Usługa Microsoft Defender for Identity — często zadawane pytania

Ten artykuł zawiera listę często zadawanych pytań i odpowiedzi dotyczących usługi Microsoft Defender for Identity podzielonych na następujące kategorie:

Co to jest usługa Defender for Identity?

Co może wykryć usługa Defender for Identity?

Usługa Defender for Identity wykrywa znane złośliwe ataki i techniki, problemy z zabezpieczeniami i zagrożenia związane z siecią. Aby uzyskać pełną listę wykrywania tożsamości usługi Defender for Identity, zobacz Defender for Identity Security Alerts (Alerty zabezpieczeń usługi Defender for Identity).

Jakie dane zbiera usługa Defender for Identity?

Usługa Defender for Identity zbiera i przechowuje informacje ze skonfigurowanych serwerów, takich jak kontrolery domeny, serwery członkowskie itd. Dane są przechowywane w bazie danych specyficznej dla usługi na potrzeby administracji, śledzenia i raportowania.

Zebrane informacje obejmują:

  • Ruch sieciowy do i z kontrolerów domeny, takich jak uwierzytelnianie Kerberos, uwierzytelnianie NTLM lub zapytania DNS.
  • Dzienniki zabezpieczeń, takie jak zdarzenia zabezpieczeń systemu Windows.
  • Informacje o usłudze Active Directory, takie jak struktura, podsieci lub lokacje.
  • Informacje o jednostkach, takie jak nazwy, adresy e-mail i numery telefonów.

Firma Microsoft używa tych danych do:

  • Proaktywne identyfikowanie wskaźników ataku (IOA) w organizacji.
  • Wygeneruj alerty, jeśli wykryto możliwy atak.
  • Zapewnij swoim operacjom zabezpieczeń wgląd w jednostki związane z sygnałami zagrożenia z sieci, umożliwiając badanie i eksplorowanie obecności zagrożeń bezpieczeństwa w sieci.

Firma Microsoft nie udostępnia Twoich danych w celu reklamowania ani do żadnego innego celu niż dostarczanie ci usługi.

Ile poświadczeń usługi katalogowej obsługuje usługa Defender for Identity?

Usługa Defender for Identity obsługuje obecnie dodawanie do 30 różnych poświadczeń usługi katalogowej w celu obsługi środowisk usługi Active Directory z niezaufanymi lasami. Jeśli potrzebujesz więcej kont, otwórz bilet pomocy technicznej.

Czy usługa Defender for Identity używa tylko ruchu z usługi Active Directory?

Oprócz analizowania ruchu usługi Active Directory przy użyciu technologii głębokiej inspekcji pakietów usługa Defender for Identity zbiera również odpowiednie zdarzenia systemu Windows z kontrolera domeny i tworzy profile jednostek na podstawie informacji z usług domena usługi Active Directory Services. Usługa Defender for Identity obsługuje również otrzymywanie ewidencjonowania dzienników sieci VPN w usłudze RADIUS od różnych dostawców (Microsoft, Cisco, F5 i Checkpoint).

Czy usługa Defender for Identity monitoruje tylko urządzenia przyłączone do domeny?

L.p. Usługa Defender for Identity monitoruje wszystkie urządzenia w sieci wykonujące żądania uwierzytelniania i autoryzacji względem usługi Active Directory, w tym urządzeń innych niż Windows i urządzeń przenośnych.

Czy usługa Defender for Identity monitoruje konta komputerów i konta użytkowników?

Tak. Ponieważ konta komputerów i inne jednostki mogą służyć do wykonywania złośliwych działań, usługa Defender for Identity monitoruje zachowanie wszystkich kont komputerów i wszystkie inne jednostki w środowisku.

Jaka jest różnica między usługą Advanced Threat Analytics (ATA) i usługą Defender for Identity?

Usługa ATA jest autonomicznym rozwiązaniem lokalnym z wieloma składnikami, takimi jak centrum usługi ATA, które wymaga dedykowanego sprzętu lokalnego.

Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń korzystające z sygnałów lokalna usługa Active Directory. Rozwiązanie jest wysoce skalowalne i jest często aktualizowane.

Ostateczna wersja usługi ATA jest ogólnie dostępna. Usługa ATA zakończyła wsparcie podstawowe 12 stycznia 2021 r. Wsparcie dodatkowe trwa do stycznia 2026 r. Aby uzyskać więcej informacji, przeczytaj nasz blog.

W przeciwieństwie do czujnika usługi ATA czujnik usługi Defender for Identity używa również źródeł danych, takich jak śledzenie zdarzeń dla systemu Windows (ETW), co umożliwia usłudze Defender for Identity dostarczanie dodatkowych wykryć.

Częste aktualizacje usługi Defender for Identity obejmują następujące funkcje i możliwości:

  • Obsługa środowisk z wieloma lasami: zapewnia organizacjom widoczność w lasach usługi AD.

  • Oceny stanu wskaźnika bezpieczeństwa firmy Microsoft: identyfikuje typowe błędy konfiguracji i możliwe do wykorzystania składniki oraz udostępnia ścieżki korygowania w celu zmniejszenia obszaru ataków.

  • Możliwości analizy UEBA: szczegółowe informacje o ryzyku poszczególnych użytkowników za pomocą oceniania priorytetu badania użytkowników. Wynik może pomóc SecOps w badaniach i pomóc analitykom zrozumieć nietypowe działania dla użytkownika i organizacji.

  • Integracje natywne: integruje się z aplikacjami Microsoft Defender dla Chmury i usługą Azure AD Identity Protection, aby zapewnić hybrydowy widok tego, co odbywa się zarówno w środowiskach lokalnych, jak i hybrydowych.

  • Współtworzy usługę Microsoft Defender XDR: współtworzy dane alertów i zagrożeń w usłudze Microsoft Defender XDR. Usługa Microsoft Defender XDR używa portfolio zabezpieczeń platformy Microsoft 365 (tożsamości, punktów końcowych, danych i aplikacji), aby automatycznie analizować dane zagrożeń między domenami, tworząc pełny obraz każdego ataku na jednym pulpicie nawigacyjnym.

    Dzięki tej szerokości i głębi jasności obrońcy mogą skupić się na krytycznych zagrożeniach i polowaniu na zaawansowane naruszenia. Obrońcy mogą ufać, że zaawansowana automatyzacja usługi Microsoft Defender zatrzymuje ataki w dowolnym miejscu w łańcuchu zabić i zwraca organizację do bezpiecznego stanu.

Licencjonowanie i prywatność

Gdzie mogę uzyskać licencję dla usługi Microsoft Defender for Identity?

Usługa Defender for Identity jest dostępna w ramach pakietu Enterprise Mobility + Security 5 (EMS E5) i jako licencja autonomiczna. Licencję można uzyskać bezpośrednio z portalu platformy Microsoft 365 lub za pośrednictwem modelu licencjonowania Cloud Solution Partner (CSP).

Czy usługa Defender for Identity potrzebuje tylko jednej licencji lub czy wymaga licencji dla każdego użytkownika, którego chcę chronić?

Aby uzyskać informacje o wymaganiach dotyczących licencjonowania usługi Defender for Identity, zobacz Defender for Identity licensing guidance (Wskazówki dotyczące licencjonowania usługi Defender for Identity).

Czy moje dane są odizolowane od innych danych klientów?

Tak, dane są izolowane za pośrednictwem uwierzytelniania dostępu i segregacji logicznej na podstawie identyfikatorów klientów. Każdy klient może uzyskiwać dostęp tylko do danych zebranych z własnej organizacji i ogólnych danych zapewnianych przez firmę Microsoft.

Czy mam możliwość wyboru miejsca przechowywania danych?

