Microsoft Defender for Identity ofte stillede spørgsmål

Defender for Identity registrerer kendte skadelige angreb og teknikker, sikkerhedsproblemer og risici mod dit netværk. Du kan se den komplette liste over Defender for Identity Detections under Defender for Identity Security Alerts.

Defender for Identity indsamler og gemmer oplysninger fra dine konfigurerede servere, f.eks. domænecontrollere, medlemsservere osv. Data gemmes i en database, der er specifik for tjenesten med henblik på administration, sporing og rapportering.

De indsamlede oplysninger omfatter:

• Netværkstrafik til og fra domænecontrollere, f.eks. Kerberos-godkendelse, NTLM-godkendelse eller DNS-forespørgsler.
• Sikkerhedslogge, f.eks. Windows-sikkerhedshændelser.
• Active Directory-oplysninger, f.eks. struktur, undernet eller websteder.
• Enhedsoplysninger, f.eks. navne, mailadresser og telefonnumre.

Microsoft bruger disse data til at:

• Identificer proaktivt indikatorer for angreb (IOA'er) i din organisation.
• Generér beskeder, hvis der blev registreret et muligt angreb.
• Giv dine sikkerhedshandlinger adgang til enheder, der er relateret til trusselssignaler fra dit netværk, så du kan undersøge og udforske tilstedeværelsen af sikkerhedstrusler på netværket.

Microsoft udtrække ikke dine data til annoncering eller til andre formål end at levere tjenesten til dig.

Defender for Identity understøtter i øjeblikket tilføjelse af op til 30 forskellige legitimationsoplysninger til Directory Service for at understøtte Active Directory-miljøer med skove, der ikke er tillid til. Hvis du har brug for flere konti, skal du åbne en supportanmodning.

Ud over at analysere Active Directory-trafik ved hjælp af deep packet inspection-teknologi indsamler Defender for Identity også relevante Windows-hændelser fra domænecontrolleren og opretter enhedsprofiler baseret på oplysninger fra Active Directory-domæneservices. Defender for Identity understøtter også modtagelse af RADIUS-bogføring af VPN-logge fra forskellige leverandører (Microsoft, Cisco, F5 og Checkpoint).

Nej. Defender for Identity overvåger alle enheder i netværket, der udfører godkendelses- og godkendelsesanmodninger mod Active Directory, herunder ikke-Windows- og mobilenheder.

Ja. Da computerkonti og andre objekter kan bruges til at udføre skadelige aktiviteter, overvåger Defender for Identity alle computerkontis funktionsmåde og alle andre enheder i miljøet.

ATA er en separat løsning i det lokale miljø med flere komponenter, f.eks. ATA Center, der kræver dedikeret hardware i det lokale miljø.

Defender for Identity er en cloudbaseret sikkerhedsløsning, der bruger dine Active Directory i det lokale miljø signaler. Løsningen er yderst skalerbar og opdateres ofte.

Den endelige version af ATA er offentlig tilgængelig. ATA ophørt med generel support den 12. januar 2021. Udvidet support fortsætter indtil januar 2026. Du kan få flere oplysninger på vores blog.

I modsætning til ATA-sensoren bruger Defender for Identity-sensoren også datakilder som Event Tracing for Windows (ETW), så Defender for Identity kan levere ekstra registreringer.

Defender for Identity's hyppige opdateringer omfatter følgende funktioner og funktioner:

• Understøttelse af miljøer med flere områder: Giver organisationer synlighed på tværs af AD-skove.

• Vurderinger af Microsoft Secure Score-stilling: Identificerer almindelige fejlkonfigurationer og komponenter, der kan udnyttes, og leverer afhjælpningsstier for at reducere angrebsoverfladen.

• UEBA-funktioner: Indsigt i individuel brugerrisiko via prioriteret scoring af brugerundersøgelse. Scoren kan hjælpe SecOps med deres undersøgelser og hjælpe analytikere med at forstå usædvanlige aktiviteter for brugeren og organisationen.

• Oprindelige integrationer: Kan integreres med Microsoft Defender for Cloud Apps og Microsoft Entra ID-beskyttelse for at give en hybrid visning af, hvad der sker i både det lokale miljø og hybridmiljøer.

• Bidrager til Microsoft Defender XDR: Bidrager med besked- og trusselsdata til Microsoft Defender XDR. Microsoft Defender XDR bruger Microsoft 365-sikkerhedsporteføljen (identiteter, slutpunkter, data og programmer) til automatisk at analysere data på tværs af domæner og opbygge et komplet billede af hvert angreb i et enkelt dashboard.

  Med denne bredde og dybde af klarhed kan Defenders fokusere på kritiske trusler og jage efter avancerede brud. Defenders kan stole på, at Microsoft Defender XDR's effektive automatisering stopper angreb hvor som helst i kill-kæden og returnerer organisationen til en sikker tilstand.

