Den här artikeln innehåller en lista över vanliga frågor och svar om Microsoft Defender för identitet indelat i följande kategorier:
Vad är Defender för identitet?
Vad kan Defender for Identity identifiera?
Defender for Identity identifierar kända skadliga attacker och tekniker, säkerhetsproblem och risker mot nätverket. Den fullständiga listan över Identifieringar av Defender för identiteter finns i Defender för identitetssäkerhetsaviseringar.
Vilka data samlar Defender for Identity in?
Defender for Identity samlar in och lagrar information från dina konfigurerade servrar, till exempel domänkontrollanter, medlemsservrar och så vidare. Data lagras i en databas som är specifik för tjänsten för administration, spårning och rapportering.
Insamlad information omfattar:
- Nätverkstrafik till och från domänkontrollanter, till exempel Kerberos-autentisering, NTLM-autentisering eller DNS-frågor.
- Säkerhetsloggar, till exempel Windows-säkerhetshändelser.
- Active Directory-information, till exempel struktur, undernät eller platser.
- Entitetsinformation, till exempel namn, e-postadresser och telefonnummer.
Microsoft använder dessa data för att:
- Identifiera proaktivt indikatorer för angrepp (IOA) i din organisation.
- Generera aviseringar om en möjlig attack har identifierats.
- Ge dina säkerhetsåtgärder en vy över entiteter som är relaterade till hotsignaler från nätverket, så att du kan undersöka och utforska förekomsten av säkerhetshot i nätverket.
Microsoft bryter inte dina data för reklam eller för något annat syfte än att tillhandahålla tjänsten.
Hur många autentiseringsuppgifter för Katalogtjänsten stöder Defender for Identity?
Defender for Identity har för närvarande stöd för att lägga till upp till 30 olika autentiseringsuppgifter för Katalogtjänsten för att stödja Active Directory-miljöer med ej betrodda skogar. Om du behöver fler konton öppnar du ett supportärende.
Använder Defender för identitet endast trafik från Active Directory?
Förutom att analysera Active Directory-trafik med djup paketinspektionsteknik samlar Defender for Identity även in relevanta Windows-händelser från domänkontrollanten och skapar entitetsprofiler baserat på information från Active Directory-domän Services. Defender for Identity har också stöd för att ta emot RADIUS-redovisning av VPN-loggar från olika leverantörer (Microsoft, Cisco, F5 och Checkpoint).
Övervakar Defender för identitet endast domänanslutna enheter?
Nej. Defender for Identity övervakar alla enheter i nätverket som utför autentiserings- och auktoriseringsbegäranden mot Active Directory, inklusive icke-Windows- och mobila enheter.
Övervakar Defender för identitet datorkonton och användarkonton?
Ja. Eftersom datorkonton och andra entiteter kan användas för att utföra skadliga aktiviteter övervakar Defender for Identity alla beteenden för datorkonton och alla andra entiteter i miljön.
Vad är skillnaden mellan Advanced Threat Analytics (ATA) och Defender for Identity?
ATA är en fristående lokal lösning med flera komponenter, till exempel ATA Center som kräver dedikerad maskinvara lokalt.
Defender for Identity är en molnbaserad säkerhetslösning som använder dina lokal Active Directory signaler. Lösningen är mycket skalbar och uppdateras ofta.
Den slutliga versionen av ATA är allmänt tillgänglig. ATA avslutade Mainstream Support den 12 januari 2021. Utökad support fortsätter till januari 2026. Mer information finns i vår blogg.
Till skillnad från ATA-sensorn använder Defender for Identity-sensorn även datakällor som händelsespårning för Windows (ETW) som gör det möjligt för Defender for Identity att leverera extra identifieringar.
Defender for Identitys frekventa uppdateringar innehåller följande funktioner:
Stöd för miljöer med flera skogar: Ger organisationer insyn i AD-skogar.
Bedömning av microsofts säkerhetspoäng: Identifierar vanliga felkonfigurationer och exploaterbara komponenter och tillhandahåller reparationsvägar för att minska attackytan.
