Microsoft Defender for identitet vanlige spørsmål

Defender for Identity oppdager kjente ondsinnede angrep og teknikker, sikkerhetsproblemer og risikoer mot nettverket. Hvis du vil se den fullstendige listen over Defender for identitetsgjenkjenninger, kan du se Defender for identitetssikkerhetsvarsler.

Defender for Identity samler inn og lagrer informasjon fra de konfigurerte serverne, for eksempel domenekontrollere, medlemsservere og så videre. Data lagres i en database som er spesifikk for tjenesten for administrasjon, sporing og rapportering.

Informasjon som innhentes inkluderer:

• Nettverkstrafikk til og fra domenekontrollere, for eksempel Kerberos-godkjenning, NTLM-godkjenning eller DNS-spørringer.
• Sikkerhetslogger, for eksempel Windows-sikkerhetshendelser.
• Active Directory-informasjon, for eksempel struktur, delnett eller områder.
• Enhetsinformasjon, for eksempel navn, e-postadresser og telefonnumre.

Microsoft bruker disse dataene til å:

• Identifiser proaktivt indikatorer for angrep (IOAer) i organisasjonen.
• Generer varsler hvis et mulig angrep ble oppdaget.
• Gi sikkerhetsoperasjonene dine en oversikt over enheter relatert til trusselsignaler fra nettverket, slik at du kan undersøke og utforske tilstedeværelsen av sikkerhetstrusler på nettverket.

Microsoft bruker ikke dataene dine til å annonsere eller til andre formål enn å gi deg tjenesten.

Defender for Identity støtter for øyeblikket tillegging av opptil 30 forskjellige katalogtjenestelegitimasjoner for å støtte Active Directory-miljøer med ikke-klarerte skoger. Hvis du trenger flere kontoer, åpner du en støtteforespørsel.

I tillegg til å analysere Active Directory-trafikk ved hjelp av dyp pakkeinspeksjonsteknologi samler Defender for Identity også inn relevante Windows-hendelser fra domenekontrolleren og oppretter enhetsprofiler basert på informasjon fra Active Directory Domain Services. Defender for Identity støtter også mottak av RADIUS-regnskap for VPN-logger fra ulike leverandører (Microsoft, Cisco, F5 og Checkpoint).

Nei. Defender for Identity overvåker alle enheter i nettverket som utfører godkjennings- og godkjenningsforespørsler mot Active Directory, inkludert ikke-Windows og mobile enheter.

Ja. Siden datamaskinkontoer og andre enheter kan brukes til å utføre ondsinnede aktiviteter, overvåker Defender for Identity all virkemåte for datamaskinkontoer og alle andre enheter i miljøet.

ATA er en frittstående lokal løsning med flere komponenter, for eksempel ATA-senteret som krever dedikert maskinvare lokalt.

Defender for Identity er en skybasert sikkerhetsløsning som bruker dine lokal Active Directory signaler. Løsningen er svært skalerbar og oppdateres jevnlig.

Den endelige utgivelsen av ATA er generelt tilgjengelig. ATA avsluttet mainstream support den 12 januar 2021. Utvidet støtte fortsetter til januar 2026. Hvis du vil ha mer informasjon, kan du lese bloggen vår.

I motsetning til ATA-sensoren bruker Defender for Identity-sensoren også datakilder, for eksempel Event Tracing for Windows (ETW), slik at Defender for Identity kan levere ekstra gjenkjenninger.

Defender for Identitys jevnlige oppdateringer omfatter følgende funksjoner og funksjoner:

• Støtte for miljøer med flere skoger: Gir organisasjoner synlighet på tvers av AD-skoger.

• Holdningsvurderinger for Microsoft Secure Score: Identifiserer vanlige feilkonfigureringer og utnyttbare komponenter og gir utbedringsbaner for å redusere angrepsoverflaten.

• UEBA-funksjoner: Innsikt i individuell brukerrisiko gjennom vurdering av prioritet for brukerundersøkelser. Poengsummen kan hjelpe SecOps i sine undersøkelser og hjelpe analytikere med å forstå uvanlige aktiviteter for brukeren og organisasjonen.

