cenários:

• Resolução de nomes de rede O Defender for Identity captura tráfego e eventos, aprendizagem e definição de perfis de usuários e atividades de computador na rede. Para aprender e criar perfis de atividades de acordo com os computadores da organização, o Defender for Identity precisa resolver IPs para contas de computador. Para resolver IPs para nomes de computador Defender para sensores de identidade, solicite o endereço IP para o nome do computador por trás do endereço IP.

  Os pedidos são feitos através de um de quatro métodos:

  • NTLM sobre RPC (Porta TCP 135)
  • NetBIOS (porta UDP 137)
  • RDP (porta TCP 3389)
  • Consultar o servidor DNS usando a pesquisa reversa de DNS do endereço IP (UDP 53)

  Depois de obter o nome do computador, os sensores do Defender for Identity cruzam os detalhes no Ative Directory para ver se há um objeto de computador correlacionado com o mesmo nome de computador. Se for encontrada uma correspondência, é feita uma associação entre o endereço IP e o objeto de computador correspondente.

• Caminho de movimento lateral (LMP) Para criar LMPs potenciais para usuários confidenciais, o Defender for Identity requer informações sobre os administradores locais nos computadores. Nesse cenário, o sensor Defender for Identity usa SAM-R (TCP 445) para consultar o endereço IP identificado no tráfego de rede, a fim de determinar os administradores locais do computador. Para saber mais sobre o Defender for Identity e o SAM-R, consulte Configurar as permissões necessárias do SAM-R.

• Consultando o Ative Directory usando LDAP para dados de entidade Os sensores do Defender for Identity consultam o controlador de domínio do domínio ao qual a entidade pertence. Pode ser o mesmo sensor ou outro controlador de domínio desse domínio.

O Defender for Identity captura atividades em muitos protocolos diferentes. Em alguns casos, o Defender for Identity não recebe os dados do usuário de origem no tráfego. O Defender for Identity tenta correlacionar a sessão do usuário com a atividade e, quando a tentativa é bem-sucedida, o usuário de origem da atividade é exibido. Quando as tentativas de correlação do usuário falham, somente o computador de origem é exibido.

Observe o erro mais recente no log de erros atual (onde o Defender for Identity está instalado na pasta "Logs").

Conteúdos relacionados

• Pré-requisitos do Defender for Identity
• Planejamento de capacidade do Defender for Identity
• Configurar coleção de eventos
• Configurando o encaminhamento de eventos do Windows
• Resolução de problemas
• Confira o fórum Defender for Identity!