L.p. Po utworzeniu obszaru roboczego usługi Defender for Identity jest on przechowywany automatycznie w regionie świadczenia usługi Azure znajdującym się najbliżej lokalizacji geograficznej dzierżawy firmy Microsoft Entra. Po utworzeniu obszaru roboczego usługi Defender for Identity nie można przenieść danych usługi Defender for Identity do innego regionu.

W jaki sposób firma Microsoft zapobiega złośliwym działaniom poufnym i nadużyciom ról o wysokich uprawnieniach?

Deweloperzy i administratorzy firmy Microsoft otrzymali wystarczające uprawnienia do wykonywania przypisanych im obowiązków związanych z działaniem i rozwijaniem usługi. Firma Microsoft wdraża kombinacje mechanizmów zapobiegawczych, detektywistywnych i reaktywnych, w tym następujących mechanizmów, które pomagają chronić przed nieautoryzowanym deweloperem i/lub działaniami administracyjnymi:

  • Ścisła kontrola dostępu do poufnych danych
  • Kombinacje kontrolek, które znacznie zwiększają niezależne wykrywanie złośliwych działań
  • Wiele poziomów monitorowania, rejestrowania i raportowania

Ponadto firma Microsoft przeprowadza kontrole weryfikacji w tle dla niektórych pracowników operacyjnych i ogranicza dostęp do aplikacji, systemów i infrastruktury sieciowej proporcjonalnie do poziomu weryfikacji w tle. Personel operacyjny postępuje zgodnie z formalnym procesem, gdy jest wymagany do uzyskania dostępu do konta klienta lub powiązanych informacji w zakresie wykonywania swoich obowiązków.

Wdrożenie

Ile czujników usługi Defender for Identity potrzebuję?

Zalecamy posiadanie czujnika usługi Defender for Identity lub autonomicznego czujnika dla każdego z kontrolerów domeny. Aby uzyskać więcej informacji, zobacz Ustalanie rozmiaru czujnika usługi Defender for Identity.

Czy usługa Defender for Identity współpracuje z zaszyfrowanym ruchem?

Chociaż protokoły sieciowe z zaszyfrowanym ruchem, takim jak AtSvc i WMI, nie są odszyfrowywane, czujniki nadal analizują ruch.

Czy usługa Defender for Identity współpracuje z ochroną protokołu Kerberos?

Usługa Defender for Identity obsługuje ochronę protokołu Kerberos, znaną również jako bezpieczne tunelowanie uwierzytelniania elastycznego (FAST). Wyjątkiem od tej obsługi jest over-pass wykrywanie skrótów, które nie działa z kerberos Armoring.

Jak mogę monitorować wirtualny kontroler domeny przy użyciu usługi Defender for Identity?

Czujnik usługi Defender for Identity może obejmować większość wirtualnych kontrolerów domeny. Aby uzyskać więcej informacji, zobacz Defender for Identity Capacity Planning (Planowanie pojemności usługi Defender for Identity).

Jeśli czujnik usługi Defender for Identity nie może objąć wirtualnego kontrolera domeny, zamiast tego użyj wirtualnego lub fizycznego czujnika autonomicznego usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz Konfigurowanie dublowania portów.

Najprostszym sposobem jest posiadanie wirtualnego czujnika autonomicznego usługi Defender for Identity na każdym hoście, na którym istnieje wirtualny kontroler domeny.

Jeśli wirtualne kontrolery domeny przechodzą między hostami, należy wykonać jedną z następujących czynności:

  • Po przeniesieniu wirtualnego kontrolera domeny do innego hosta należy wstępnie skonfigurować autonomiczny czujnik usługi Defender for Identity na tym hoście w celu odbierania ruchu z ostatnio przeniesionego wirtualnego kontrolera domeny.

  • Upewnij się, że jest powiązany wirtualny czujnik autonomiczny usługi Defender for Identity z wirtualnym kontrolerem domeny, tak aby w przypadku jego przeniesienia czujnik autonomiczny usługi Defender for Identity był przenoszony z nim.

  • Istnieją pewne przełączniki wirtualne, które mogą wysyłać ruch między hostami.

