Ten artykuł zawiera listę często zadawanych pytań i odpowiedzi dotyczących Microsoft Defender for Identity podzielonych na następujące kategorie:
Co to jest usługa Defender for Identity?
Co może wykryć usługa Defender for Identity?
Usługa Defender for Identity wykrywa znane złośliwe ataki i techniki, problemy z zabezpieczeniami i zagrożenia dla sieci. Aby uzyskać pełną listę wykrywania tożsamości w usłudze Defender, zobacz Defender for Identity Security Alerts (Alerty zabezpieczeń tożsamości w usłudze Defender for Identity).
Jakie dane zbiera usługa Defender for Identity?
Usługa Defender for Identity zbiera i przechowuje informacje ze skonfigurowanych serwerów, takich jak kontrolery domeny, serwery członkowskie itd. Dane są przechowywane w bazie danych specyficznej dla usługi na potrzeby administrowania, śledzenia i raportowania.
Zebrane informacje obejmują:
- Ruch sieciowy do i z kontrolerów domeny, takich jak uwierzytelnianie Kerberos, uwierzytelnianie NTLM lub zapytania DNS.
- Dzienniki zabezpieczeń, takie jak zdarzenia zabezpieczeń systemu Windows.
- Informacje o usłudze Active Directory, takie jak struktura, podsieci lub lokacje.
- Informacje o jednostce, takie jak nazwy, adresy e-mail i numery telefonów.
Firma Microsoft używa tych danych do:
- Proaktywne identyfikowanie wskaźników ataków (IOA) w organizacji.
- Wygeneruj alerty, jeśli wykryto możliwy atak.
- Udostępnij operacje zabezpieczeń z widokiem na jednostki związane z sygnałami zagrożeń z sieci, umożliwiając badanie i badanie obecności zagrożeń bezpieczeństwa w sieci.
Firma Microsoft nie wydobywa twoich danych w celach reklamowych ani w żadnym innym celu niż świadczenie usługi.
Ile poświadczeń usługi katalogowej obsługuje usługa Defender for Identity?
Usługa Defender for Identity obsługuje obecnie dodawanie do 30 różnych poświadczeń usługi katalogowej w celu obsługi środowisk usługi Active Directory z niezaufanymi lasami. Jeśli potrzebujesz większej liczby kont, otwórz bilet pomocy technicznej.
Czy usługa Defender for Identity używa tylko ruchu z usługi Active Directory?
Oprócz analizowania ruchu usługi Active Directory przy użyciu technologii głębokiej inspekcji pakietów usługa Defender for Identity zbiera również odpowiednie zdarzenia systemu Windows z kontrolera domeny i tworzy profile jednostek na podstawie informacji z Active Directory Domain Services. Usługa Defender for Identity obsługuje również odbieranie dzienników sieci VPN w usłudze RADIUS od różnych dostawców (Microsoft, Cisco, F5 i Checkpoint).
Czy usługa Defender for Identity monitoruje tylko urządzenia przyłączone do domeny?
L.p. Usługa Defender for Identity monitoruje wszystkie urządzenia w sieci wykonujące żądania uwierzytelniania i autoryzacji względem usługi Active Directory, w tym urządzeń innych niż Windows i urządzeń przenośnych.
Czy usługa Defender for Identity monitoruje konta komputerów i kont użytkowników?
Tak. Ponieważ konta komputerów i inne jednostki mogą służyć do wykonywania złośliwych działań, usługa Defender for Identity monitoruje zachowanie wszystkich kont komputerów i wszystkich innych jednostek w środowisku.
Jaka jest różnica między usługą Advanced Threat Analytics (ATA) i usługą Defender for Identity?
Usługa ATA to autonomiczne rozwiązanie lokalne z wieloma składnikami, takimi jak centrum usługi ATA, które wymaga lokalnego dedykowanego sprzętu.
Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń, które używa sygnałów lokalna usługa Active Directory. Rozwiązanie jest wysoce skalowalne i jest często aktualizowane.
Ostateczna wersja usługi ATA jest ogólnie dostępna. 12 stycznia 2021 r. usługa ATA zakończyła wsparcie podstawowe. Wsparcie rozszerzone jest kontynuowane do stycznia 2026 r. Aby uzyskać więcej informacji, przeczytaj nasz blog.
W przeciwieństwie do czujnika usługi ATA czujnik usługi Defender for Identity używa również źródeł danych, takich jak śledzenie zdarzeń dla systemu Windows (ETW), co umożliwia usłudze Defender for Identity dostarczanie dodatkowych wykrywania.
Częste aktualizacje usługi Defender for Identity obejmują następujące funkcje i możliwości:
Obsługa środowisk z wieloma lasami: zapewnia organizacjom wgląd w lasy usługi AD.
Ocena stanu wskaźnika bezpieczeństwa firmy Microsoft: identyfikuje typowe błędy konfiguracji i składniki, które można wykorzystać, oraz udostępnia ścieżki korygowania w celu zmniejszenia obszaru ataków.
Możliwości UEBA: szczegółowe informacje o ryzyku poszczególnych użytkowników dzięki ocenianiu priorytetów badania przez użytkownika. Wynik może pomóc secops w ich badaniach i pomóc analitykom zrozumieć nietypowe działania dla użytkownika i organizacji.
Integracje natywne: integruje się z Microsoft Defender for Cloud Apps i Ochrona tożsamości Microsoft Entra, aby zapewnić hybrydowy widok tego, co dzieje się w środowiskach lokalnych i hybrydowych.
Współtworzenie Microsoft Defender XDR: współtworzenie danych alertów i zagrożeń do Microsoft Defender XDR. Microsoft Defender XDR używa portfolio zabezpieczeń platformy Microsoft 365 (tożsamości, punktów końcowych, danych i aplikacji) do automatycznego analizowania danych dotyczących zagrożeń między domenami, tworząc pełny obraz każdego ataku na jednym pulpicie nawigacyjnym.
Dzięki tej szerokości i głębi jasności obrońcy mogą skupić się na krytycznych zagrożeniach i polować na wyrafinowane naruszenia. Obrońcy mogą ufać, że zaawansowana automatyzacja Microsoft Defender XDR zatrzymuje ataki w dowolnym miejscu w łańcuchu zabijania i przywraca organizację do bezpiecznego stanu.
Licencjonowanie i prywatność
Gdzie mogę uzyskać licencję na Microsoft Defender for Identity?
Usługa Defender for Identity jest dostępna w ramach pakietu Enterprise Mobility + Security 5 (EMS E5) i jako licencja autonomiczna. Licencję można uzyskać bezpośrednio z portalu platformy Microsoft 365 lub za pośrednictwem modelu licencjonowania cloud solution partner (CSP).
Czy usługa Defender for Identity potrzebuje tylko jednej licencji, czy też wymaga licencji dla każdego użytkownika, którego chcę chronić?
Aby uzyskać informacje o wymaganiach dotyczących licencjonowania usługi Defender for Identity, zobacz Wskazówki dotyczące licencjonowania usługi Defender for Identity.
Czy moje dane są odizolowane od innych danych klientów?
Tak, dane są izolowane przez uwierzytelnianie dostępu i logiczną segregację na podstawie identyfikatorów klientów. Każdy klient może uzyskiwać dostęp tylko do danych zebranych z własnej organizacji i ogólnych danych udostępnianych przez firmę Microsoft.
Czy mogę wybrać miejsce przechowywania danych?
L.p. Po utworzeniu obszaru roboczego usługi Defender for Identity jest on automatycznie przechowywany w regionie platformy Azure znajdującym się najbliżej lokalizacji geograficznej dzierżawy Microsoft Entra. Po utworzeniu obszaru roboczego usługi Defender for Identity nie można przenieść danych usługi Defender for Identity do innego regionu.