• Opprinnelige integreringer: Integreres med Microsoft Defender for Cloud Apps og Microsoft Entra ID-beskyttelse for å gi en hybrid visning av hva som skjer i både lokale og hybride miljøer.

• Bidrar til Microsoft Defender XDR: Bidrar med varslings- og trusseldata til Microsoft Defender XDR. Microsoft Defender XDR bruker Microsoft 365-sikkerhetsporteføljen (identiteter, endepunkter, data og programmer) til automatisk å analysere trusseldata på tvers av domener, og bygge et fullstendig bilde av hvert angrep i ett enkelt instrumentbord.

  Med denne bredden og dybden av klarhet kan Defenders fokusere på kritiske trusler og jakte på sofistikerte brudd. Forsvarere kan stole på at Microsoft Defender XDR kraftige automatiseringen stopper angrep hvor som helst i kill-kjeden og returnerer organisasjonen til en sikker tilstand.

Defender for Identity er tilgjengelig som en del av Enterprise Mobility + Security 5-programserie (EMS E5) og som en frittstående lisens. Du kan skaffe deg en lisens direkte fra Microsoft 365-portalen eller via lisensieringsmodellen for Cloud Solution Partner (CSP).

Hvis du vil ha informasjon om Defender for identitetslisenskrav, kan du se Veiledning for Defender for identitetslisensiering.

Ja, dataene er isolert gjennom tilgangsgodkjenning og logisk segregering basert på kundeidentifikatorer. Hver kunde kan bare få tilgang til data som samles inn fra sin egen organisasjon og generiske data som Microsoft leverer.

Nei. Når Defender for Identity-arbeidsområdet opprettes, lagres det automatisk i Azure-området som er nærmest Microsoft Entra tenantens geografiske plassering. Når Defender for Identity-arbeidsområdet er opprettet, kan ikke Defender for Identity-data flyttes til et annet område.

Microsoft-utviklere og administratorer har, etter utforming, fått tilstrekkelige rettigheter til å utføre sine tildelte oppgaver for å drive og utvikle tjenesten. Microsoft distribuerer kombinasjoner av forebyggende, detektiv- og reaktive kontroller, inkludert følgende mekanismer for å beskytte mot uautorisert utvikler- og/eller administrativ aktivitet:

• Tett tilgangskontroll til sensitive data
• Kombinasjoner av kontroller som forbedrer uavhengig gjenkjenning av skadelig aktivitet
• Flere nivåer av overvåking, logging og rapportering

I tillegg utfører Microsoft kontroll av bakgrunnskontroll på bestemte driftspersonell, og begrenser tilgangen til programmer, systemer og nettverksinfrastruktur i forhold til nivået for bakgrunnskontroll. Driftspersonell følger en formell prosess når de er pålagt å få tilgang til kundens konto eller relatert informasjon i utførelsen av sine plikter.

Vi anbefaler at du har en Defender for Identity-sensor eller frittstående sensor for hver av domenekontrollerne. Hvis du vil ha mer informasjon, kan du se Defender for identitetssensorstørrelse.

Selv om nettverksprotokoller med kryptert trafikk, for eksempel AtSvc og WMI, ikke dekrypteres, analyserer sensorer fortsatt trafikken.

Defender for Identity støtter Kerberos Armoring, også kjent som Flexible Authentication Secure Tunneling (FAST). Unntaket fra denne støtten er overpassingen av hash-gjenkjenningen, som ikke fungerer med Kerberos Armoring.

Defender for Identity-sensoren kan dekke de fleste virtuelle domenekontrollere. Hvis du vil ha mer informasjon, kan du se Defender for planlegging av identitetskapasitet.

Hvis Defender for Identity-sensoren ikke kan dekke en virtuell domenekontroller, kan du bruke enten en virtuell eller fysisk Defender for identity frittstående sensor i stedet. Hvis du vil ha mer informasjon, kan du se Konfigurere portspeiling.