Jak mogę skonfigurować czujniki usługi Defender for Identity do komunikowania się z usługą Defender for Identity w chmurze, gdy mam serwer proxy?

Aby kontrolery domeny komunikowały się z usługą w chmurze, należy otworzyć port *.atp.azure.com 443 w zaporze/serwerze proxy. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera proxy lub zapory w celu włączenia komunikacji z czujnikami usługi Defender for Identity.

Czy monitorowane kontrolery domeny usługi Defender for Identity mogą być zwirtualizowane w rozwiązaniu IaaS?

Tak, możesz użyć czujnika usługi Defender for Identity do monitorowania kontrolerów domeny, które znajdują się w dowolnym rozwiązaniu IaaS.

Czy usługa Defender for Identity może obsługiwać wiele domen i wiele lasów?

Usługa Defender for Identity obsługuje środowiska z wieloma domenami i wiele lasów. Aby uzyskać więcej informacji i wymagań dotyczących zaufania, zobacz Obsługa wielu lasów.

Czy widzisz ogólną kondycję wdrożenia?

Tak, możesz wyświetlić ogólną kondycję wdrożenia i wszelkie konkretne problemy związane z konfiguracją, łącznością itd. Otrzymasz alert, gdy te zdarzenia występują w przypadku problemów z kondycją usługi Defender for Identity.

Czy usługa Microsoft Defender for Identity wymaga synchronizowania użytkowników z identyfikatorem Entra firmy Microsoft?

Usługa Microsoft Defender for Identity zapewnia wartość zabezpieczeń dla wszystkich kont usługi Active Directory, w tym tych, które nie są synchronizowane z identyfikatorem Entra firmy Microsoft. Konta użytkowników, które są synchronizowane z identyfikatorem Entra firmy Microsoft, również będą korzystać z wartości zabezpieczeń udostępnianej przez identyfikator entra firmy Microsoft (na podstawie poziomu licencji) i oceniania priorytetu badania.

Sterowniki WinPcap i Npcap

Jakie zalecenia dotyczące sterowników WinPcap i Npcap zmieniają się?

Zespół usługi Microsoft Defender for Identity zaleca, aby wszyscy klienci używali sterownika Npcap zamiast sterowników WinPcap. Począwszy od usługi Defender for Identity w wersji 2.184, pakiet instalacyjny instaluje oprogramowanie Npcap 1.0 OEM zamiast sterowników WinPcap 4.1.3.

Dlaczego odchodzimy od WinPcap?

WinPcap nie jest już obsługiwany i ponieważ nie jest już opracowywany, sterownik nie może być już zoptymalizowany dla czujnika usługi Defender for Identity. Ponadto, jeśli w przyszłości wystąpi problem ze sterownikiem WinPcap, nie ma możliwości rozwiązania problemu.

Dlaczego npcap?

Narzędzie Npcap jest obsługiwane, a narzędzie WinPcap nie jest już obsługiwanym produktem.

Jaka wersja serwera Npcap jest obsługiwana?

Czujnik MDI wymaga rozwiązania Npcap 1.0 lub nowszego. Pakiet instalacyjny czujnika zainstaluje wersję 1.0, jeśli nie zainstalowano innej wersji programu Npcap. Jeśli masz już zainstalowaną aplikację Npcap (ze względu na inne wymagania dotyczące oprogramowania lub z jakiegokolwiek innego powodu), ważne jest, aby upewnić się, że jest ona zainstalowana w wersji 1.0 lub nowszej i że została zainstalowana z wymaganymi ustawieniami mdI.

Czy muszę ręcznie usunąć i ponownie zainstalować czujnik, czy usługa automatycznej aktualizacji będzie obsługiwać tę funkcję w ramach normalnego aktualizowania?

Tak. Wymagane jest ręczne usunięcie czujnika w celu usunięcia sterowników WinPcap. Ponowna instalacja przy użyciu najnowszego pakietu spowoduje zainstalowanie sterowników Npcap.

