Microsoft Defender for Identity veelgestelde vragen

Defender for Identity detecteert bekende schadelijke aanvallen en technieken, beveiligingsproblemen en risico's voor uw netwerk. Zie Defender for Identity Security-waarschuwingen voor de volledige lijst met Defender for Identity-detecties.

Defender for Identity verzamelt en slaat informatie op van uw geconfigureerde servers, zoals domeincontrollers, lidservers, enzovoort. Gegevens worden opgeslagen in een database die specifiek is voor de service voor beheer-, tracerings- en rapportagedoeleinden.

Verzamelde gegevens omvatten:

• Netwerkverkeer van en naar domeincontrollers, zoals Kerberos-verificatie, NTLM-verificatie of DNS-query's.
• Beveiligingslogboeken, zoals Windows-beveiligingsevenementen.
• Active Directory-gegevens, zoals structuur, subnetten of sites.
• Entiteitsgegevens, zoals namen, e-mailadressen en telefoonnummers.

Microsoft gebruikt deze gegevens om:

• Identificeer proactief indicatoren van aanvallen (IOA's) in uw organisatie.
• Genereer waarschuwingen als er een mogelijke aanval is gedetecteerd.
• Geef uw beveiligingsbewerkingen inzicht in entiteiten die betrekking hebben op bedreigingssignalen van uw netwerk, zodat u de aanwezigheid van beveiligingsrisico's op het netwerk kunt onderzoeken en verkennen.

Microsoft gebruikt uw gegevens niet voor advertenties of voor andere doeleinden dan het leveren van de service aan u.

Defender for Identity ondersteunt momenteel het toevoegen van maximaal 30 verschillende Directory Service-referenties ter ondersteuning van Active Directory-omgevingen met niet-vertrouwde forests. Als u meer accounts nodig hebt, opent u een ondersteuningsticket.

Naast het analyseren van Active Directory-verkeer met behulp van diepgaande pakketinspectietechnologie, verzamelt Defender for Identity ook relevante Windows-gebeurtenissen van uw domeincontroller en maakt entiteitsprofielen op basis van informatie uit Active Directory Domain Services. Defender for Identity ondersteunt ook het ontvangen van RADIUS-accounting van VPN-logboeken van verschillende leveranciers (Microsoft, Cisco, F5 en Checkpoint).

Nee. Defender for Identity bewaakt alle apparaten in het netwerk die verificatie- en autorisatieaanvragen uitvoeren op Active Directory, inclusief niet-Windows- en mobiele apparaten.

Ja. Omdat computeraccounts en andere entiteiten kunnen worden gebruikt om schadelijke activiteiten uit te voeren, bewaakt Defender for Identity het gedrag van alle computeraccounts en alle andere entiteiten in de omgeving.

ATA is een zelfstandige on-premises oplossing met meerdere onderdelen, zoals het ATA Center waarvoor speciale on-premises hardware is vereist.

Defender for Identity is een cloudbeveiligingsoplossing die gebruikmaakt van uw on-premises Active Directory signalen. De oplossing is zeer schaalbaar en wordt regelmatig bijgewerkt.

De definitieve versie van ATA is algemeen beschikbaar. ATA heeft de basisondersteuning beëindigd op 12 januari 2021. Uitgebreide ondersteuning loopt tot januari 2026. Lees ons blog voor meer informatie.

In tegenstelling tot de ATA-sensor maakt de Defender for Identity-sensor ook gebruik van gegevensbronnen zoals Event Tracing for Windows (ETW) waarmee Defender for Identity extra detecties kan leveren.

De frequente updates van Defender for Identity bevatten de volgende functies en mogelijkheden:

• Ondersteuning voor omgevingen met meerdere forests: biedt organisaties zichtbaarheid in AD-forests.

• Microsoft Secure Score-houdingsevaluaties: identificeert veelvoorkomende onjuiste configuraties en exploiteerbare onderdelen en biedt herstelpaden om de kwetsbaarheid voor aanvallen te verminderen.

• UEBA-mogelijkheden: inzicht in afzonderlijke gebruikersrisico's via prioriteitsscore voor gebruikersonderzoek. De score kan SecOps helpen bij hun onderzoeken en analisten inzicht geven in ongebruikelijke activiteiten voor de gebruiker en de organisatie.

