Microsoft Defender for Identity nejčastější dotazy

Defender for Identity detekuje známé škodlivé útoky a techniky, problémy se zabezpečením a rizika vůči vaší síti. Úplný seznam detekcí defenderu for Identity najdete v tématu Výstrahy zabezpečení defenderu for Identity.

Defender for Identity shromažďuje a ukládá informace z nakonfigurovaných serverů, jako jsou řadiče domény, členské servery atd. Data se ukládají v databázi specifické pro danou službu pro účely správy, sledování a generování sestav.

Mezi shromažďované informace patří:

• Síťový provoz do a z řadičů domény, jako je ověřování protokolem Kerberos, ověřování NTLM nebo dotazy DNS.
• Protokoly zabezpečení, například události zabezpečení Windows.
• Informace služby Active Directory, jako je struktura, podsítě nebo lokality.
• Informace o entitách, jako jsou jména, e-mailové adresy a telefonní čísla.

Microsoft používá tato data k:

• Proaktivně identifikujte indikátory útoků (IOA) ve vaší organizaci.
• Vygenerujte výstrahy, pokud byl zjištěn možný útok.
• Poskytněte svým operacím zabezpečení přehled o entitách souvisejících se signály hrozeb z vaší sítě, což vám umožní prozkoumat a prozkoumat přítomnost bezpečnostních hrozeb v síti.

Společnost Microsoft nedodává vaše data pro účely reklamy ani pro jiné účely, než je poskytování služby.

Defender for Identity v současné době podporuje přidání až 30 různých přihlašovacích údajů adresářové služby pro podporu prostředí služby Active Directory s nedůvěryhodnými doménovými strukturami. Pokud potřebujete více účtů, otevřete lístek podpory.

Kromě analýzy provozu služby Active Directory pomocí technologie hloubkové kontroly paketů shromažďuje Defender for Identity také relevantní události Windows z řadiče domény a vytváří profily entit na základě informací z Active Directory Domain Services. Defender for Identity také podporuje příjem účtů PROTOKOLU RADIUS protokolů VPN od různých dodavatelů (Microsoft, Cisco, F5 a Checkpoint).

Ne. Defender for Identity monitoruje všechna zařízení v síti, která provádějí žádosti o ověření a autorizaci ve službě Active Directory, včetně zařízení jiných než Windows a mobilních zařízení.

Ano. Vzhledem k tomu, že účty počítačů a další entity je možné použít k provádění škodlivých aktivit, Defender for Identity monitoruje chování všech účtů počítačů a všech ostatních entit v prostředí.

ATA je samostatné místní řešení s několika komponentami, jako je ATA Center, které vyžaduje vyhrazený hardware místně.

Defender for Identity je cloudové řešení zabezpečení, které využívá vaše místní Active Directory signály. Řešení je vysoce škálovatelné a často se aktualizuje.

Konečná verze ATA je obecně dostupná. Hlavní fáze technické podpory ATA skončila 12. ledna 2021. Rozšířená podpora bude pokračovat až do ledna 2026. Další informace najdete v našem blogu.

Na rozdíl od senzoru ATA používá senzor Defenderu for Identity také zdroje dat, jako je trasování událostí pro Windows (ETW), které umožňuje defenderu pro identitu poskytovat další detekce.

Mezi časté aktualizace Defenderu for Identity patří následující funkce a možnosti:

• Podpora prostředí s více doménovými strukturami: Poskytuje organizacím viditelnost napříč doménovými strukturami AD.

• Posouzení stavu skóre zabezpečení Microsoftu: Identifikuje běžné chybné konfigurace a zneužitelné komponenty a poskytuje nápravné cesty, které zmenšují prostor pro útoky.

• Funkce UEBA: Přehledy o riziku jednotlivých uživatelů prostřednictvím vyhodnocování priorit šetření uživatelů. Skóre může pomoct nástroji SecOps při vyšetřování a analytikům porozumět neobvyklým aktivitám pro uživatele a organizaci.