Defender for Identity er tilgængelig som en del af Enterprise Mobility + Security 5-pakken (EMS E5) og som en separat licens. Du kan få en licens direkte fra Microsoft 365-portalen eller via CSP-licensmodellen (Cloud Solution Partner).

Du kan finde oplysninger om krav til Defender for Identity-licenser under Vejledning til Defender for Identity-licenser.

Ja, dine data isoleres via adgangsgodkendelse og logisk adskillelse baseret på kunde-id'er. Hver kunde kan kun få adgang til data, der indsamles fra deres egen organisation, og generiske data, som Microsoft leverer.

Nej. Når arbejdsområdet Defender for Identity oprettes, gemmes det automatisk i det Azure-område, der er tættest på din Microsoft Entra lejers geografiske placering. Når arbejdsområdet Defender for Identity er oprettet, kan Defender for Identity-data ikke flyttes til et andet område.

Microsoft-udviklere og -administratorer har til design fået tilstrækkelige rettigheder til at udføre deres tildelte opgaver for at drive og udvikle tjenesten. Microsoft udruller kombinationer af forebyggende, detektiv- og reaktive kontrolelementer, herunder følgende mekanismer, der hjælper med at beskytte mod uautoriseret udvikler- og/eller administrativ aktivitet:

• Tæt adgangskontrol til følsomme data
• Kombinationer af kontrolelementer, der i høj grad forbedrer uafhængig registrering af skadelig aktivitet
• Flere niveauer af overvågning, logføring og rapportering

Derudover udfører Microsoft kontrol i baggrunden af visse driftspersonale og begrænser adgangen til programmer, systemer og netværksinfrastruktur i forhold til baggrundsbekræftelsen. Operations personale følger en formel proces, når de er forpligtet til at få adgang til en kundes konto eller relaterede oplysninger under udførelsen af deres opgaver.

Vi anbefaler, at du har en Defender for Identity-sensor eller en separat sensor for hver af dine domænecontrollere. Du kan få flere oplysninger under Størrelse på identitetssensor i Defender for Identity.

Selvom netværksprotokoller med krypteret trafik, f.eks. AtSvc og WMI, ikke dekrypteres, analyserer sensorer stadig trafikken.

Defender for Identity understøtter Kerberos Armoring, også kendt som Flexible Authentication Secure Tunneling (FAST). Undtagelsen til denne support er over-pass hash-registrering, som ikke virker med Kerberos Armoring.

Defender for Identity-sensoren kan dække de fleste virtuelle domænecontrollere. Du kan få flere oplysninger under Defender for Identity Capacity Planning (Forsvar for planlægning af identitetskapacitet).

Hvis Defender for Identity-sensoren ikke kan dække en virtuel domænecontroller, skal du i stedet bruge enten en virtuel eller fysisk Defender for Identity-sensor. Du kan få flere oplysninger under Konfigurer portspejling.

Den nemmeste måde er at have en virtuel Defender for Identity-separat sensor på alle værter, hvor der findes en virtuel domænecontroller.

Hvis dine virtuelle domænecontrollere flytter mellem værter, skal du udføre et af følgende trin:

• Når den virtuelle domænecontroller flyttes til en anden vært, skal du forudkonfigurere den separate Defender for Identity-sensor i den pågældende vært for at modtage trafik fra den senest flyttede virtuelle domænecontroller.

• Sørg for, at du har knyttet den virtuelle Defender for Identity-enkeltstående sensor til den virtuelle domænecontroller, så den separate Defender for Identity-sensor flytter med den, hvis den flyttes.

• Der er nogle virtuelle parametre, der kan sende trafik mellem værter.

Hvis dine domænecontrollere skal kunne kommunikere med cloudtjenesten, skal du åbne: *.atp.azure.com port 443 i din firewall/proxy. Du kan få flere oplysninger under Konfigurer din proxy eller firewall for at aktivere kommunikation med Defender for Identity-sensorer.

Ja, du kan bruge Defender for Identity-sensoren til at overvåge domænecontrollere, der findes i en hvilken som helst IaaS-løsning.

Defender for Identity understøtter miljøer med flere domæner og flere skove. Du kan få flere oplysninger og tillidskrav under Understøttelse af flere områder.

Ja, du kan få vist den overordnede installationstilstand og eventuelle specifikke problemer, der er relateret til konfiguration, forbindelse osv. Du får besked, efterhånden som disse hændelser opstår i forbindelse med problemer med identitetstilstand.

Microsoft Defender for Identity giver sikkerhedsværdi for alle Active Directory-konti, herunder dem, der ikke synkroniseres med Microsoft Entra ID. Brugerkonti, der synkroniseres til Microsoft Entra ID, vil også drage fordel af den sikkerhedsværdi, der leveres af Microsoft Entra ID (baseret på licensniveau) og score for undersøgelsesprioritet.

