Cet article fournit une liste de questions fréquemment posées et des réponses sur Microsoft Defender pour Identity réparties dans les catégories suivantes :
Qu’est-ce que Defender pour Identity ?
Que peut détecter Defender pour Identity ?
Defender pour Identity détecte les attaques et techniques malveillantes connues, les problèmes de sécurité et les risques sur votre réseau. Pour obtenir la liste complète des détections Defender pour Identity, consultez Alertes de sécurité Defender pour Identity.
Quelles sont les données collectées par Defender pour Identity ?
Defender pour Identity collecte et stocke des informations à partir de vos serveurs configurés, tels que les contrôleurs de domaine, les serveurs membres, etc. Les données sont stockées dans une base de données spécifique au service à des fins d’administration, de suivi et de création de rapports.
Les informations collectées comprennent :
- Trafic réseau vers et depuis les contrôleurs de domaine, tels que l’authentification Kerberos, l’authentification NTLM ou les requêtes DNS.
- Journaux de sécurité, tels que les événements de sécurité Windows.
- Informations Active Directory, telles que la structure, les sous-réseaux ou les sites.
- Informations sur les entités, telles que les noms, les adresses e-mail et les numéros de téléphone.
Microsoft utilise ces données pour :
- Identifiez de manière proactive les indicateurs d’attaque dans votre organization.
- Générez des alertes si une attaque possible a été détectée.
- Fournissez à vos opérations de sécurité une vue des entités liées aux signaux de menace provenant de votre réseau, ce qui vous permet d’examiner et d’explorer la présence de menaces de sécurité sur le réseau.
Microsoft n’mine pas vos données à des fins publicitaires ou à d’autres fins que celle de vous fournir le service.
Combien d’informations d’identification du service d’annuaire Defender pour Identity prend-il en charge ?
Defender pour Identity prend actuellement en charge l’ajout de 30 informations d’identification de service d’annuaire différentes pour prendre en charge les environnements Active Directory avec des forêts non approuvées. Si vous avez besoin de plus de comptes, ouvrez un ticket de support.
Defender pour Identity utilise-t-il uniquement le trafic provenant d’Active Directory ?
En plus d’analyser le trafic Active Directory à l’aide de la technologie d’inspection approfondie des paquets, Defender pour Identity collecte également les événements Windows pertinents à partir de votre contrôleur de domaine et crée des profils d’entité basés sur les informations de services de domaine Active Directory. Defender pour Identity prend également en charge la réception de la comptabilité RADIUS des journaux VPN de différents fournisseurs (Microsoft, Cisco, F5 et Point de contrôle).
Defender pour Identity surveille-t-il uniquement les appareils joints à un domaine ?
Non. Defender pour Identity surveille tous les appareils du réseau effectuant des demandes d’authentification et d’autorisation sur Active Directory, y compris les appareils non Windows et mobiles.
Defender pour Identity surveille-t-il les comptes d’ordinateur et les comptes d’utilisateur ?
Oui. Étant donné que les comptes d’ordinateur et d’autres entités peuvent être utilisés pour effectuer des activités malveillantes, Defender pour Identity surveille le comportement de tous les comptes d’ordinateur et toutes les autres entités de l’environnement.
Quelle est la différence entre Advanced Threat Analytics (ATA) et Defender pour Identity ?
ATA est une solution locale autonome avec plusieurs composants, tels que le centre ATA, qui nécessite du matériel dédié local.
Defender pour Identity est une solution de sécurité basée sur le cloud qui utilise vos signaux Active Directory local. La solution est hautement évolutive et est fréquemment mise à jour.
La version finale d’ATA est en disponibilité générale. ATA a mis fin au support standard le 12 janvier 2021. Le support étendu se poursuit jusqu’en janvier 2026. Pour plus d’informations, consultez notre blog.
Contrairement au capteur ATA, le capteur Defender pour Identity utilise également des sources de données telles que le suivi d’événements pour Windows (ETW), ce qui permet à Defender pour Identity de fournir des détections supplémentaires.