UEBA-funktioner: Insikter om enskilda användarrisker genom prioritetsbedömning för användarundersökningar. Poängen kan hjälpa SecOps i deras undersökningar och hjälpa analytiker att förstå ovanliga aktiviteter för användaren och organisationen.
Interna integreringar: Integreras med Microsoft Defender för molnet Apps och Azure AD Identity Protection för att ge en hybridvy över vad som händer i både lokala miljöer och hybridmiljöer.
Bidrar till Microsoft Defender XDR: Bidrar med aviserings- och hotdata till Microsoft Defender XDR. Microsoft Defender XDR använder Microsoft 365-säkerhetsportföljen (identiteter, slutpunkter, data och program) för att automatiskt analysera hotdata mellan domäner och skapa en fullständig bild av varje attack på en enda instrumentpanel.
Med den här bredden och tydlighetens djup kan Defenders fokusera på kritiska hot och jaga avancerade överträdelser. Försvarare kan lita på att Microsoft Defender XDR:s kraftfulla automatisering stoppar attacker var som helst i dödskedjan och returnerar organisationen till ett säkert tillstånd.
Licensiering och sekretess
Var kan jag få en licens för Microsoft Defender för identitet?
Defender for Identity är tillgängligt som en del av Enterprise Mobility + Security 5 Suite (EMS E5) och som en fristående licens. Du kan skaffa en licens direkt från Microsoft 365-portalen eller via csp-licensieringsmodellen (Cloud Solution Partner).
Behöver Defender för identitet endast en enda licens eller kräver den en licens för varje användare jag vill skydda?
Information om licensieringskrav för Defender för identiteter finns i Vägledning för licensiering av Defender för identiteter.
Är mina data isolerade från andra kunddata?
Ja, dina data isoleras via åtkomstautentisering och logisk uppdelning baserat på kundidentifierare. Varje kund kan bara komma åt data som samlas in från sin egen organisation och allmänna data som Microsoft tillhandahåller.
Har jag flexibiliteten att välja var mina data ska lagras?
Nej. När din Defender for Identity-arbetsyta skapas lagras den automatiskt i den Azure-region som är närmast din Microsoft Entra-klientorganisations geografiska plats. När din Defender for Identity-arbetsyta har skapats kan Defender för identitetsdata inte flyttas till en annan region.
Hur förhindrar Microsoft skadliga insideraktiviteter och missbruk av roller med höga privilegier?
Microsofts utvecklare och administratörer har avsiktligt fått tillräckliga privilegier för att utföra sina tilldelade uppgifter för att driva och utveckla tjänsten. Microsoft distribuerar kombinationer av förebyggande, detektiv- och reaktiva kontroller, inklusive följande mekanismer för att skydda mot obehöriga utvecklare och/eller administrativa aktiviteter:
- Strikt åtkomstkontroll till känsliga data
- Kombinationer av kontroller som avsevärt förbättrar oberoende identifiering av skadlig aktivitet
- Flera nivåer av övervakning, loggning och rapportering
Dessutom utför Microsoft bakgrundsverifieringskontroller på viss driftspersonal och begränsar åtkomsten till program, system och nätverksinfrastruktur i förhållande till nivån för bakgrundsverifiering. Driftpersonal följer en formell process när de är skyldiga att komma åt en kunds konto eller relaterad information när de utför sina uppgifter.
Distribution
Hur många Defender för identitetssensorer behöver jag?
Vi rekommenderar att du har en Defender för identitetssensor eller fristående sensor för var och en av dina domänkontrollanter. Mer information finns i Storleksändring för Defender for Identity-sensor.
Fungerar Defender for Identity med krypterad trafik?
Även om nätverksprotokoll med krypterad trafik, till exempel AtSvc och WMI, inte dekrypteras, analyserar sensorer fortfarande trafiken.
Fungerar Defender for Identity med Kerberos Armoring?