Det Microsoft Defender for Identity team anbefaler, at alle kunder bruger Npcap-driveren i stedet for WinPcap-driverne. Fra og med Defender for Identity version 2.184 installerer installationspakken Npcap 1.0 OEM i stedet for WinPcap 4.1.3-drivere.

WinPcap understøttes ikke længere, og da den ikke længere udvikles, kan driveren ikke længere optimeres til Defender for Identity-sensoren. Hvis der fremover er et problem med WinPcap-driveren, er der desuden ingen muligheder for at løse problemet.

Npcap understøttes, mens WinPcap ikke længere er et understøttet produkt.

MDI-sensoren kræver Npcap 1.0 eller nyere. Sensorinstallationspakken installerer version 1.0, hvis der ikke er installeret nogen anden version af Npcap. Hvis du allerede har Npcap installeret (på grund af andre softwarekrav eller andre årsager), er det vigtigt at sikre, at den version 1.0 eller nyere, og at den er installeret med de påkrævede indstillinger for MDI.

Ja. Det er nødvendigt at fjerne sensoren manuelt for at fjerne WinPcap-driverne. Geninstallationen med den nyeste pakke installerer Npcap-driverne.

Du kan se, at 'Npcap OEM' er installeret via Tilføj/fjern programmer (appwiz.cpl), og hvis der var et åbent tilstandsproblem til dette, lukkes det automatisk.

Nej, Npcap har en undtagelse fra den normale grænse på fem installationer. Du kan installere den på ubegrænsede systemer, hvor den kun bruges sammen med Defender for Identity-sensoren.

Se Npcap-licensaftalen her, og søg efter Microsoft Defender for Identity.

Nej, kun den Microsoft Defender for Identity sensor understøtter Npcap version 1.00.

Nej, du behøver ikke at købe OEM-versionen. Download sensorinstallationspakken version 2.156 og nyere fra Defender for Identity-konsollen, som indeholder OEM-versionen af Npcap.

• Du kan hente Npcap-eksekverbare filer ved at downloade den nyeste installationspakke af Defender for Identity-sensoren.

• Hvis du endnu ikke har installeret sensoren, skal du installere sensoren ved hjælp af version 2.184 eller nyere.

• Hvis du allerede har installeret sensoren med WinPcap og skal opdateres for at bruge Npcap:

  1. Fjern sensoren. Brug enten Tilføj/fjern programmer fra Windows Kontrolpanel (appwiz.cpl), eller kør følgende fjernelseskommando: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Fjern WinPcap, hvis det er nødvendigt. Dette trin er kun relevant, hvis WinPcap blev installeret manuelt før sensorinstallationen. I dette tilfælde skal du fjerne WinPcap manuelt.

  3. Geninstaller sensoren ved hjælp af version 2.184 eller nyere.

• Hvis du vil installere Npcap manuelt: Installér Npcap med følgende indstillinger:

  • Hvis du bruger den grafiske brugergrænseflade, skal du fjerne markeringen i indstillingen understøttelse af tilbagekobling og vælge WinPcap-tilstand . Sørg for, at indstillingen Begræns npcap-driverens adgang til administratorer ikke er markeret.
  • Hvis du bruger kommandolinjen, skal du køre: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Hvis du vil opgradere Npcap manuelt:

  1. Stop Defender for Identity Sensor Services, AATPSensorUpdater og AATPSensor. Løbe: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Fjern Npcap ved hjælp af Tilføj/fjern programmer i Windows Kontrolpanel (appwiz.cpl).

  3. Installér Npcap med følgende indstillinger:

     • Hvis du bruger den grafiske brugergrænseflade, skal du fjerne markeringen i indstillingen understøttelse af tilbagekobling og vælge WinPcap-tilstand . Sørg for, at indstillingen Begræns npcap-driverens adgang til administratorer ikke er markeret.

     • Hvis du bruger kommandolinjen, skal du køre: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Start Defender for Identity Sensor Services, AATPSensorUpdater og AATPSensor. Løbe: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity kan konfigureres til at sende en Syslog-besked til en SIEM-server ved hjælp af CEF-formatet, til tilstandsproblemer, og når der registreres en sikkerhedsadvarsel. Du kan finde flere oplysninger i SIEM-logreferencen.

Konti anses for at være følsomme, når en konto er medlem af grupper, der er angivet som følsomme (f.eks. "Domæneadministratorer").

For at forstå, hvorfor en konto er følsom, kan du gennemse dens gruppemedlemskab for at forstå, hvilke følsomme grupper den tilhører. Den gruppe, den tilhører, kan også være følsom på grund af en anden gruppe, så den samme proces skal udføres, indtil du finder den følsomme gruppe på højeste niveau. Alternativt kan konti markeres manuelt som følsomme.