Les mises à jour fréquentes de Defender pour Identity incluent les fonctionnalités et fonctionnalités suivantes :
Prise en charge des environnements à forêts multiples : fournit aux organisations une visibilité sur les forêts AD.
Évaluations de la posture du degré de sécurité Microsoft : identifie les erreurs de configuration courantes et les composants exploitables, et fournit des chemins de correction pour réduire la surface d’attaque.
Fonctionnalités UEBA : insights sur les risques individuels des utilisateurs par le biais du scoring de priorité d’investigation utilisateur. Le score peut aider Les SecOps dans leurs investigations et aider les analystes à comprendre les activités inhabituelles pour l’utilisateur et le organization.
Intégrations natives : s’intègre à Microsoft Defender for Cloud Apps et Protection Microsoft Entra ID pour fournir une vue hybride de ce qui se passe dans les environnements locaux et hybrides.
Contribue à Microsoft Defender XDR : fournit des données d’alerte et de menace à Microsoft Defender XDR. Microsoft Defender XDR utilise le portefeuille de sécurité Microsoft 365 (identités, points de terminaison, données et applications) pour analyser automatiquement les données sur les menaces inter-domaines, en créant une image complète de chaque attaque dans un tableau de bord unique.
Avec cette étendue et cette profondeur de clarté, les défenseurs peuvent se concentrer sur les menaces critiques et rechercher des violations sophistiquées. Les defenders peuvent être sûrs que la puissante automatisation de Microsoft Defender XDR arrête les attaques n’importe où dans la chaîne de destruction et retourne le organization à un état sécurisé.
Licences et confidentialité
Où puis-je obtenir une licence pour Microsoft Defender pour Identity ?
Defender pour Identity est disponible dans Enterprise Mobility + Security suite 5 (EMS E5) et en tant que licence autonome. Vous pouvez acquérir une licence directement à partir du portail Microsoft 365 ou via le modèle de licence Cloud Solution Partner (CSP).
Defender pour Identity a-t-il besoin d’une seule licence ou nécessite-t-il une licence pour chaque utilisateur que je souhaite protéger ?
Pour plus d’informations sur les conditions de licence de Defender pour Identity, consultez Guide de gestion des licences Defender pour Identity.
Mes données sont-elles isolées des autres données client ?
Oui, vos données sont isolées par l’authentification d’accès et la séparation logique basée sur les identificateurs de client. Chaque client peut uniquement accéder aux données collectées à partir de ses propres organization et données génériques que Microsoft fournit.
Ai-je la possibilité de choisir où stocker mes données ?
Non. Lorsque votre espace de travail Defender pour Identity est créé, il est stocké automatiquement dans la région Azure la plus proche de l’emplacement géographique de votre locataire Microsoft Entra. Une fois votre espace de travail Defender pour Identity créé, les données Defender pour Identity ne peuvent pas être déplacées vers une autre région.
Comment Microsoft empêche-t-il les activités internes malveillantes et les abus de rôles à privilèges élevés ?
Les développeurs et les administrateurs Microsoft ont, par conception, reçu des privilèges suffisants pour exécuter les tâches qui leur sont assignées afin d’exploiter et de faire évoluer le service. Microsoft déploie des combinaisons de contrôles préventifs, détectives et réactifs, y compris les mécanismes suivants pour vous protéger contre les activités non autorisées des développeurs et/ou des administrateurs :
- Contrôle d’accès étroit aux données sensibles
- Combinaisons de contrôles qui améliorent considérablement la détection indépendante des activités malveillantes
- Plusieurs niveaux de surveillance, de journalisation et de création de rapports
En outre, Microsoft effectue des vérifications d’arrière-plan sur certains membres du personnel des opérations et limite l’accès aux applications, aux systèmes et à l’infrastructure réseau en fonction du niveau de vérification en arrière-plan. Le personnel des opérations suit un processus formel lorsqu’il est tenu d’accéder au compte d’un client ou aux informations connexes dans l’exécution de ses tâches.
Déploiement
De combien de capteurs Defender pour Identity ai-je besoin ?