• Systeemeigen integraties: integreert met Microsoft Defender for Cloud Apps en Microsoft Entra ID Protection om een hybride weergave te bieden van wat er plaatsvindt in zowel on-premises als hybride omgevingen.

• Draagt bij aan Microsoft Defender XDR: draagt waarschuwings- en bedreigingsgegevens bij aan Microsoft Defender XDR. Microsoft Defender XDR maakt gebruik van de Microsoft 365-beveiligingsportfolio (identiteiten, eindpunten, gegevens en toepassingen) om bedreigingsgegevens voor meerdere domeinen automatisch te analyseren, waardoor een volledig beeld van elke aanval in één dashboard wordt opgebouwd.

  Met deze breedte en diepte van duidelijkheid kan Defenders zich richten op kritieke bedreigingen en geavanceerde inbreuken opsporen. Defenders kunnen erop vertrouwen dat Microsoft Defender XDR krachtige automatisering overal in de kill chain aanvallen stopt en de organisatie naar een veilige status retourneert.

Defender for Identity is beschikbaar als onderdeel van Enterprise Mobility + Security 5-suite (EMS E5) en als zelfstandige licentie. U kunt een licentie rechtstreeks verkrijgen vanuit de Microsoft 365-portal of via het CSP-licentiemodel (Cloud Solution Partner).

Zie Defender for Identity-licentierichtlijnen voor meer informatie over licentievereisten voor Defender for Identity.

Ja, uw gegevens worden geïsoleerd door toegangsverificatie en logische scheiding op basis van klant-id's. Elke klant heeft alleen toegang tot gegevens die zijn verzameld uit hun eigen organisatie en algemene gegevens die Microsoft verstrekt.

Nee. Wanneer uw Defender for Identity-werkruimte wordt gemaakt, wordt deze automatisch opgeslagen in de Azure-regio die zich het dichtst bij de geografische locatie van uw Microsoft Entra tenant bevindt. Zodra uw Defender for Identity-werkruimte is gemaakt, kunnen Defender for Identity-gegevens niet meer worden verplaatst naar een andere regio.

Microsoft-ontwikkelaars en -beheerders hebben standaard voldoende bevoegdheden gekregen om hun toegewezen taken uit te voeren om de service uit te voeren en te ontwikkelen. Microsoft implementeert combinaties van preventieve, detective- en reactieve controles, waaronder de volgende mechanismen om te beschermen tegen niet-geautoriseerde ontwikkelaars en/of administratieve activiteiten:

• Strikt toegangsbeheer voor gevoelige gegevens
• Combinaties van besturingselementen die de onafhankelijke detectie van schadelijke activiteiten aanzienlijk verbeteren
• Meerdere niveaus van bewaking, logboekregistratie en rapportage

Daarnaast voert Microsoft verificatiecontroles op de achtergrond uit op bepaalde operationele medewerkers en beperkt de toegang tot toepassingen, systemen en netwerkinfrastructuur in verhouding tot het niveau van achtergrondverificatie. Operationele medewerkers volgen een formeel proces wanneer ze bij de uitvoering van hun taken toegang moeten hebben tot het account van een klant of gerelateerde informatie.

We raden u aan een Defender for Identity-sensor of zelfstandige sensor te gebruiken voor elk van uw domeincontrollers. Zie Defender for Identity-sensorgrootte voor meer informatie.

Hoewel netwerkprotocollen met versleuteld verkeer, zoals AtSvc en WMI, niet worden ontsleuteld, analyseren sensoren het verkeer nog steeds.

Defender for Identity ondersteunt Kerberos Armoring, ook wel bekend als Flexible Authentication Secure Tunneling (FAST). De uitzondering op deze ondersteuning is de over-pass-hashdetectie, die niet werkt met Kerberos Armoring.

De Defender for Identity-sensor kan de meeste virtuele domeincontrollers dekken. Zie Defender for Identity Capacity Planning voor meer informatie.

Als de Defender for Identity-sensor geen virtuele domeincontroller kan dekken, gebruikt u in plaats daarvan een virtuele of fysieke zelfstandige Defender for Identity-sensor. Zie Poortspiegeling configureren voor meer informatie.