Jak firma Microsoft zapobiega złośliwym działaniom niejawnych testerów i nadużywaniu ról o wysokich uprawnieniach?
Deweloperzy i administratorzy firmy Microsoft mają zgodnie z projektem wystarczające uprawnienia do wykonywania przypisanych im obowiązków związanych z działaniem i rozwijaniem usługi. Firma Microsoft wdraża kombinacje mechanizmów zapobiegawczych, detektywistycznych i reaktywnych, w tym następujących mechanizmów ochrony przed nieautoryzowanym deweloperem i/lub działaniami administracyjnymi:
- Ścisła kontrola dostępu do danych poufnych
- Kombinacje kontrolek, które znacznie usprawniają niezależne wykrywanie złośliwych działań
- Wiele poziomów monitorowania, rejestrowania i raportowania
Ponadto firma Microsoft przeprowadza kontrole weryfikacji przeszłości niektórych pracowników operacyjnych i ogranicza dostęp do aplikacji, systemów i infrastruktury sieci proporcjonalnie do poziomu weryfikacji w tle. Pracownicy ds. operacji wykonują formalny proces, gdy są oni zobowiązani do uzyskania dostępu do konta klienta lub powiązanych informacji w ramach wykonywania swoich obowiązków.
Wdrożenie
Ile czujników usługi Defender for Identity potrzebuję?
Zalecamy korzystanie z czujnika usługi Defender for Identity lub czujnika autonomicznego dla każdego kontrolera domeny. Aby uzyskać więcej informacji, zobacz Ustalanie rozmiaru czujnika usługi Defender for Identity.
Czy usługa Defender for Identity działa z zaszyfrowanym ruchem?
Mimo że protokoły sieciowe z zaszyfrowanym ruchem, takie jak AtSvc i WMI, nie są odszyfrowywane, czujniki nadal analizują ruch.
Czy usługa Defender for Identity współpracuje z ochroną protokołu Kerberos?
Usługa Defender for Identity obsługuje ochronę protokołu Kerberos, znaną również jako bezpieczne tunelowanie uwierzytelniania elastycznego (FAST). Wyjątkiem od tej obsługi jest nadmierne przekazywanie wykrywania skrótów, które nie działa z ochroną Protokołu Kerberos.
Jak mogę monitorować wirtualny kontroler domeny przy użyciu usługi Defender for Identity?
Czujnik usługi Defender for Identity może obejmować większość wirtualnych kontrolerów domeny. Aby uzyskać więcej informacji, zobacz Defender for Identity Capacity Planning (Planowanie pojemności usługi Defender for Identity).
Jeśli czujnik usługi Defender for Identity nie może obejmować wirtualnego kontrolera domeny, zamiast tego użyj wirtualnego lub fizycznego czujnika autonomicznego usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz Konfigurowanie dublowania portów.
Najprostszym sposobem jest posiadanie wirtualnego czujnika autonomicznego usługi Defender for Identity na każdym hoście, na którym istnieje wirtualny kontroler domeny.
Jeśli wirtualne kontrolery domeny są przenoszone między hostami, należy wykonać jedną z następujących czynności:
Gdy wirtualny kontroler domeny zostanie przeniesiony do innego hosta, wstępnie skonfiguruj autonomiczny czujnik usługi Defender for Identity na tym hoście, aby odbierał ruch z niedawno przeniesionego wirtualnego kontrolera domeny.
Upewnij się, że wirtualny czujnik autonomiczny usługi Defender for Identity jest powiązany z wirtualnym kontrolerem domeny, aby po przeniesieniu czujnik autonomiczny usługi Defender for Identity został przeniesiony wraz z nim.
Istnieją pewne przełączniki wirtualne, które mogą wysyłać ruch między hostami.