Jak sprawdzić, czy moja bieżąca instalacja usługi Defender for Identity korzysta z serwera Npcap lub WinPcap?

Zobaczysz, że "Npcap OEM" jest zainstalowany za pośrednictwem programów dodawania/usuwania (appwiz.cpl), a jeśli wystąpił problem z otwartą kondycją, zostanie on automatycznie zamknięty.

Mam więcej niż pięć kontrolerów domeny w mojej organizacji. Czy muszę kupić licencję npcap, jeśli używam serwera Npcap na tych kontrolerach domeny?

Nie, Npcap ma wykluczenie ze zwykłego limitu pięciu instalacji. Można go zainstalować w systemach bez ograniczeń, w których jest używany tylko z czujnikiem usługi Defender for Identity.

Zobacz tutaj umowę licencyjną Npcap i wyszukaj usługę Microsoft Defender for Identity.

Czy narzędzie Npcap jest również istotne dla usługi ATA?

Nie, tylko czujnik usługi Microsoft Defender for Identity obsługuje protokół Npcap w wersji 1.00.

Czy chcę utworzyć skrypt wdrożenia serwera Npcap, czy muszę kupić wersję producenta OEM?

Nie, nie musisz kupować wersji OEM. Pobierz pakiet instalacyjny czujnika w wersji 2.156 lub nowszej z konsoli usługi Defender for Identity, która zawiera wersję OEM serwera Npcap.

Jak mogę pobrać i zainstalować lub uaktualnić sterownik Npcap?

  • Pliki wykonywalne Npcap można uzyskać, pobierając najnowszy pakiet wdrożeniowy czujnika usługi Defender for Identity.

  • Jeśli czujnik nie został jeszcze zainstalowany, zainstaluj czujnik przy użyciu wersji 2.184 lub nowszej.

  • Jeśli czujnik został już zainstalowany za pomocą narzędzia WinPcap i musisz zaktualizować go, aby użyć narzędzia Npcap:

    1. Odinstaluj czujnik. Użyj polecenia Dodaj/Usuń programy z panelu sterowania systemu Windows (appwiz.cpl) lub uruchom następujące polecenie odinstalowania:".\Azure ATP Sensor Setup.exe" /uninstall /quiet

    2. Odinstaluj program WinPcap w razie potrzeby. Ten krok ma zastosowanie tylko wtedy, gdy program WinPcap został ręcznie zainstalowany przed instalacją czujnika. W takim przypadku należy ręcznie usunąć winpcap.

    3. Zainstaluj ponownie czujnik przy użyciu wersji 2.184 lub nowszej.

  • Jeśli chcesz ręcznie zainstalować narzędzie Npcap: zainstaluj narzędzie Npcap z następującymi opcjami:

    • Jeśli używasz instalatora graficznego interfejsu użytkownika, wyczyść opcję obsługi sprzężenia zwrotnego i wybierz tryb WinPcap . Upewnij się, że opcja Ogranicz dostęp sterownika Npcap tylko do administratorów jest czyszczone.
    • Jeśli używasz wiersza polecenia, uruchom polecenie: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  • Jeśli chcesz ręcznie uaktualnić narzędzie Npcap:

    1. Zatrzymaj usługi czujników usługi Defender for Identity, AATPSensorUpdater i AATPSensor. Uruchom polecenie Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

    2. Usuń narzędzie Npcap przy użyciu opcji Dodaj/Usuń programy w panelu sterowania systemu Windows (appwiz.cpl).

    3. Zainstaluj narzędzie Npcap z następującymi opcjami:

      • Jeśli używasz instalatora graficznego interfejsu użytkownika, wyczyść opcję obsługi sprzężenia zwrotnego i wybierz tryb WinPcap . Upewnij się, że opcja Ogranicz dostęp sterownika Npcap tylko do administratorów jest czyszczone.