De eenvoudigste manier is om een virtuele Defender for Identity-zelfstandige sensor te hebben op elke host waarop een virtuele domeincontroller bestaat.

Als uw virtuele domeincontrollers tussen hosts schakelen, moet u een van de volgende stappen uitvoeren:

• Wanneer de virtuele domeincontroller naar een andere host wordt verplaatst, configureert u vooraf de zelfstandige sensor van Defender for Identity in die host om het verkeer van de onlangs verplaatste virtuele domeincontroller te ontvangen.

• Zorg ervoor dat u de zelfstandige virtuele Defender for Identity-sensor aan de virtuele domeincontroller hebt gekoppeld, zodat de zelfstandige Defender for Identity-sensor meegaat als deze wordt verplaatst.

• Er zijn enkele virtuele switches die verkeer tussen hosts kunnen verzenden.

Uw domeincontrollers kunnen alleen communiceren met de cloudservice als u *.atp.azure.com poort 443 in uw firewall/proxy opent. Zie Uw proxy of firewall configureren om communicatie met Defender for Identity-sensoren in te schakelen voor meer informatie.

Ja, u kunt de Defender for Identity-sensor gebruiken om domeincontrollers te bewaken die zich in een IaaS-oplossing bevinden.

Defender for Identity ondersteunt omgevingen met meerdere domeinen en meerdere forests. Zie Ondersteuning voor meerdere forests voor meer informatie en vertrouwensvereisten.

Ja, u kunt de algehele implementatiestatus en eventuele specifieke problemen met betrekking tot configuratie, connectiviteit, enzovoort bekijken. U krijgt een waarschuwing wanneer deze gebeurtenissen optreden met statusproblemen met Defender for Identity.

Microsoft Defender for Identity biedt beveiligingswaarde voor alle Active Directory-accounts, inclusief accounts die niet zijn gesynchroniseerd met Microsoft Entra ID. Gebruikersaccounts die worden gesynchroniseerd met Microsoft Entra ID, profiteren ook van de beveiligingswaarde van Microsoft Entra ID (op basis van licentieniveau) en van scoren op onderzoeksprioriteit.

Het Microsoft Defender for Identity team raadt aan dat alle klanten het Npcap-stuurprogramma gebruiken in plaats van de WinPcap-stuurprogramma's. Vanaf Defender for Identity versie 2.184 installeert het installatiepakket Npcap 1.0 OEM in plaats van de WinPcap 4.1.3-stuurprogramma's.

WinPcap wordt niet meer ondersteund en omdat het niet meer wordt ontwikkeld, kan het stuurprogramma niet meer worden geoptimaliseerd voor de Defender for Identity-sensor. Als er in de toekomst een probleem is met het WinPcap-stuurprogramma, zijn er bovendien geen opties voor een oplossing.

Npcap wordt ondersteund, terwijl WinPcap niet langer een ondersteund product is.

Voor de MDI-sensor is Npcap 1.0 of hoger vereist. Het sensorinstallatiepakket installeert versie 1.0 als er geen andere versie van Npcap is geïnstalleerd. Als Npcap al is geïnstalleerd (vanwege andere softwarevereisten of een andere reden), is het belangrijk om ervoor te zorgen dat het versie 1.0 of hoger is geïnstalleerd en dat het is geïnstalleerd met de vereiste instellingen voor MDI.

Ja. Het is vereist om de sensor handmatig te verwijderen om de WinPcap-stuurprogramma's te verwijderen. Als u het meest recente pakket opnieuw installeert, worden de Npcap-stuurprogramma's geïnstalleerd.

U kunt zien dat Npcap OEM is geïnstalleerd via de programma's voor toevoegen/verwijderen (appwiz.cpl), en als er een open statusprobleem voor is, wordt dit automatisch gesloten.

Nee, Npcap heeft een uitzondering op de gebruikelijke limiet van vijf installaties. U kunt deze installeren op een onbeperkt aantal systemen waar deze alleen wordt gebruikt met de Defender for Identity-sensor.

Zie hier de Npcap-licentieovereenkomst en zoek naar Microsoft Defender for Identity.

Nee, alleen de Microsoft Defender for Identity sensor ondersteunt Npcap versie 1.00.