Jak mogę skonfigurować czujniki usługi Defender for Identity do komunikowania się z usługą w chmurze Defender for Identity, gdy mam serwer proxy?
Aby kontrolery domeny komunikować się z usługą w chmurze, należy otworzyć: *.atp.azure.com port 443 w zaporze/serwerze proxy. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera proxy lub zapory w celu włączenia komunikacji z czujnikami usługi Defender for Identity.
Czy kontrolery domeny monitorowane przez usługę Defender for Identity mogą być zwirtualizowane w rozwiązaniu IaaS?
Tak, możesz użyć czujnika usługi Defender for Identity do monitorowania kontrolerów domeny znajdujących się w dowolnym rozwiązaniu IaaS.
Czy usługa Defender for Identity może obsługiwać wiele domen i wiele lasów?
Usługa Defender for Identity obsługuje środowiska z wieloma domenami i wiele lasów. Aby uzyskać więcej informacji i wymagań dotyczących zaufania, zobacz Obsługa wielu lasów.
Czy widzisz ogólną kondycję wdrożenia?
Tak, możesz wyświetlić ogólną kondycję wdrożenia i wszelkie konkretne problemy związane z konfiguracją, łącznością itd. Gdy te zdarzenia wystąpią w przypadku problemów z kondycją usługi Defender for Identity, zostanie wyświetlony alert.
Czy Microsoft Defender for Identity wymaga synchronizacji użytkowników do Tożsamość Microsoft Entra?
Microsoft Defender for Identity zapewnia wartość zabezpieczeń dla wszystkich kont usługi Active Directory, w tym tych, które nie są synchronizowane z Tożsamość Microsoft Entra. Konta użytkowników zsynchronizowane z Tożsamość Microsoft Entra będą również korzystać z wartości zabezpieczeń zapewnianej przez Tożsamość Microsoft Entra (na podstawie poziomu licencji) i oceniania priorytetowego badania.
Sterowniki WinPcap i Npcap
Jakie zalecenia dotyczące sterowników WinPcap i Npcap ulegają zmianie?
Zespół Microsoft Defender for Identity zaleca, aby wszyscy klienci korzystali ze sterownika Npcap zamiast sterowników WinPcap. Począwszy od usługi Defender for Identity w wersji 2.184, pakiet instalacyjny instaluje program Npcap 1.0 OEM zamiast sterowników WinPcap 4.1.3.
Dlaczego odchodzimy od WinPcap?
Program WinPcap nie jest już obsługiwany, a ponieważ nie jest już opracowywany, nie można już optymalizować sterownika pod kątem czujnika usługi Defender for Identity. Ponadto jeśli w przyszłości wystąpi problem ze sterownikiem WinPcap, nie ma opcji rozwiązania problemu.
Dlaczego Npcap?
Platforma Npcap jest obsługiwana, a program WinPcap nie jest już obsługiwanym produktem.
Jaka wersja programu Npcap jest obsługiwana?
Czujnik MDI wymaga rozwiązania Npcap 1.0 lub nowszego. Pakiet instalacyjny Czujnik zainstaluje wersję 1.0, jeśli nie zainstalowano innej wersji programu Npcap. Jeśli program Npcap jest już zainstalowany (z powodu innych wymagań dotyczących oprogramowania lub z jakiegokolwiek innego powodu), należy upewnić się, że jest on w wersji 1.0 lub nowszej oraz że został zainstalowany z wymaganymi ustawieniami mdi.
Czy muszę ręcznie usunąć i ponownie zainstalować czujnik, czy usługa automatycznej aktualizacji będzie obsługiwać tę funkcję w ramach normalnej aktualizacji?
Tak. Aby usunąć sterowniki WinPcap, wymagane jest ręczne usunięcie czujnika. Ponowna instalacja przy użyciu najnowszego pakietu spowoduje zainstalowanie sterowników Npcap.
Jak sprawdzić, czy moja bieżąca instalacja usługi Defender for Identity używa narzędzia Npcap lub WinPcap?