      • Jeśli używasz wiersza polecenia, uruchom polecenie: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

    4. Uruchom usługi czujników usługi Defender for Identity, AATPSensorUpdater i AATPSensor. Uruchom polecenie Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Operacja

Jakiego rodzaju integracja ma usługa Defender for Identity z programem SIEM?

Usługę Defender for Identity można skonfigurować do wysyłania alertu dziennika systemowego do dowolnego serwera SIEM przy użyciu formatu CEF, w przypadku problemów z kondycją i wykrycia alertu zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację dziennika SIEM.

Dlaczego niektóre konta są uznawane za poufne?

Konta są traktowane jako poufne, gdy konto jest członkiem grup wyznaczonych jako poufne (na przykład: "Administratorzy domeny").

Aby zrozumieć, dlaczego konto jest wrażliwe, możesz przejrzeć jego członkostwo w grupie, aby zrozumieć, do których poufnych grup należy. Grupa, do której należy, może być również wrażliwa ze względu na inną grupę, więc ten sam proces należy wykonać do momentu zlokalizowania grupy poufnej najwyższego poziomu. Możesz też ręcznie oznaczyć konta jako poufne.

Czy musisz napisać własne reguły i utworzyć próg/punkt odniesienia?

W usłudze Defender for Identity nie ma potrzeby tworzenia reguł, progów ani punktów odniesienia, a następnie dostrajania ich. Usługa Defender for Identity analizuje zachowania użytkowników, urządzeń i zasobów, a także ich relacje ze sobą i może szybko wykrywać podejrzane działania i znane ataki. Trzy tygodnie po wdrożeniu usługa Defender for Identity zaczyna wykrywać podejrzane działania behawioralne. Z drugiej strony usługa Defender for Identity rozpocznie wykrywanie znanych złośliwych ataków i problemów z zabezpieczeniami natychmiast po wdrożeniu.

Który ruch jest generowany przez usługę Defender for Identity w sieci z kontrolerów domeny i dlaczego?

Usługa Defender for Identity generuje ruch z kontrolerów domeny do komputerów w organizacji w jednym z trzech scenariuszy:

  • Rozpoznawanie nazw sieciowych w usłudze Defender for Identity przechwytuje ruch i zdarzenia, uczenie i profilowanie użytkowników i działań komputerowych w sieci. Aby nauczyć się i profilować działania zgodnie z komputerami w organizacji, usługa Defender for Identity musi rozpoznawać adresy IP na kontach komputerów. Aby rozpoznać adresy IP do nazw komputerów Usługi Defender for Identity, zażądaj adresu IP nazwy komputera za adresem IP.

    Żądania są wykonywane przy użyciu jednej z czterech metod:

    • NTLM przez RPC (port TCP 135)
    • NetBIOS (port UDP 137)
    • RDP (port TCP 3389)
    • Wykonywanie zapytań względem serwera DNS przy użyciu wstecznego wyszukiwania DNS adresu IP (UDP 53)

    Po otrzymaniu nazwy komputera czujniki usługi Defender for Identity sprawdzają szczegóły w usłudze Active Directory, aby sprawdzić, czy istnieje skorelowany obiekt komputera o tej samej nazwie komputera. W przypadku znalezienia dopasowania skojarzenie jest wykonywane między adresem IP a dopasowanym obiektem komputera.

  • Ścieżka ruchu bocznego (LMP) Aby utworzyć potencjalnych dostawców lmps dla poufnych użytkowników, usługa Defender for Identity wymaga informacji o lokalnych administratorach na komputerach. W tym scenariuszu czujnik usługi Defender for Identity używa protokołu SAM-R (TCP 445) do wykonywania zapytań dotyczących adresu IP zidentyfikowanego w ruchu sieciowym w celu określenia lokalnych administratorów komputera. Aby dowiedzieć się więcej o usłudze Defender for Identity i SAM-R, zobacz Konfigurowanie wymaganych uprawnień SAM-R.