Den enkleste måten er å ha en virtuell Defender for Identity frittstående sensor på hver vert der det finnes en virtuell domenekontroller.

Hvis de virtuelle domenekontrollerne flytter mellom verter, må du utføre ett av følgende trinn:

• Når den virtuelle domenekontrolleren flyttes til en annen vert, forhåndskonfigurerer du den frittstående sensoren defender for identitet i denne verten for å motta trafikken fra den nylig flyttede virtuelle domenekontrolleren.

• Kontroller at du tilknytter den virtuelle Defender for Identity frittstående sensoren med den virtuelle domenekontrolleren, slik at hvis den flyttes, flyttes den frittstående Defender for Identity-sensoren med den.

• Det finnes noen virtuelle brytere som kan sende trafikk mellom verter.

For at domenekontrollerne skal kunne kommunisere med skytjenesten, må du åpne: *.atp.azure.com port 443 i brannmuren/proxyen. Hvis du vil ha mer informasjon, kan du se Konfigurere proxyen eller brannmuren for å aktivere kommunikasjon med Defender for Identitetssensorer.

Ja, du kan bruke Defender for Identity-sensoren til å overvåke domenekontrollere som finnes i en hvilken som helst IaaS-løsning.

Defender for Identity støtter miljøer med flere domener og flere skoger. Hvis du vil ha mer informasjon og klareringskrav, kan du se støtte for Flere skoger.

Ja, du kan vise den generelle distribusjonstilstanden og eventuelle spesifikke problemer relatert til konfigurasjon, tilkobling og så videre. Du blir varslet når disse hendelsene oppstår med Defender for identitetstilstandsproblemer.

Microsoft Defender for identitet gir sikkerhetsverdi for alle Active Directory-kontoer, inkludert de som ikke er synkronisert til Microsoft Entra ID. Brukerkontoer som synkroniseres til Microsoft Entra ID, vil også dra nytte av sikkerhetsverdien som leveres av Microsoft Entra ID (basert på lisensnivå) og prioritetspoengvurdering for undersøkelse.

Microsoft Defender for identitet-teamet anbefaler at alle kunder bruker Npcap-driveren i stedet for WinPcap-driverne. Fra og med Defender for Identity versjon 2.184 installerer installasjonspakken Npcap 1.0 OEM i stedet for WinPcap 4.1.3-driverne.

WinPcap støttes ikke lenger, og siden den ikke lenger utvikles, kan ikke driveren optimaliseres lenger for Defender for Identity-sensoren. I tillegg, hvis det er et problem i fremtiden med WinPcap-driveren, finnes det ingen alternativer for en løsning.

Npcap støttes, mens WinPcap ikke lenger er et støttet produkt.

MDI-sensoren krever Npcap 1.0 eller nyere. Installasjonspakken for sensoren installerer versjon 1.0 hvis ingen annen versjon av Npcap er installert. Hvis du allerede har Npcap installert (på grunn av andre programvarekrav eller andre årsaker), er det viktig å sikre at det er versjon 1.0 eller nyere, og at det er installert med de nødvendige innstillingene for MDI.

Ja. Det er nødvendig å fjerne sensoren manuelt for å fjerne WinPcap-driverne. Ny installasjon ved hjelp av den nyeste pakken installerer Npcap-driverne.

Du kan se at Npcap OEM er installert via Legg til / fjern-programmer (appwiz.cpl), og hvis det var et åpent helseproblem for dette, lukkes det automatisk.

Nei, Npcap har et unntak fra den vanlige grensen på fem installasjoner. Du kan installere den på ubegrensede systemer der den bare brukes med Defender for Identity-sensoren.

Se npcap-lisensavtalen her, og søk etter Microsoft Defender for identitet.

Nei, bare Microsoft Defender for identitet sensoren støtter Npcap versjon 1.00.