• Nativní integrace: Integruje se s Microsoft Defender for Cloud Apps a Microsoft Entra ID Protection a poskytuje hybridní pohled na to, co se děje v místním i hybridním prostředí.

• Přispívá k Microsoft Defender XDR: Přispívá k datům výstrah a hrozeb do Microsoft Defender XDR. Microsoft Defender XDR používá portfolio zabezpečení Microsoftu 365 (identity, koncové body, data a aplikace) k automatické analýze dat o hrozbách mezi doménami a vytváří úplný přehled o každém útoku na jednom řídicím panelu.

  S touto šířkou a hloubkou přehlednosti se mohou Defenders zaměřit na kritické hrozby a hledat sofistikovaná porušení zabezpečení. Defenders může důvěřovat tomu, že výkonná automatizace Microsoft Defender XDR zastaví útoky kdekoli v řetězci killů a vrátí organizaci do zabezpečeného stavu.

Defender for Identity je k dispozici jako součást sady Enterprise Mobility + Security 5 (EMS E5) a jako samostatná licence. Licenci můžete získat přímo na portálu Microsoft 365 nebo prostřednictvím licenčního modelu Cloud Solution Partner (CSP).

Informace o licenčních požadavcích na Defender for Identity najdete v tématu Pokyny k licencování Defenderu for Identity.

Ano, vaše data jsou izolovaná prostřednictvím ověřování přístupu a logického oddělení na základě identifikátorů zákazníků. Každý zákazník má přístup pouze k datům shromážděným od vlastní organizace a obecným datům, která poskytuje Microsoft.

Ne. Pracovní prostor Defenderu for Identity se po vytvoření automaticky uloží v oblasti Azure, která je nejblíže geografickému umístění vašeho Microsoft Entra tenanta. Po vytvoření pracovního prostoru Defenderu for Identity se data defenderu for Identity nedají přesunout do jiné oblasti.

Vývojáři a správci Microsoftu mají záměrně dostatečná oprávnění k plnění svých přiřazených povinností k provozu a vývoji služby. Microsoft nasazuje kombinace preventivních, detektivních a reaktivních kontrolních mechanismů, včetně následujících mechanismů, které pomáhají chránit před neoprávněnými aktivitami vývojáře nebo správy:

• Těsné řízení přístupu k citlivým datům
• Kombinace ovládacích prvků, které výrazně zlepšují nezávislé zjišťování škodlivých aktivit
• Více úrovní monitorování, protokolování a generování sestav

Microsoft kromě toho provádí kontroly na základě dokumentace některých pracovníků provozu a omezuje přístup k aplikacím, systémům a síťové infrastruktuře v poměru k úrovni ověření na pozadí. Provozní pracovníci se řídí formálním procesem, když se od nich vyžaduje přístup k účtu zákazníka nebo souvisejícím informacím při plnění svých povinností.

Doporučujeme, abyste měli senzor Defenderu for Identity nebo samostatný senzor pro každý z řadičů domény. Další informace najdete v tématu Nastavení velikosti senzoru defenderu for Identity.

I když síťové protokoly se šifrovaným provozem, jako jsou AtSvc a WMI, nejsou dešifrované, senzory provoz stále analyzují.

Defender for Identity podporuje obranu protokolu Kerberos, označovanou také jako fast (Flexible Authentication Secure Tunneling). Výjimkou z této podpory je detekce hodnoty hash over-pass, která nefunguje s obranou protokolu Kerberos.

Senzor Defenderu for Identity může pokrývat většinu virtuálních řadičů domény. Další informace najdete v tématu Plánování kapacity defenderu for Identity.

Pokud senzor Defenderu for Identity nemůže pokrýt virtuální řadič domény, použijte místo toho virtuální nebo fyzický samostatný senzor Defenderu for Identity. Další informace najdete v tématu Konfigurace zrcadlení portů.