Defender for Identity har stöd för Kerberos Armoring, även kallat Fast (Flexible Authentication Secure Tunneling). Undantaget för det här stödet är att hashidentifieringen överskrids, vilket inte fungerar med Kerberos Armoring.
Hur gör jag för att övervaka en virtuell domänkontrollant med hjälp av Defender for Identity?
Defender for Identity-sensorn kan omfatta de flesta virtuella domänkontrollanter. Mer information finns i Defender för kapacitetsplanering för identitet.
Om Defender for Identity-sensorn inte kan täcka en virtuell domänkontrollant använder du antingen en virtuell eller fysisk Defender for Identity fristående sensor i stället. Mer information finns i Konfigurera portspegling.
Det enklaste sättet är att ha en fristående sensor för virtuell Defender för identitet på varje värd där en virtuell domänkontrollant finns.
Om dina virtuella domänkontrollanter flyttas mellan värdar måste du utföra något av följande steg:
När den virtuella domänkontrollanten flyttas till en annan värd förkonfigurerar du den fristående Defender for Identity-sensorn i värden för att ta emot trafiken från den nyligen flyttade virtuella domänkontrollanten.
Se till att du kopplar den fristående sensorn för virtuell Defender för identitet till den virtuella domänkontrollanten så att den fristående Defender for Identity-sensorn flyttas med den om den flyttas.
Det finns några virtuella växlar som kan skicka trafik mellan värdar.
Hur gör jag för att konfigurera Defender for Identity-sensorer så att de kommunicerar med Defender for Identity-molntjänsten när jag har en proxy?
För att domänkontrollanterna ska kunna kommunicera med molntjänsten måste du öppna: *.atp.azure.com port 443 i brandväggen/proxyn. Mer information finns i Konfigurera proxyn eller brandväggen för att aktivera kommunikation med Defender för identitetssensorer.
Kan defender för identitetsövervakade domänkontrollanter virtualiseras i din IaaS-lösning?
Ja, du kan använda Defender for Identity-sensorn för att övervaka domänkontrollanter som finns i valfri IaaS-lösning.
Kan Defender for Identity stödja flera domäner och flera skogar?
Defender for Identity stöder miljöer med flera domäner och flera skogar. Mer information och förtroendekrav finns i Stöd för flera skogar.
Kan du se distributionens övergripande hälsotillstånd?
Ja, du kan visa den övergripande distributionshälsan och eventuella specifika problem som rör konfiguration, anslutning och så vidare. Du aviseras när dessa händelser inträffar med problem med Defender för identitetshälsa.
Kräver Microsoft Defender för identitet synkronisering av användare till Microsoft Entra-ID?
Microsoft Defender för identitet ger säkerhetsvärde för alla Active Directory-konton, inklusive de som inte är synkroniserade med Microsoft Entra-ID. Användarkonton som synkroniseras med Microsoft Entra-ID drar också nytta av det säkerhetsvärde som tillhandahålls av Microsoft Entra-ID (baserat på licensnivå) och undersökningsprioritetsbedömning.
WinPcap- och Npcap-drivrutiner
Vilka rekommendationer om WinPcap- och Npcap-drivrutiner ändras?
Microsoft Defender för identitetsteamet rekommenderar att alla kunder använder Npcap-drivrutinen i stället för WinPcap-drivrutinerna. Från och med Defender för identitet version 2.184 installerar installationspaketet Npcap 1.0 OEM i stället för WinPcap 4.1.3-drivrutinerna.
Varför flyttar vi från WinPcap?
WinPcap stöds inte längre och eftersom den inte längre utvecklas kan drivrutinen inte längre optimeras för Defender for Identity-sensorn. Om det finns ett problem i framtiden med WinPcap-drivrutinen finns det dessutom inga alternativ för en korrigering.
Varför Npcap?
Npcap stöds, medan WinPcap inte längre är en produkt som stöds.
Vilken version av Npcap stöds?