Nee, u hoeft de OEM-versie niet aan te schaffen. Download het sensorinstallatiepakket versie 2.156 en hoger van de Defender for Identity-console, die de OEM-versie van Npcap bevat.

• U kunt de Npcap-uitvoerbare bestanden verkrijgen door het meest recente implementatiepakket van de Defender for Identity-sensor te downloaden.

• Als u de sensor nog niet hebt geïnstalleerd, installeert u de sensor met versie 2.184 of hoger.

• Als u de sensor al hebt geïnstalleerd met WinPcap en moet bijwerken om Npcap te gebruiken:

  1. Verwijder de sensor. Gebruik Programma's toevoegen/verwijderen uit het Windows-configuratiescherm (appwiz.cpl), of voer de volgende verwijderopdracht uit: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Verwijder WinPcap indien nodig. Deze stap is alleen relevant als WinPcap handmatig is geïnstalleerd vóór de sensorinstallatie. In dit geval moet u WinPcap handmatig verwijderen.

  3. Installeer de sensor opnieuw met versie 2.184 of hoger.

• Als u Npcap handmatig wilt installeren: Installeer Npcap met de volgende opties:

  • Als u het GUI-installatieprogramma gebruikt, schakelt u de optie loopback-ondersteuning uit en selecteert u WinPcap-modus . Zorg ervoor dat de optie Alleen toegang van npcap-stuurprogramma's tot beheerders beperken is uitgeschakeld.
  • Als u de opdrachtregel gebruikt, voert u het volgende uit: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Als u Npcap handmatig wilt upgraden:

  1. Stop de Defender for Identity-sensorservices, AATPSensorUpdater en AATPSensor. Rennen: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Verwijder Npcap met behulp van programma's toevoegen/verwijderen in het Windows-configuratiescherm (appwiz.cpl).

  3. Installeer Npcap met de volgende opties:

     • Als u het GUI-installatieprogramma gebruikt, schakelt u de optie loopback-ondersteuning uit en selecteert u WinPcap-modus . Zorg ervoor dat de optie Alleen toegang van npcap-stuurprogramma's tot beheerders beperken is uitgeschakeld.

     • Als u de opdrachtregel gebruikt, voert u het volgende uit: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Start de Defender for Identity-sensorservices, AATPSensorUpdater en AATPSensor. Rennen: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity kan worden geconfigureerd om een Syslog-waarschuwing te verzenden naar elke SIEM-server met behulp van de CEF-indeling, voor statusproblemen en wanneer een beveiligingswaarschuwing wordt gedetecteerd. Zie de siem-logboekreferentie voor meer informatie.

Accounts worden als gevoelig beschouwd wanneer een account lid is van groepen die zijn aangewezen als gevoelig (bijvoorbeeld: 'Domeinbeheerders').

Als u wilt weten waarom een account gevoelig is, kunt u het groepslidmaatschap bekijken om te begrijpen tot welke gevoelige groepen het behoort. De groep waartoe deze behoort, kan ook gevoelig zijn vanwege een andere groep, dus moet hetzelfde proces worden uitgevoerd totdat u de gevoelige groep op het hoogste niveau hebt gevonden. U kunt accounts ook handmatig taggen als gevoelig.

Met Defender for Identity hoeft u geen regels, drempelwaarden of basislijnen te maken en vervolgens af te stemmen. Defender for Identity analyseert het gedrag van gebruikers, apparaten en resources, evenals hun relatie met elkaar en kan verdachte activiteiten en bekende aanvallen snel detecteren. Drie weken na de implementatie begint Defender for Identity met het detecteren van verdachte gedragsactiviteiten. Aan de andere kant begint Defender for Identity onmiddellijk na de implementatie met het detecteren van bekende schadelijke aanvallen en beveiligingsproblemen.

Defender for Identity genereert verkeer van domeincontrollers naar computers in de organisatie in een van de drie scenario's:

• Netwerknaamomzetting Defender for Identity legt verkeer en gebeurtenissen vast, leert en profileert gebruikers en computeractiviteiten in het netwerk. Als u activiteiten wilt leren en profilen op basis van computers in de organisatie, moet Defender for Identity IP-adressen naar computeraccounts oplossen. Als u IP-adressen wilt omzetten naar computernamen Defender for Identity-sensoren, vraagt u het IP-adres aan voor de computernaam achter het IP-adres.