Nejjednodušší způsob je mít na každém hostiteli, kde existuje virtuální řadič domény, samostatný senzor služby Defender for Identity.

Pokud se virtuální řadiče domény přesunují mezi hostiteli, musíte provést jeden z následujících kroků:

• Když se virtuální řadič domény přesune na jiného hostitele, předem nakonfigurujte samostatný senzor Defenderu for Identity v daném hostiteli tak, aby přijímal provoz z nedávno přesunutého virtuálního řadiče domény.

• Ujistěte se, že jste přidružili samostatný virtuální senzor Defenderu for Identity k virtuálnímu řadiči domény, aby se při přesunutí přesunul samostatný senzor Defenderu for Identity s ním.

• Existuje několik virtuálních přepínačů, které můžou odesílat provoz mezi hostiteli.

Aby vaše řadiče domény komunikují s cloudovou službou, musíte v bráně firewall nebo proxy serveru otevřít port *.atp.azure.com 443. Další informace najdete v tématu Konfigurace proxy serveru nebo brány firewall pro povolení komunikace se senzory Defenderu for Identity.

Ano, senzor Defenderu for Identity můžete použít k monitorování řadičů domény, které jsou v libovolném řešení IaaS.

Defender for Identity podporuje prostředí s více doménovými strukturami a více doménových struktur. Další informace a požadavky na důvěryhodnost najdete v tématu Podpora více doménových struktur.

Ano, můžete zobrazit celkový stav nasazení a všechny konkrétní problémy související s konfigurací, připojením atd. V případě problémů se stavem Defenderu for Identity se zobrazí upozornění, když k těmto událostem dochází.

Microsoft Defender for Identity poskytuje hodnotu zabezpečení pro všechny účty služby Active Directory, včetně těch, které se nesynchronizují s Microsoft Entra ID. Uživatelské účty, které se synchronizují s Microsoft Entra ID, budou také využívat hodnotu zabezpečení poskytovanou Microsoft Entra ID (na základě úrovně licence) a bodování priority šetření.

Tým Microsoft Defender for Identity doporučuje, aby všichni zákazníci místo ovladačů WinPcap používali ovladač Npcap. Počínaje Defenderem for Identity verze 2.184 nainstaluje instalační balíček místo ovladačů WinPcap 4.1.3 OEM Npcap 1.0.

WinPcap se už nepodporuje, a protože se už nevyvíjí, ovladač už nejde optimalizovat pro senzor Defenderu for Identity. Navíc pokud v budoucnu dojde k problému s ovladačem WinPcap, neexistují žádné možnosti opravy.

Podporuje se npcap, zatímco WinPcap už není podporovaným produktem.

Senzor MDI vyžaduje Npcap 1.0 nebo novější. Instalační balíček senzoru nainstaluje verzi 1.0, pokud není nainstalovaná žádná jiná verze npcapu. Pokud už máte npcap nainstalovaný (z důvodu jiných požadavků na software nebo z jakéhokoli jiného důvodu), je důležité zajistit, aby byl nainstalovaný s požadovaným nastavením pro MDI.

Ano. Aby bylo možné odebrat ovladače WinPcap, je nutné senzor odebrat ručně. Při přeinstalaci pomocí nejnovějšího balíčku se nainstalují ovladače Npcap.

Můžete vidět, že npcap OEM je nainstalovaný prostřednictvím přidat nebo odebrat programy (appwiz.cpl), a pokud došlo k problému s otevřeným stavem , automaticky se zavře.

Ne, npcap má výjimku z obvyklého limitu pěti instalací. Můžete ho nainstalovat do neomezených systémů, kde se používá jenom se senzorem Defender for Identity.

Podívejte se na licenční smlouvu Npcap a vyhledejte Microsoft Defender for Identity.

Ne, npcap verze 1.00 podporuje pouze senzor Microsoft Defender for Identity.