Widać, że program "Npcap OEM" jest instalowany za pośrednictwem programów Add/Remove (appwiz.cpl), a jeśli wystąpił otwarty problem z kondycją , zostanie on automatycznie zamknięty.
Mam więcej niż pięć kontrolerów domeny w mojej organizacji. Czy muszę kupić licencję npcap, jeśli używam narzędzia Npcap na tych kontrolerach domeny?
Nie, npcap ma wykluczenie ze zwykłego limitu pięciu instalacji. Można go zainstalować w nieograniczonych systemach, w których jest on używany tylko z czujnikiem usługi Defender for Identity.
Zobacz umowę licencyjną npcap tutaj i wyszukaj Microsoft Defender for Identity.
Czy narzędzie Npcap jest również istotne dla usługi ATA?
Nie, tylko czujnik Microsoft Defender for Identity obsługuje program Npcap w wersji 1.00.
Chcę wykonać skrypt wdrożenia narzędzia Npcap, czy muszę kupić wersję OEM?
Nie, nie musisz kupować wersji OEM. Pobierz pakiet instalacyjny czujnika w wersji 2.156 lub nowszej z konsoli usługi Defender for Identity, która zawiera wersję narzędzia Npcap OEM.
Jak mogę pobrać i zainstalować lub uaktualnić sterownik Npcap?
Pliki wykonywalne Npcap można uzyskać, pobierając najnowszy pakiet wdrożeniowy czujnika usługi Defender for Identity.
Jeśli czujnik nie został jeszcze zainstalowany, zainstaluj czujnik w wersji 2.184 lub nowszej.
Jeśli czujnik został już zainstalowany w programie WinPcap i trzeba go zaktualizować w celu użycia narzędzia Npcap:
Odinstaluj czujnik. Użyj polecenia Dodaj/Usuń programy z panelu sterowania systemu Windows (appwiz.cpl) lub uruchom następujące polecenie odinstalowywania:
".\Azure ATP Sensor Setup.exe" /uninstall /quiet
W razie potrzeby odinstaluj program WinPcap. Ten krok jest odpowiedni tylko wtedy, gdy program WinPcap został zainstalowany ręcznie przed instalacją czujnika. W takim przypadku należy ręcznie usunąć program WinPcap.
Zainstaluj ponownie czujnik w wersji 2.184 lub nowszej.
Jeśli chcesz ręcznie zainstalować program Npcap: Zainstaluj program Npcap z następującymi opcjami:
- Jeśli używasz instalatora graficznego interfejsu użytkownika, wyczyść opcję obsługi sprzężenia zwrotnego i wybierz pozycję Tryb WinPcap . Upewnij się, że opcja Ogranicz dostęp sterownika Npcap tylko do administratorów jest wyczyszczona.
- Jeśli używasz wiersza polecenia, uruchom polecenie:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Jeśli chcesz ręcznie uaktualnić program Npcap:
Zatrzymaj usługi czujnika usługi Defender for Identity, AATPSensorUpdater i AATPSensor. Biegać:
Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
Usuń narzędzie Npcap przy użyciu funkcji Dodaj/Usuń programy w panelu sterowania systemu Windows (appwiz.cpl).
Zainstaluj narzędzie Npcap z następującymi opcjami:
Jeśli używasz instalatora graficznego interfejsu użytkownika, wyczyść opcję obsługi sprzężenia zwrotnego i wybierz pozycję Tryb WinPcap . Upewnij się, że opcja Ogranicz dostęp sterownika Npcap tylko do administratorów jest wyczyszczona.
Jeśli używasz wiersza polecenia, uruchom polecenie:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Uruchom usługi czujnika Defender for Identity, AATPSensorUpdater i AATPSensor. Biegać:
Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor
Operacja
Jakiego rodzaju integrację ma usługa Defender for Identity z modułami SIEM?