  • Wykonywanie zapytań dotyczących usługi Active Directory przy użyciu protokołu LDAP dla czujników danych jednostki Defender for Identity wysyła zapytanie do kontrolera domeny z domeny, do której należy jednostka. Może to być ten sam czujnik lub inny kontroler domeny z tej domeny.

Protokół Usługa Port Źródło Kierunek
LDAP TCP i UDP 389 Kontrolery domeny Wychodzący
Protokół Secure LDAP (LDAPS) TCP 636 Kontrolery domeny Wychodzący
Ldap do wykazu globalnego TCP 3268 Kontrolery domeny Wychodzący
LdapS do wykazu globalnego TCP 3269 Kontrolery domeny Wychodzący

Dlaczego działania nie zawsze wyświetlają zarówno użytkownika źródłowego, jak i komputera?

Usługa Defender for Identity przechwytuje działania za pośrednictwem wielu różnych protokołów. W niektórych przypadkach usługa Defender for Identity nie odbiera danych użytkownika źródłowego w ruchu. Usługa Defender for Identity próbuje skorelować sesję użytkownika z działaniem, a gdy próba zakończy się pomyślnie, zostanie wyświetlony źródłowy użytkownik działania. Gdy próby korelacji użytkownika kończą się niepowodzeniem, wyświetlany jest tylko komputer źródłowy.

Dlaczego widzę zapytania DNS do pliku aatp.dns.detection.local?

Czujnik usługi Defender for Identity może wyzwolić wywołanie DNS "aatp.dns.detection.local" w odpowiedzi na niektóre przychodzące działania DNS na monitorowaną maszynę MDI.

Zarządzanie danymi osobowymi

Czy dane użytkownika osobistego mogą być aktualizowane w usłudze Defender for Identity?

Dane użytkownika osobistego w usłudze Defender for Identity pochodzą z obiektu użytkownika w usłudze Active Directory organizacji i nie można ich aktualizować bezpośrednio w usłudze Defender for Identity.

Jak mogę wyeksportować dane osobowe z usługi Defender for Identity?

Dane osobowe można wyeksportować z usługi Defender for Identity przy użyciu tej samej metody co eksportowanie informacji o alertach zabezpieczeń. Aby uzyskać więcej informacji, zobacz Przeglądanie alertów zabezpieczeń.

Jak mogę zlokalizować dane osobowe przechowywane w usłudze Defender for Identity?

Użyj paska wyszukiwania portalu Microsoft Defender, aby wyszukać możliwe do zidentyfikowania dane osobowe, takie jak określony użytkownik lub komputer. Aby uzyskać więcej informacji, zobacz Badanie zasobów.

Jakiego rodzaju inspekcja jest uruchamiana w usłudze Defender for Identity na danych osobowych?

Usługa Defender for Identity implementuje inspekcję zmian danych osobowych, w tym usuwanie i eksportowanie rekordów danych osobowych. Czas przechowywania dziennika inspekcji wynosi 90 dni. Inspekcja w usłudze Defender for Identity to funkcja zaplecza, która nie jest dostępna dla klientów.

Co się stanie w usłudze Defender for Identity, gdy użytkownik zostanie usunięty z usługi Active Directory organizacji?

Po usunięciu użytkownika z usługi Active Directory organizacji usługa Defender for Identity automatycznie usuwa profil użytkownika i wszelkie powiązane działania sieciowe zgodnie z ogólnymi zasadami przechowywania danych usługi Defender for Identity, chyba że dane są częścią aktywnego zdarzenia. Zalecamy dodanie uprawnień tylko do odczytu w kontenerze Usunięte obiekty . Aby uzyskać więcej informacji, zobacz Udzielanie wymaganych uprawnień DSA.

Rozwiązywanie problemów

Co zrobić, jeśli czujnik usługi Defender for Identity lub autonomiczny czujnik nie zostanie uruchomiony?

Zapoznaj się z najnowszym błędem w bieżącym dzienniku błędów (gdzie usługa Defender for Identity jest zainstalowana w folderze "Dzienniki").