Ne, verzi OEM nemusíte kupovat. Stáhněte si instalační balíček senzoru verze 2.156 a novější z konzoly Defenderu for Identity, která obsahuje verzi OEM npcap.

• Spustitelné soubory Npcap můžete získat stažením nejnovějšího balíčku pro nasazení senzoru Defender for Identity.

• Pokud jste senzor ještě nenainstalovali, nainstalujte ho ve verzi 2.184 nebo vyšší.

• Pokud jste už senzor nainstalovali s WinPcap a potřebujete ho aktualizovat, aby používal Npcap:

  1. Odinstalujte senzor. Použijte buď Přidat nebo odebrat programy z ovládacího panelu Windows (appwiz.cpl), nebo spusťte následující příkaz pro odinstalaci: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. V případě potřeby odinstalujte WinPcap. Tento krok je relevantní pouze v případě, že byl nástroj WinPcap před instalací senzoru nainstalován ručně. V takovém případě byste museli ručně odebrat WinPcap.

  3. Přeinstalujte senzor s použitím verze 2.184 nebo vyšší.

• Pokud chcete npcap nainstalovat ručně: Nainstalujte Npcap s následujícími možnostmi:

  • Pokud používáte instalační program grafického uživatelského rozhraní, zrušte zaškrtnutí možnosti podpory zpětné smyčky a vyberte Režim WinPcap . Ujistěte se, že není zaškrtnutá možnost Omezit přístup ovladače Npcap pouze na správce .
  • Pokud používáte příkazový řádek, spusťte následující příkaz: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Pokud chcete npcap upgradovat ručně:

  1. Zastavte služby senzorů Defenderu for Identity, AATPSensorUpdater a AATPSensor. Běžet: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Odeberte npcap pomocí možnosti Přidat nebo odebrat programy v Ovládacích panelech Windows (appwiz.cpl).

  3. Nainstalujte npcap s následujícími možnostmi:

     • Pokud používáte instalační program grafického uživatelského rozhraní, zrušte zaškrtnutí možnosti podpory zpětné smyčky a vyberte Režim WinPcap . Ujistěte se, že není zaškrtnutá možnost Omezit přístup ovladače Npcap pouze na správce .

     • Pokud používáte příkazový řádek, spusťte následující příkaz: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Spusťte služby senzorů Defenderu for Identity, AATPSensorUpdater a AATPSensor. Běžet: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity je možné nakonfigurovat tak, aby v případě problémů se stavem a zjištění výstrahy zabezpečení odesílal upozornění Syslogu na libovolný server SIEM ve formátu CEF. Další informace najdete v referenčních informacích k protokolu SIEM.

Účty se považují za citlivé, pokud je účet členem skupin, které jsou označené jako citlivé (například Domain Admins).

Pokud chcete zjistit, proč je účet citlivý, můžete zkontrolovat jeho členství ve skupinách a zjistit, ke kterým citlivým skupinám patří. Skupina, do které patří, může být také citlivá kvůli jiné skupině, takže by se měl provést stejný proces, dokud nenajdete skupinu citlivosti nejvyšší úrovně. Účty můžete také ručně označit jako citlivé.

S Defenderem for Identity není potřeba vytvářet pravidla, prahové hodnoty ani směrné plány a pak je dolaďovat. Defender for Identity analyzuje chování uživatelů, zařízení a prostředků a také jejich vztah k sobě a dokáže rychle detekovat podezřelé aktivity a známé útoky. Tři týdny po nasazení začne Defender for Identity zjišťovat podezřelé aktivity chování. Na druhou stranu Defender for Identity začne detekovat známé škodlivé útoky a problémy se zabezpečením okamžitě po nasazení.