MDI-sensorn kräver Npcap 1.0 eller senare. Sensorinstallationspaketet installerar version 1.0 om ingen annan version av Npcap är installerad. Om du redan har Installerat Npcap (på grund av andra programvarukrav eller någon annan anledning) är det viktigt att se till att det är version 1.0 eller senare och att det har installerats med nödvändiga inställningar för MDI.
Behöver jag ta bort och installera om sensorn manuellt, eller kommer den automatiska uppdateringstjänsten att hantera detta som en del av den normala uppdateringen?
Ja. Du måste ta bort sensorn manuellt för att ta bort WinPcap-drivrutinerna. Ominstallationen med det senaste paketet installerar Npcap-drivrutinerna.
Hur kan jag kontrollera om min aktuella installation av Defender for Identity använder Npcap eller WinPcap?
Du kan se att "Npcap OEM" installeras via lägg till/ta bort program (appwiz.cpl), och om det fanns ett öppet hälsoproblem för detta stängs det automatiskt.
Jag har fler än fem domänkontrollanter i min organisation. Behöver jag köpa en Npcap-licens om jag använder Npcap på dessa domänkontrollanter?
Nej, Npcap har ett undantag från den vanliga gränsen på fem installationer. Du kan installera den på obegränsade system där den endast används med Defender for Identity-sensorn.
Se Npcap-licensavtalet här och sök efter Microsoft Defender för identitet.
Är Npcap också relevant för ATA?
Nej, endast Microsoft Defender for Identity-sensorn stöder Npcap version 1.00.
Jag vill skripta distributionen av Npcap, behöver jag köpa OEM-versionen?
Nej, du behöver inte köpa OEM-versionen. Ladda ned sensorinstallationspaketet version 2.156 och senare från Defender for Identity-konsolen, som innehåller OEM-versionen av Npcap.
Hur gör jag för att ladda ned och installera eller uppgradera Npcap-drivrutinen?
Du kan hämta npcap-körbara filer genom att ladda ned det senaste distributionspaketet för Defender for Identity-sensorn.
Om du ännu inte har installerat sensorn installerar du sensorn med version 2.184 eller senare.
Om du redan har installerat sensorn med WinPcap och behöver uppdatera för att använda Npcap:
Avinstallera sensorn. Använd antingen Lägg till/ta bort program från Windows-kontrollpanelen (appwiz.cpl) eller kör följande avinstallationskommando:
".\Azure ATP Sensor Setup.exe" /uninstall /quietAvinstallera WinPcap om det behövs. Det här steget är endast relevant om WinPcap installerades manuellt före sensorinstallationen. I det här fallet skulle du behöva ta bort WinPcap manuellt.
Installera om sensorn med version 2.184 eller senare.
Om du vill installera Npcap manuellt: Installera Npcap med följande alternativ:
- Om du använder GUI-installationsprogrammet avmarkerar du alternativet för stöd för loopback och väljer WinPcap-läge . Kontrollera att alternativet Begränsa npcap-drivrutinens åtkomst till administratörer är avmarkerat.
- Om du använder kommandoraden kör du:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Om du vill uppgradera Npcap manuellt:
Stoppa Tjänsterna Defender för identitetssensorer, AATPSensorUpdater och AATPSensor. Kör:
Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -ForceTa bort Npcap med hjälp av Lägg till/ta bort program på Windows-kontrollpanelen (appwiz.cpl).
Installera Npcap med följande alternativ:
Om du använder GUI-installationsprogrammet avmarkerar du alternativet för stöd för loopback och väljer WinPcap-läge . Kontrollera att alternativet Begränsa npcap-drivrutinens åtkomst till administratörer är avmarkerat.
Om du använder kommandoraden kör du:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Starta Tjänsterna Defender för identitetssensorer, AATPSensorUpdater och AATPSensor. Kör:
Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor
Åtgärd
Vilken typ av integrering har Defender för identitet med SIEM:er?