Nous vous recommandons de disposer d’un capteur Defender pour Identity ou d’un capteur autonome pour chacun de vos contrôleurs de domaine. Pour plus d’informations, consultez Dimensionnement du capteur Defender pour Identity.
Defender pour Identity fonctionne-t-il avec le trafic chiffré ?
Bien que les protocoles réseau avec le trafic chiffré, tels qu’AtSvc et WMI, ne soient pas déchiffrés, les capteurs analysent toujours le trafic.
Defender pour Identity fonctionne-t-il avec le blindage Kerberos ?
Defender pour Identity prend en charge le blindage Kerberos, également appelé FAST (Flexible Authentication Secure Tunneling). L’exception à cette prise en charge est le dépassement de la détection de hachage, qui ne fonctionne pas avec le blindage Kerberos.
Comment faire surveiller un contrôleur de domaine virtuel à l’aide de Defender pour Identity ?
Le capteur Defender pour Identity peut couvrir la plupart des contrôleurs de domaine virtuels. Pour plus d’informations, consultez Planification de la capacité de Defender pour Identity.
Si le capteur Defender pour Identity ne peut pas couvrir un contrôleur de domaine virtuel, utilisez un capteur autonome Defender pour Identity virtuel ou physique à la place. Pour plus d’informations, consultez Configurer la mise en miroir de ports.
Le moyen le plus simple consiste à disposer d’un capteur autonome Defender pour Identity virtuel sur chaque hôte où existe un contrôleur de domaine virtuel.
Si vos contrôleurs de domaine virtuels se déplacent entre des hôtes, vous devez effectuer l’une des étapes suivantes :
Lorsque le contrôleur de domaine virtuel se déplace vers un autre hôte, préconfigurez le capteur autonome Defender pour Identity dans cet hôte pour recevoir le trafic du contrôleur de domaine virtuel récemment déplacé.
Veillez à associer le capteur autonome Defender pour Identity virtuel au contrôleur de domaine virtuel afin que s’il est déplacé, le capteur autonome Defender pour Identity se déplace avec celui-ci.
Certains commutateurs virtuels peuvent envoyer du trafic entre les hôtes.
Comment faire configurer les capteurs Defender pour Identity pour qu’ils communiquent avec le service cloud Defender pour Identity quand j’ai un proxy ?
Pour que vos contrôleurs de domaine communiquent avec le service cloud, vous devez ouvrir : *.atp.azure.com port 443 dans votre pare-feu/proxy. Pour plus d’informations, consultez Configurer votre proxy ou pare-feu pour activer la communication avec les capteurs Defender pour Identity.
Les contrôleurs de domaine surveillés Defender pour Identity peuvent-ils être virtualisés sur votre solution IaaS ?
Oui, vous pouvez utiliser le capteur Defender pour Identity pour surveiller les contrôleurs de domaine qui se trouvent dans n’importe quelle solution IaaS.
Defender pour Identity peut-il prendre en charge plusieurs domaines et plusieurs forêts ?
Defender pour Identity prend en charge les environnements multi-domaines et plusieurs forêts. Pour plus d’informations et pour connaître les exigences d’approbation, consultez Prise en charge de forêts multiples.
Pouvez-vous voir l’intégrité globale du déploiement ?
Oui, vous pouvez afficher l’intégrité globale du déploiement et tout problème spécifique lié à la configuration, à la connectivité, etc. Vous êtes alerté lorsque ces événements se produisent avec des problèmes d’intégrité de Defender pour Identity.
Est-ce que Microsoft Defender pour Identity nécessite la synchronisation des utilisateurs pour Microsoft Entra ID ?
Microsoft Defender pour Identity fournit une valeur de sécurité pour tous les comptes Active Directory, y compris ceux qui ne sont pas synchronisés avec Microsoft Entra ID. Les comptes d’utilisateur synchronisés avec Microsoft Entra ID bénéficient également de la valeur de sécurité fournie par Microsoft Entra ID (en fonction du niveau de licence) et du scoring de priorité d’investigation.
Pilotes WinPcap et Npcap
Quelles sont les recommandations concernant les pilotes WinPcap et Npcap qui changent ?