Defender for Identity generuje provoz z řadičů domény do počítačů v organizaci v jednom ze tří scénářů:

• Překlad síťových názvů Defender for Identity zaznamenává provoz a události, učení a profilaci uživatelů a počítačových aktivit v síti. Aby se služba Defender for Identity naučila a profilovat aktivity podle počítačů v organizaci, musí přeložit IP adresy na účty počítačů. Pokud chcete ip adresy přeložit na názvy počítačů Defender for Identity sensor, vyžádejte si IP adresu pro název počítače za IP adresou.

  Požadavky se provádějí pomocí jedné ze čtyř metod:

  • PROTOKOL NTLM přes RPC (port TCP 135)
  • NetBIOS (port UDP 137)
  • RDP (port TCP 3389)
  • Dotazování serveru DNS pomocí zpětného vyhledávání DNS IP adresy (UDP 53)

  Po získání názvu počítače senzory Defenderu for Identity křížově zkontrolují podrobnosti ve službě Active Directory a zjistí, jestli existuje korelovaný objekt počítače se stejným názvem počítače. Pokud se najde shoda, vytvoří se přidružení mezi IP adresou a objektem odpovídajícího počítače.

• Cesta laterálního pohybu (LMP) K vytváření potenciálních LMP pro citlivé uživatele vyžaduje Defender for Identity informace o místních správcích na počítačích. V tomto scénáři používá senzor Defenderu for Identity sam-R (TCP 445) k dotazování IP adresy identifikované v síťovém provozu, aby bylo možné určit místní správce počítače. Další informace o Defenderu for Identity a SAM-R najdete v tématu Konfigurace požadovaných oprávnění SAM-R.

• Dotazování služby Active Directory pomocí protokolu LDAP pro senzory dat entit Defenderu for Identity dotazuje řadič domény z domény, do které entita patří. Může to být stejný senzor nebo jiný řadič domény z této domény.

Defender for Identity zachycuje aktivity v mnoha různých protokolech. V některých případech Defender for Identity nepřijímá data zdrojového uživatele v provozu. Defender for Identity se pokusí korelovat relaci uživatele s aktivitou, a když je pokus úspěšný, zobrazí se zdrojový uživatel aktivity. Pokud pokusy o korelaci uživatele selžou, zobrazí se pouze zdrojový počítač.

Senzor Defenderu for Identity může aktivovat volání DNS aatp.dns.detection.local v reakci na určité příchozí aktivity DNS na počítač monitorovaný mdi.

Osobní data uživatelů v Defenderu for Identity jsou odvozená z objektu uživatele v active directory organizace a nedají se aktualizovat přímo v Defenderu for Identity.

Osobní data můžete exportovat z Defenderu for Identity pomocí stejné metody jako při exportu informací o výstrahách zabezpečení. Další informace najdete v tématu Kontrola výstrah zabezpečení.

Pomocí vyhledávacího panelu Microsoft Defender portálu vyhledejte identifikovatelné osobní údaje, například konkrétního uživatele nebo počítače. Další informace najdete v tématu Zkoumání prostředků.

Defender for Identity implementuje audit změn osobních údajů, včetně odstranění a exportu záznamů osobních údajů. Doba uchovávání záznamu auditu je 90 dnů. Auditování v Defenderu for Identity je back-endová funkce, která není přístupná zákazníkům.

Po odstranění uživatele ze služby Active Directory organizace nástroj Defender for Identity automaticky odstraní profil uživatele a všechny související síťové aktivity v souladu s obecnými zásadami uchovávání dat služby Defender for Identity, pokud data nejsou součástí aktivního incidentu. Do kontejneru Odstraněné objekty doporučujeme přidat oprávnění jen pro čtení. Další informace najdete v tématu Udělení požadovaných oprávnění DSA.

Podívejte se na nejnovější chybu v aktuálním protokolu chyb (kde je ve složce Logs nainstalovaný Defender for Identity).

Související obsah

• Požadavky na Defender for Identity
• Plánování kapacity služby Defender for Identity
• Konfigurace shromažďování událostí
• Konfigurace předávání událostí systému Windows
• Řešení potíží
• Podívejte se na fórum Defender for Identity!