Usługę Defender for Identity można skonfigurować do wysyłania alertu dziennika systemowego do dowolnego serwera SIEM przy użyciu formatu CEF, problemów z kondycją i wykrycia alertu zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację dziennika SIEM.
Dlaczego niektóre konta są uważane za poufne?
Konta są uważane za poufne, gdy konto jest członkiem grup, które są wyznaczone jako poufne (na przykład"Administratorzy domeny").
Aby zrozumieć, dlaczego konto jest wrażliwe, możesz przejrzeć jego członkostwo w grupach, aby zrozumieć, do których poufnych grup należy. Grupa, do której należy, może być również wrażliwa z powodu innej grupy, dlatego ten sam proces powinien być wykonywany do momentu zlokalizowania grupy wrażliwej najwyższego poziomu. Alternatywnie ręcznie otaguj konta jako poufne.
Czy musisz napisać własne reguły i utworzyć próg/punkt odniesienia?
W usłudze Defender for Identity nie ma potrzeby tworzenia reguł, progów ani punktów odniesienia, a następnie dostosowywania. Usługa Defender for Identity analizuje zachowania użytkowników, urządzeń i zasobów, a także ich relacje ze sobą i może szybko wykrywać podejrzane działania i znane ataki. Trzy tygodnie po wdrożeniu usługa Defender for Identity rozpoczyna wykrywanie podejrzanych działań behawioralnych. Z drugiej strony usługa Defender for Identity rozpocznie wykrywanie znanych złośliwych ataków i problemów z zabezpieczeniami natychmiast po wdrożeniu.
Jaki ruch generuje usługa Defender for Identity w sieci z kontrolerów domeny i dlaczego?
Usługa Defender for Identity generuje ruch z kontrolerów domeny do komputerów w organizacji w jednym z trzech scenariuszy:
Rozpoznawanie nazw sieci Usługa Defender for Identity przechwytuje ruch i zdarzenia, ucząc i profilując użytkowników oraz działania komputerów w sieci. Aby uczyć się i profilować działania zgodnie z komputerami w organizacji, usługa Defender for Identity musi rozpoznawać adresy IP do kont komputerów. Aby rozpoznać adresy IP do nazw komputerów Czujniki usługi Defender for Identity, zażądaj adresu IP dla nazwy komputera stojącej za adresem IP.
Żądania są wykonywane przy użyciu jednej z czterech metod:
- NTLM przez RPC (port TCP 135)
- NetBIOS (port UDP 137)
- RDP (port TCP 3389)
- Wykonywanie zapytań względem serwera DNS przy użyciu odwrotnego wyszukiwania DNS adresu IP (UDP 53)
Po uzyskaniu nazwy komputera czujniki usługi Defender for Identity sprawdzają szczegółowe informacje w usłudze Active Directory, aby sprawdzić, czy istnieje skorelowany obiekt komputera o tej samej nazwie komputera. Jeśli zostanie znalezione dopasowanie, między adresem IP a dopasowanym obiektem komputera zostanie wykonane skojarzenie.
Ścieżka ruchu bocznego (LMP) Aby utworzyć potencjalne adresy LMPs dla poufnych użytkowników, usługa Defender for Identity wymaga informacji o administratorach lokalnych na komputerach. W tym scenariuszu czujnik usługi Defender for Identity używa protokołu SAM-R (TCP 445) do wykonywania zapytań o adres IP zidentyfikowany w ruchu sieciowym w celu określenia lokalnych administratorów komputera. Aby dowiedzieć się więcej o usługach Defender for Identity i SAM-R, zobacz Konfigurowanie wymaganych uprawnień SAM-R.
Wykonywanie zapytań w usłudze Active Directory przy użyciu protokołu LDAP dla danych jednostki Czujniki usługi Defender for Identity wysyła zapytanie do kontrolera domeny z domeny, do której należy jednostka. Może to być ten sam czujnik lub inny kontroler domeny z tej domeny.