Defender for Identity kan konfigureras för att skicka en Syslog-avisering till valfri SIEM-server med CEF-format, för hälsoproblem och när en säkerhetsavisering identifieras. Mer information finns i SIEM-loggreferensen.
Varför anses vissa konton vara känsliga?
Konton betraktas som känsliga när ett konto är medlem i grupper som är avsedda som känsliga (till exempel "Domänadministratörer").
För att förstå varför ett konto är känsligt kan du granska dess gruppmedlemskap för att förstå vilka känsliga grupper det tillhör. Den grupp som den tillhör kan också vara känslig på grund av en annan grupp, så samma process bör utföras tills du hittar den känsliga gruppen på högsta nivå. Alternativt kan du tagga konton manuellt som känsliga.
Måste du skriva egna regler och skapa ett tröskelvärde/en baslinje?
Med Defender för identitet behöver du inte skapa regler, tröskelvärden eller baslinjer och sedan finjustera. Defender for Identity analyserar beteendet bland användare, enheter och resurser samt deras relation till varandra och kan snabbt identifiera misstänkt aktivitet och kända attacker. Tre veckor efter distributionen börjar Defender for Identity identifiera beteendemässiga misstänkta aktiviteter. Å andra sidan börjar Defender for Identity identifiera kända skadliga attacker och säkerhetsproblem omedelbart efter distributionen.
Vilken trafik genererar Defender för identitet i nätverket från domänkontrollanter och varför?
Defender for Identity genererar trafik från domänkontrollanter till datorer i organisationen i något av tre scenarier:
Nätverksnamnmatchning Defender for Identity samlar in trafik och händelser, inlärning och profilering av användare och datoraktiviteter i nätverket. Om du vill lära dig och profilera aktiviteter enligt datorer i organisationen måste Defender for Identity matcha IP-adresser till datorkonton. Om du vill matcha IP-adresser till datornamnen Defender för identitetssensorer begär du IP-adressen för datornamnet bakom IP-adressen.
Begäranden görs med någon av fyra metoder:
- NTLM över RPC (TCP-port 135)
- NetBIOS (UDP-port 137)
- RDP (TCP-port 3389)
- Fråga DNS-servern med omvänd DNS-sökning av IP-adressen (UDP 53)
När du har hämtat datornamnet kontrollerar Defender for Identity-sensorer informationen i Active Directory för att se om det finns ett korrelerat datorobjekt med samma datornamn. Om en matchning hittas görs en association mellan IP-adressen och det matchade datorobjektet.
Lateral rörelseväg (LMP) För att skapa potentiella LMP:er för känsliga användare kräver Defender for Identity information om lokala administratörer på datorer. I det här scenariot använder Defender for Identity-sensorn SAM-R (TCP 445) för att fråga den IP-adress som identifieras i nätverkstrafiken för att fastställa datorns lokala administratörer. Mer information om Defender för identitet och SAM-R finns i Konfigurera SAM-R-behörigheter som krävs.
Fråga Active Directory med LDAP för entitetsdata Defender för identitetssensorer och fråga domänkontrollanten från domänen där entiteten tillhör. Det kan vara samma sensor eller en annan domänkontrollant från den domänen.
| Protokoll | Tjänst | Port | Källa | Riktning |
|---|---|---|---|---|
| LDAP | TCP och UDP | 389 | Domänkontrollanter | Utgående |
| Säker LDAP (LDAPS) | TCP | 636 | Domänkontrollanter | Utgående |
| LDAP till global katalog | TCP | 3268 | Domänkontrollanter | Utgående |
| LDAPS till global katalog | TCP | 3269 | Domänkontrollanter | Utgående |
Varför visar inte aktiviteter alltid både källanvändaren och datorn?
Defender for Identity samlar in aktiviteter över många olika protokoll. I vissa fall tar Defender för identitet inte emot data från källanvändaren i trafiken. Defender for Identity försöker korrelera användarens session med aktiviteten, och när försöket lyckas visas aktivitetens källanvändare. När användarkorrelationsförsök misslyckas visas endast källdatorn.