L’équipe Microsoft Defender pour Identity recommande que tous les clients utilisent le pilote Npcap au lieu des pilotes WinPcap. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM au lieu des pilotes WinPcap 4.1.3.
Pourquoi s’éloigne-t-on de WinPcap ?
WinPcap n’est plus pris en charge et étant donné qu’il n’est plus en cours de développement, le pilote ne peut plus être optimisé pour le capteur Defender pour Identity. En outre, s’il existe un problème à l’avenir avec le pilote WinPcap, il n’existe aucune option pour un correctif.
Pourquoi Npcap ?
Npcap est pris en charge, tandis que WinPcap n’est plus un produit pris en charge.
Quelle version de Npcap est prise en charge ?
Le capteur MDI nécessite Npcap 1.0 ou version ultérieure. Le package d’installation du capteur installera la version 1.0 si aucune autre version de Npcap n’est installée. Si Npcap est déjà installé (en raison d’une autre configuration logicielle requise ou pour toute autre raison), il est important de vérifier qu’il est version 1.0 ou ultérieure et qu’il a été installé avec les paramètres requis pour MDI.
Dois-je supprimer et réinstaller manuellement le capteur, ou le service de mise à jour automatique le gère-t-il dans le cadre de sa mise à jour normale ?
Oui. Il est nécessaire de supprimer manuellement le capteur pour supprimer les pilotes WinPcap. La réinstallation à l’aide du dernier package installe les pilotes Npcap.
Comment puis-je case activée si mon installation actuelle de Defender pour Identity utilise Npcap ou WinPcap ?
Vous pouvez voir que « Npcap OEM » est installé via l’option Ajout/Suppression de programmes (appwiz.cpl), et s’il existe un problème d’intégrité ouvert pour cela, il est automatiquement fermé.
J’ai plus de cinq contrôleurs de domaine dans mon organization. Dois-je acheter une licence Npcap si j’utilise Npcap sur ces contrôleurs de domaine ?
Non, Npcap bénéficie d’une exemption de la limite habituelle de cinq installations. Vous pouvez l’installer sur un nombre illimité de systèmes où il est utilisé uniquement avec le capteur Defender pour Identity.
Consultez le contrat de licence Npcap ici et recherchez Microsoft Defender pour Identity.
Npcap est-il également pertinent pour ATA ?
Non, seul le capteur Microsoft Defender pour Identity prend en charge Npcap version 1.00.
Je souhaite créer un script pour le déploiement de Npcap. Dois-je acheter la version OEM ?
Non, vous n’avez pas besoin d’acheter la version OEM. Téléchargez le package d’installation du capteur version 2.156 et ultérieure à partir de la console Defender pour Identity, qui inclut la version OEM de Npcap.
Comment faire télécharger et installer ou mettre à niveau le pilote Npcap ?
Vous pouvez obtenir les exécutables Npcap en téléchargeant le dernier package de déploiement du capteur Defender pour Identity.
Si vous n’avez pas encore installé le capteur, installez-le à l’aide de la version 2.184 ou ultérieure.
Si vous avez déjà installé le capteur avec WinPcap et que vous devez le mettre à jour pour utiliser Npcap :
Désinstallez le capteur. Utilisez Ajout/Suppression de programmes à partir du panneau de configuration Windows (appwiz.cpl), ou exécutez la commande de désinstallation suivante :
".\Azure ATP Sensor Setup.exe" /uninstall /quietDésinstallez WinPcap si nécessaire. Cette étape est pertinente uniquement si WinPcap a été installé manuellement avant l’installation du capteur. Dans ce cas, vous devez supprimer manuellement WinPcap.
Réinstallez le capteur à l’aide de la version 2.184 ou ultérieure.
Si vous souhaitez installer manuellement Npcap : Installez Npcap avec les options suivantes :
- Si vous utilisez le programme d’installation de l’interface graphique graphique, désactivez l’option de prise en charge du bouclage et sélectionnez Mode WinPcap . Vérifiez que l’option Restreindre l’accès du pilote Npcap aux administrateurs uniquement est désactivée.