  Aanvragen worden gedaan met behulp van een van de volgende vier methoden:

  • NTLM via RPC (TCP-poort 135)
  • NetBIOS (UDP-poort 137)
  • RDP (TCP-poort 3389)
  • Query's uitvoeren op de DNS-server met behulp van reverse DNS lookup van het IP-adres (UDP 53)

  Nadat de computernaam is opgehaald, controleren Defender for Identity-sensoren de details in Active Directory om te zien of er een gecorreleerd computerobject met dezelfde computernaam is. Als er een overeenkomst wordt gevonden, wordt er een koppeling gemaakt tussen het IP-adres en het overeenkomende computerobject.

• Lateral Movement Path (LMP) Voor het bouwen van potentiële LMP's voor gevoelige gebruikers, vereist Defender for Identity informatie over de lokale beheerders op computers. In dit scenario gebruikt de Defender for Identity-sensor SAM-R (TCP 445) om een query uit te voeren op het IP-adres dat in het netwerkverkeer is geïdentificeerd om de lokale beheerders van de computer te bepalen. Zie Vereiste SAM-R-machtigingen configureren voor meer informatie over Defender for Identity en SAM-R.

• Als u een query uitvoert op Active Directory met ldap voor entiteitsgegevens Defender for Identity-sensoren, wordt de domeincontroller opgevraagd vanuit het domein waartoe de entiteit behoort. Het kan dezelfde sensor zijn of een andere domeincontroller van dat domein.

Defender for Identity legt activiteiten vast via veel verschillende protocollen. In sommige gevallen ontvangt Defender for Identity niet de gegevens van de brongebruiker in het verkeer. Defender for Identity probeert de sessie van de gebruiker te correleren met de activiteit en wanneer de poging is geslaagd, wordt de brongebruiker van de activiteit weergegeven. Wanneer correlatiepogingen van gebruikers mislukken, wordt alleen de broncomputer weergegeven.

Defender for Identity-sensor kan een DNS-aanroep naar 'aatp.dns.detection.local' activeren als reactie op bepaalde binnenkomende DNS-activiteiten op de door MDI bewaakte machine.

Persoonlijke gebruikersgegevens in Defender for Identity worden afgeleid van het object van de gebruiker in de Active Directory van de organisatie en kunnen niet rechtstreeks worden bijgewerkt in Defender for Identity.

U kunt persoonsgegevens uit Defender for Identity exporteren met dezelfde methode als het exporteren van informatie over beveiligingswaarschuwingen. Zie Beveiligingswaarschuwingen controleren voor meer informatie.

Gebruik de zoekbalk Microsoft Defender portal om te zoeken naar identificeerbare persoonlijke gegevens, zoals een specifieke gebruiker of computer. Zie Assets onderzoeken voor meer informatie.

Defender for Identity implementeert de controle van wijzigingen in persoonsgegevens, waaronder het verwijderen en exporteren van persoonlijke gegevensrecords. De bewaartijd van audittrail is 90 dagen. Controle in Defender for Identity is een back-endfunctie die niet toegankelijk is voor klanten.

Nadat een gebruiker is verwijderd uit de Active Directory van de organisatie, verwijdert Defender for Identity automatisch het gebruikersprofiel en alle gerelateerde netwerkactiviteiten in overeenstemming met het algemene beleid voor gegevensretentie van Defender for Identity, tenzij de gegevens deel uitmaken van een actief incident. U wordt aangeraden alleen-lezenmachtigingen toe te voegen voor de container Verwijderde objecten . Zie Vereiste DSA-machtigingen verlenen voor meer informatie.

Bekijk de meest recente fout in het huidige foutenlogboek (waar Defender for Identity is geïnstalleerd onder de map Logboeken).

Verwante onderwerpen

• Vereisten voor Defender for Identity
• Capaciteitsplanning voor Defender for Identity
• Gebeurtenisverzameling configureren
• Doorsturen van Windows-gebeurtenissen configureren
• Problemen oplossen
• Bekijk het Defender for Identity-forum.