Protocol (Protokół) | Usługa | Port | Źródło | Kierunek |
---|---|---|---|---|
LDAP | TCP i UDP | 389 | Kontrolery domeny | Wychodzące |
Bezpieczny protokół LDAP (LDAPS) | TCP | 636 | Kontrolery domeny | Wychodzące |
Protokół LDAP do wykazu globalnego | TCP | 3268 | Kontrolery domeny | Wychodzące |
LDAPS do wykazu globalnego | TCP | 3269 | Kontrolery domeny | Wychodzące |
Dlaczego działania nie zawsze pokazują zarówno użytkownika źródłowego, jak i komputer?
Usługa Defender for Identity przechwytuje działania za pośrednictwem wielu różnych protokołów. W niektórych przypadkach usługa Defender for Identity nie odbiera danych użytkownika źródłowego w ruchu. Usługa Defender for Identity próbuje skorelować sesję użytkownika z działaniem, a gdy próba zakończy się pomyślnie, zostanie wyświetlony użytkownik źródłowy działania. W przypadku niepowodzenia prób korelacji użytkownika jest wyświetlany tylko komputer źródłowy.
Dlaczego widzę zapytania DNS do pliku aatp.dns.detection.local?
Czujnik usługi Defender for Identity może wyzwolić wywołanie DNS "aatp.dns.detection.local" w odpowiedzi na niektóre przychodzące działania DNS na monitorowanej maszynie MDI.
Zarządzanie danymi osobowymi
Czy dane użytkownika osobistego mogą być aktualizowane w usłudze Defender for Identity?
Dane użytkownika osobistego w usłudze Defender for Identity pochodzą z obiektu użytkownika w usłudze Active Directory organizacji i nie mogą być aktualizowane bezpośrednio w usłudze Defender for Identity.
Jak mogę wyeksportować dane osobowe z usługi Defender for Identity?
Dane osobowe można wyeksportować z usługi Defender for Identity przy użyciu tej samej metody, co eksportowanie informacji o alertach zabezpieczeń. Aby uzyskać więcej informacji, zobacz Przeglądanie alertów zabezpieczeń.
Jak mogę zlokalizować dane osobowe przechowywane w usłudze Defender for Identity?
Użyj paska wyszukiwania portalu Microsoft Defender, aby wyszukać identyfikowalne dane osobowe, takie jak określony użytkownik lub komputer. Aby uzyskać więcej informacji, zobacz Badanie zasobów.
Jakiego rodzaju inspekcja przeprowadza usługa Defender for Identity na danych osobowych?
Usługa Defender for Identity implementuje inspekcję zmian danych osobowych, w tym usuwanie i eksportowanie rekordów danych osobowych. Czas przechowywania dzienników inspekcji wynosi 90 dni. Inspekcja w usłudze Defender for Identity jest funkcją zaplecza i nie jest dostępna dla klientów.
Co się stanie w usłudze Defender for Identity, gdy użytkownik zostanie usunięty z usługi Active Directory organizacji?
Po usunięciu użytkownika z usługi Active Directory organizacji usługa Defender for Identity automatycznie usuwa profil użytkownika i wszelkie powiązane działania sieciowe zgodnie z ogólnymi zasadami przechowywania danych usługi Defender for Identity, chyba że dane są częścią aktywnego zdarzenia. Zalecamy dodanie uprawnień tylko do odczytu w kontenerze Usunięte obiekty . Aby uzyskać więcej informacji, zobacz Udzielanie wymaganych uprawnień DSA.
Rozwiązywanie problemów
Co należy zrobić, jeśli czujnik usługi Defender for Identity lub czujnik autonomiczny nie zostaną uruchomione?
Przyjrzyj się ostatniemu błędowi w bieżącym dzienniku błędów (gdzie usługa Defender for Identity jest zainstalowana w folderze "Dzienniki").