Med Defender for Identity er det ikke nødvendigt at oprette regler, tærskler eller grundlinjer og derefter finjustere. Defender for Identity analyserer funktionsmåderne blandt brugere, enheder og ressourcer samt deres relation til hinanden og kan hurtigt registrere mistænkelig aktivitet og kendte angreb. Tre uger efter udrulningen begynder Defender for Identity at registrere adfærdsmæssige mistænkelige aktiviteter. På den anden side vil Defender for Identity begynde at registrere kendte ondsindede angreb og sikkerhedsproblemer umiddelbart efter udrulningen.

Defender for Identity genererer trafik fra domænecontrollere til computere i organisationen i et af tre scenarier:

• Opløsning af netværksnavn Defender for Identity registrerer trafik og hændelser, lærings- og profileringsbrugere og computeraktiviteter i netværket. Hvis du vil lære og profilere aktiviteter i henhold til computere i organisationen, skal Defender for Identity løse IP-adresser til computerkonti. Hvis du vil oversætte IP-adresser til computernavne Defender for Identity-sensorer, skal du anmode om IP-adressen for computernavnet bag IP-adressen.

  Anmodninger foretages ved hjælp af en af fire metoder:

  • NTLM via RPC (TCP-port 135)
  • NetBIOS (UDP-port 137)
  • RDP (TCP-port 3389)
  • Forespørg DNS-serveren ved hjælp af omvendt DNS-opslag i IP-adressen (UDP 53)

  Når du har fået computernavnet, krydstjek Defender for Identity-sensorer oplysningerne i Active Directory for at se, om der er et korreleret computerobjekt med det samme computernavn. Hvis der findes et match, oprettes der en tilknytning mellem IP-adressen og det tilsvarende computerobjekt.

• Tværgående bevægelsessti (LMP) Hvis du vil oprette potentielle LSP'er til følsomme brugere, kræver Defender for Identity oplysninger om de lokale administratorer på computere. I dette scenarie bruger Defender for Identity-sensoren SAM-R (TCP 445) til at forespørge den IP-adresse, der er identificeret i netværkstrafikken, for at bestemme computerens lokale administratorer. Hvis du vil vide mere om Defender for Identity og SAM-R, skal du se Konfigurer de påkrævede SAM-R-tilladelser.

• Forespørgsel om Active Directory ved hjælp af LDAP for objektdata Defender for Identity-sensorer forespørger domænecontrolleren fra det domæne, hvor enheden tilhører. Det kan være den samme sensor eller en anden domænecontroller fra det pågældende domæne.

Defender for Identity registrerer aktiviteter over mange forskellige protokoller. I nogle tilfælde modtager Defender for Identity ikke kildebrugerens data i trafikken. Defender for Identity forsøger at korrelere brugerens session med aktiviteten, og når forsøget lykkes, vises kildebrugeren af aktiviteten. Når der opstår fejl i brugerkorrelationsforsøg, er det kun kildecomputeren, der vises.

Defender for Identity-sensoren kan udløse et DNS-kald til "aatp.dns.detection.local" som svar på visse indgående DNS-aktiviteter på den MDI-overvågede maskine.

Personlige brugerdata i Defender for Identity er afledt af brugerens objekt i organisationens Active Directory og kan ikke opdateres direkte i Defender for Identity.

Du kan eksportere personlige data fra Defender for Identity ved hjælp af den samme metode som eksport af sikkerhedsadvarselsoplysninger. Du kan få flere oplysninger under Gennemse sikkerhedsbeskeder.

Brug søgelinjen i Microsoft Defender portal til at søge efter identificerbare personlige data, f.eks. en bestemt bruger eller computer. Du kan få flere oplysninger under Undersøg aktiver.

Defender for Identity implementerer overvågning af ændringer af personlige data, herunder sletning og eksport af personlige dataposter. Opbevaringstiden for overvågningsspor er 90 dage. Overvågning i Defender for Identity er en back end-funktion, der ikke er tilgængelig for kunder.

Når en bruger er slettet fra organisationens Active Directory, sletter Defender for Identity automatisk brugerprofilen og enhver relateret netværksaktivitet i overensstemmelse med Defender for Identity's generelle politik for dataopbevaring, medmindre dataene er en del af en aktiv hændelse. Vi anbefaler, at du tilføjer skrivebeskyttede tilladelser til objektbeholderen Slettede objekter . Du kan få flere oplysninger under Tildel påkrævede DSA-tilladelser.

Kig på den seneste fejl i den aktuelle fejllog (hvor Defender for Identity er installeret under mappen "Logs").

Relateret indhold

• Forudsætninger for Defender for Identity
• Kapacitetsplanlægning for Defender for Identity
• Konfigurer hændelsessamling
• Konfiguration af videresendelse af Windows-hændelse
• Fejlfinding
• Se Defender for Identity-forummet!