Nei, du trenger ikke å kjøpe OEM-versjonen. Last ned sensorinstallasjonspakken versjon 2.156 og nyere fra Defender for Identity-konsollen, som inkluderer OEM-versjonen av Npcap.

• Du kan få kjørbare npcap-kjørbare filer ved å laste ned den nyeste distribusjonspakken for Defender for Identity-sensoren.

• Hvis du ennå ikke har installert sensoren, installerer du sensoren ved hjelp av versjon 2.184 eller nyere.

• Hvis du allerede har installert sensoren med WinPcap og må oppdatere for å bruke Npcap:

  1. Avinstaller sensoren. Bruk enten Legg til / fjern programmer fra Kontrollpanel i Windows (appwiz.cpl), eller kjør følgende avinstalleringskommando: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Avinstaller WinPcap om nødvendig. Dette trinnet er bare relevant hvis WinPcap ble installert manuelt før sensorinstallasjonen. I dette tilfellet må du fjerne WinPcap manuelt.

  3. Installer sensoren på nytt ved hjelp av versjon 2.184 eller nyere.

• Hvis du vil installere Npcap manuelt: Installer Npcap med følgende alternativer:

  • Hvis du bruker GUI-installasjonsprogrammet, fjerner du alternativet for tilbakekoblingsstøtte og velger WinPcap-modus . Kontroller at alternativet Begrens antall_innbet-driverens tilgang til bare administratorer er fjernet.
  • Hvis du bruker kommandolinjen, kjører du: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Hvis du vil oppgradere Antall_innbet manuelt:

  1. Stopp Defender for identitetssensortjenester, AATPSensorUpdater og AATPSensor. Løpe: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Fjern Antall_innbet ved hjelp av Legg til / fjern programmer i Kontrollpanel i Windows (appwiz.cpl).

  3. Installer Antall_innbet med følgende alternativer:

     • Hvis du bruker GUI-installasjonsprogrammet, fjerner du alternativet for tilbakekoblingsstøtte og velger WinPcap-modus . Kontroller at alternativet Begrens antall_innbet-driverens tilgang til bare administratorer er fjernet.

     • Hvis du bruker kommandolinjen, kjører du: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Start Defender for Identity sensortjenester, AATPSensorUpdater og AATPSensor. Løpe: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity kan konfigureres til å sende et Syslog-varsel til en hvilken som helst SIEM-server som bruker CEF-formatet, for helseproblemer og når det oppdages et sikkerhetsvarsel. Hvis du vil ha mer informasjon, kan du se SIEM-loggreferansen.

Kontoer anses som sensitive når en konto er medlem av grupper som er angitt som sensitive (for eksempel: «Domeneadministratorer»).

Hvis du vil forstå hvorfor en konto er sensitiv, kan du se gjennom gruppemedlemskapet for å forstå hvilke sensitive grupper den tilhører. Gruppen den tilhører, kan også være følsom på grunn av en annen gruppe, så den samme prosessen bør utføres til du finner den mest sensitive gruppen. Alternativt kan du manuelt merke kontoer som sensitive.

Med Defender for Identity er det ikke nødvendig å opprette regler, terskler eller opprinnelige planer, og deretter finjustere. Defender for Identity analyserer atferden blant brukere, enheter og ressurser, samt forholdet til hverandre, og kan raskt oppdage mistenkelig aktivitet og kjente angrep. Tre uker etter distribusjon begynner Defender for Identity å oppdage mistenkelige virkemåter. På den annen side vil Defender for Identity begynne å oppdage kjente ondsinnede angrep og sikkerhetsproblemer umiddelbart etter distribusjon.

Defender for Identity genererer trafikk fra domenekontrollere til datamaskiner i organisasjonen i ett av tre scenarioer:

• Løsning på nettverksnavn Defender for Identity registrerer trafikk og hendelser, læring og profilering av brukere og dataaktiviteter i nettverket. Hvis du vil lære og profilere aktiviteter i henhold til datamaskiner i organisasjonen, må Defender for Identity løse ID-er til datamaskinkontoer. Hvis du vil løse IP-adresser til datamaskinnavnene Defender for Identity-sensorer, ber du om IP-adressen for datamaskinnavnet bak IP-adressen.