- Si vous utilisez la ligne de commande, exécutez :
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Si vous souhaitez mettre à niveau manuellement Npcap :
Arrêtez les services de capteur Defender pour Identity, AATPSensorUpdater et AATPSensor. Exécuter :
Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -ForceSupprimez Npcap à l’aide d’Ajout/Suppression de programmes dans le panneau de configuration Windows (appwiz.cpl).
Installez Npcap avec les options suivantes :
Si vous utilisez le programme d’installation de l’interface graphique graphique, désactivez l’option de prise en charge du bouclage et sélectionnez Mode WinPcap . Vérifiez que l’option Restreindre l’accès du pilote Npcap aux administrateurs uniquement est désactivée.
Si vous utilisez la ligne de commande, exécutez :
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Démarrez les services de capteur Defender pour Identity, AATPSensorUpdater et AATPSensor. Exécuter :
Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor
Opération
Quel type d’intégration Defender pour Identity a-t-il avec les cartes SIM ?
Defender pour Identity peut être configuré pour envoyer une alerte Syslog, à n’importe quel serveur SIEM au format CEF, pour les problèmes d’intégrité et lorsqu’une alerte de sécurité est détectée. Pour plus d’informations, consultez la référence du journal SIEM.
Pourquoi certains comptes sont-ils considérés comme sensibles ?
Les comptes sont considérés comme sensibles lorsqu’un compte est membre de groupes désignés comme sensibles (par exemple : « Administrateurs de domaine »).
Pour comprendre pourquoi un compte est sensible, vous pouvez examiner son appartenance à un groupe afin de comprendre à quels groupes sensibles il appartient. Le groupe auquel il appartient peut également être sensible en raison d’un autre groupe. Le même processus doit donc être effectué jusqu’à ce que vous localisiez le groupe sensible de niveau le plus élevé. Vous pouvez également étiqueter manuellement les comptes comme sensibles.
Devez-vous écrire vos propres règles et créer un seuil/une base de référence ?
Avec Defender pour Identity, il n’est pas nécessaire de créer des règles, des seuils ou des bases de référence, puis d’affiner. Defender pour Identity analyse les comportements des utilisateurs, des appareils et des ressources, ainsi que leur relation les uns avec les autres, et peut détecter rapidement les activités suspectes et les attaques connues. Trois semaines après le déploiement, Defender pour Identity commence à détecter les activités suspectes comportementales. En revanche, Defender pour Identity commence à détecter les attaques malveillantes connues et les problèmes de sécurité immédiatement après le déploiement.
Quel trafic Defender pour Identity génère-t-il dans le réseau à partir des contrôleurs de domaine et pourquoi ?
Defender pour Identity génère le trafic des contrôleurs de domaine vers les ordinateurs dans le organization dans l’un des trois scénarios suivants :
Résolution de noms réseau Defender pour Identity capture le trafic et les événements, l’apprentissage et le profilage des utilisateurs et des activités informatiques dans le réseau. Pour apprendre et profiler les activités en fonction des ordinateurs dans le organization, Defender pour Identity doit résoudre les adresses IP en comptes d’ordinateur. Pour résoudre les adresses IP en noms d’ordinateurs capteurs Defender pour Identity, demandez l’adresse IP pour le nom de l’ordinateur derrière l’adresse IP.
Les demandes sont effectuées à l’aide de l’une des quatre méthodes suivantes :
- NTLM sur RPC (Port TCP 135)
- NetBIOS (Port UDP 137)
- RDP (port TCP 3389)
- Interroger le serveur DNS à l’aide de la recherche DNS inversée de l’adresse IP (UDP 53)
Après avoir obtenu le nom de l’ordinateur, les capteurs Defender pour Identity traversent case activée les détails dans Active Directory pour voir s’il existe un objet ordinateur corrélé portant le même nom d’ordinateur. Si une correspondance est trouvée, une association est établie entre l’adresse IP et l’objet ordinateur correspondant.
Chemin de mouvement latéral (LMP) Pour créer des LPM potentiels pour les utilisateurs sensibles, Defender pour Identity a besoin d’informations sur les administrateurs locaux sur les ordinateurs. Dans ce scénario, le capteur Defender pour Identity utilise SAM-R (TCP 445) pour interroger l’adresse IP identifiée dans le trafic réseau, afin de déterminer les administrateurs locaux de l’ordinateur. Pour en savoir plus sur Defender pour Identity et SAM-R, consultez Configurer les autorisations requises sam-R.
L’interrogation d’Active Directory à l’aide du protocole LDAP pour les capteurs Defender for Identity pour les données d’entité interroge le contrôleur de domaine à partir du domaine auquel appartient l’entité. Il peut s’agir du même capteur ou d’un autre contrôleur de domaine de ce domaine.
| Protocole | Service | Port | Source | Direction |
|---|---|---|---|---|
| LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Sortant |
| LDAP sécurisé (LDAPS) | TCP | 636 | Contrôleurs de domaine | Sortant |
| LDAP vers catalogue global | TCP | 3268 | Contrôleurs de domaine | Sortant |
| LDAPS vers le catalogue global | TCP | 3269 | Contrôleurs de domaine | Sortant |
Pourquoi les activités n’affichent-elles pas toujours à la fois l’utilisateur source et l’ordinateur ?
Defender pour Identity capture les activités sur de nombreux protocoles différents. Dans certains cas, Defender pour Identity ne reçoit pas les données de l’utilisateur source dans le trafic. Defender pour Identity tente de mettre en corrélation la session de l’utilisateur à l’activité et, lorsque la tentative réussit, l’utilisateur source de l’activité s’affiche. Lorsque les tentatives de corrélation utilisateur échouent, seul l’ordinateur source s’affiche.
Pourquoi les requêtes DNS sur aatp.dns.detection.local s’affichent-ils ?
Le capteur Defender pour Identity peut déclencher un appel DNS à « aatp.dns.detection.local » en réponse à certaines activités DNS entrantes sur l’ordinateur surveillé MDI.
Gestion des données personnelles
Les données utilisateur personnelles peuvent-elles être mises à jour dans Defender pour Identity ?
Les données utilisateur personnelles dans Defender pour Identity sont dérivées de l’objet de l’utilisateur dans l’annuaire Active Directory de l’organization et ne peuvent pas être mises à jour directement dans Defender pour Identity.
Comment puis-je exporter des données personnelles à partir de Defender pour Identity ?
Vous pouvez exporter des données personnelles à partir de Defender pour Identity en utilisant la même méthode que l’exportation des informations d’alerte de sécurité. Pour plus d’informations, consultez Passer en revue les alertes de sécurité.
Comment puis-je localiser les données personnelles stockées dans Defender pour Identity ?
Utilisez la barre de recherche du portail Microsoft Defender pour rechercher des données personnelles identifiables, telles qu’un utilisateur ou un ordinateur spécifique. Pour plus d’informations, consultez Examiner les ressources.
Quel type d’audit Defender pour Identity exécute-t-il sur les données personnelles ?
Defender pour Identity implémente l’audit des modifications des données personnelles, y compris la suppression et l’exportation des enregistrements de données personnelles. Le temps de rétention des pistes d’audit est de 90 jours. L’audit dans Defender pour Identity est une fonctionnalité back-end qui n’est pas accessible aux clients.
Que se passe-t-il dans Defender pour Identity lorsqu’un utilisateur est supprimé de l’annuaire Active Directory de l’organization ?
Une fois qu’un utilisateur est supprimé de l’annuaire Active Directory de l’organization, Defender pour Identity supprime automatiquement le profil utilisateur et toute activité réseau associée, conformément à la stratégie générale de conservation des données de Defender pour Identity, sauf si les données font partie d’un incident actif. Nous vous recommandons d’ajouter des autorisations en lecture seule sur le conteneur Objets supprimés . Pour plus d’informations, consultez Accorder les autorisations DSA requises.
Résolution des problèmes
Que dois-je faire si le capteur Defender pour Identity ou le capteur autonome ne démarre pas ?
Examinez l’erreur la plus récente dans le journal des erreurs actuel (où Defender pour Identity est installé sous le dossier « Journaux »).