  Forespørsler utføres ved hjelp av én av fire metoder:

  • NTLM over RPC (TCP-port 135)
  • NetBIOS (UDP-port 137)
  • RDP (TCP-port 3389)
  • Spør DNS-serveren ved hjelp av omvendt DNS-oppslag av IP-adressen (UDP 53)

  Når du har fått datamaskinnavnet, kontrollerer Defender for Identity-sensorer detaljene i Active Directory for å se om det finnes et korrelert datamaskinobjekt med samme datamaskinnavn. Hvis det blir funnet et treff, opprettes det en tilknytning mellom IP-adressen og det samsvarende datamaskinobjektet.

• Sidebevegelsesbane (LMP) Hvis du vil bygge potensielle systemansvarlige for læringsadministrasjon til sensitive brukere, krever Defender for Identity informasjon om de lokale administratorene på datamaskiner. I dette scenarioet bruker Defender for Identity-sensoren SAM-R (TCP 445) til å spørre IP-adressen som er identifisert i nettverkstrafikken, for å fastslå de lokale administratorene for datamaskinen. Hvis du vil lære mer om Defender for Identitet og SAM-R, kan du se Konfigurere SAM-R nødvendige tillatelser.

• Spørring av Active Directory ved hjelp av LDAP for enhetsdata Defender for identitetssensorer spør domenekontrolleren fra domenet der enheten tilhører. Det kan være den samme sensoren eller en annen domenekontroller fra det domenet.

Defender for Identity registrerer aktiviteter over mange forskjellige protokoller. I noen tilfeller mottar ikke Defender for Identity dataene til kildebrukeren i trafikken. Defender for Identity forsøker å koordinere økten til brukeren med aktiviteten, og når forsøket er vellykket, vises kildebrukeren av aktiviteten. Når forsøk på brukerkorrelasjon mislykkes, vises bare kildedatamaskinen.

Defender for Identity-sensor kan utløse et DNS-kall til «aatp.dns.detection.local» som svar på visse innkommende DNS-aktiviteter til den MDI-overvåkede maskinen.

Personlige brukerdata i Defender for Identity er avledet fra brukerens objekt i organisasjonens Active Directory, og kan ikke oppdateres direkte i Defender for identitet.

Du kan eksportere personopplysninger fra Defender for Identity ved hjelp av samme metode som eksport av informasjon om sikkerhetsvarsler. Hvis du vil ha mer informasjon, kan du se Se gjennom sikkerhetsvarsler.

Bruk søkefeltet i Microsoft Defender portal til å søke etter identifiserbare personopplysninger, for eksempel en bestemt bruker eller datamaskin. Hvis du vil ha mer informasjon, kan du se Undersøke aktiva.

Defender for Identity implementerer revisjonen av endringene i personopplysninger, inkludert sletting og eksport av personopplysninger. Oppbevaringstiden for overvåkingsspor er 90 dager. Overvåking i Defender for identitet er en serverdelfunksjon som ikke er tilgjengelig for kunder.

Når en bruker er slettet fra organisasjonens Active Directory, sletter Defender for Identity automatisk brukerprofilen og eventuell relatert nettverksaktivitet i tråd med Defender for identitetens generelle policy for dataoppbevaring, med mindre dataene er en del av en aktiv hendelse. Vi anbefaler at du legger til skrivebeskyttede tillatelser i beholderen Slettede objekter . Hvis du vil ha mer informasjon, kan du se Gi nødvendige DSA-tillatelser.

Se på den nyeste feilen i den gjeldende feilloggen (der Defender for Identity er installert under Logger-mappen).

Beslektet innhold

• Forutsetninger for Defender for identitet
• Defender for identitetskapasitetsplanlegging
• Konfigurer hendelsessamling
• Konfigurere windows-videresending av hendelser
• Feilsøking
• Ta en titt på Defender for Identity-forumet!