Microsoft Defender para Identidade perguntas mais frequentes

O Defender para Identidade deteta técnicas e ataques maliciosos conhecidos, problemas de segurança e riscos contra a sua rede. Para obter a lista completa de deteções do Defender para Identidade, veja Alertas de Segurança do Defender para Identidade.

O Defender para Identidade recolhe e armazena informações dos servidores configurados, como controladores de domínio, servidores membros, entre outros. Os dados são armazenados numa base de dados específica do serviço para fins de administração, controlo e relatórios.

As informações coletadas incluem:

• Tráfego de rede de e para controladores de domínio, como autenticação Kerberos, autenticação NTLM ou consultas DNS.
• Registos de segurança, como eventos de segurança do Windows.
• Informações do Active Directory, como estrutura, sub-redes ou sites.
• Informações da entidade, como nomes, endereços de e-mail e números de telefone.

A Microsoft utiliza estes dados para:

• Identifique proativamente indicadores de ataque (IOAs) na sua organização.
• Gerar alertas se tiver sido detetado um possível ataque.
• Forneça às suas operações de segurança uma vista sobre entidades relacionadas com sinais de ameaças da sua rede, permitindo-lhe investigar e explorar a presença de ameaças de segurança na rede.

A Microsoft não extrai os seus dados para publicidade ou para qualquer outra finalidade que não seja fornecer-lhe o serviço.

Atualmente, o Defender para Identidade suporta a adição de até 30 credenciais diferentes do Serviço de Diretório para suportar ambientes do Active Directory com florestas não fidedignas. Se precisar de mais contas, abra um pedido de suporte.

Além de analisar o tráfego do Active Directory com a tecnologia de inspeção de pacotes avançada, o Defender para Identidade também recolhe Eventos do Windows relevantes do controlador de domínio e cria perfis de entidade com base em informações de Active Directory Domain Services. O Defender para Identidade também suporta a receção de contas RADIUS de registos VPN de vários fornecedores (Microsoft, Cisco, F5 e Ponto de Verificação).

Não. O Defender para Identidade monitoriza todos os dispositivos na rede que efetuam pedidos de autenticação e autorização no Active Directory, incluindo dispositivos móveis e não Windows.

Sim. Uma vez que as contas de computador e outras entidades podem ser utilizadas para realizar atividades maliciosas, o Defender para Identidade monitoriza o comportamento de todas as contas de computador e todas as outras entidades no ambiente.

O ATA é uma solução autónoma no local com vários componentes, como o ATA Center que requer hardware dedicado no local.

O Defender para Identidade é uma solução de segurança baseada na cloud que utiliza os sinais de Active Directory local. A solução é altamente dimensionável e é frequentemente atualizada.

A versão final do ATA está geralmente disponível. O ATA terminou o Suporte Base a 12 de janeiro de 2021. O Suporte Alargado continua até janeiro de 2026. Para obter mais informações, leia o nosso blogue.

Ao contrário do sensor do ATA, o sensor do Defender para Identidade também utiliza origens de dados, como o Rastreio de Eventos para Windows (ETW), o que permite ao Defender para Identidade fornecer deteções adicionais.

As atualizações frequentes do Defender para Identidade incluem as seguintes funcionalidades e capacidades:

• Suporte para ambientes de várias florestas: fornece visibilidade às organizações em todas as florestas do AD.

• Avaliações da postura de Classificação de Segurança da Microsoft: identifica configurações incorretas comuns e componentes exploráveis e fornece caminhos de remediação para reduzir a superfície de ataque.

• Capacidades ueBA: informações sobre o risco de utilizador individual através da classificação de prioridade de investigação do utilizador. A classificação pode ajudar o SecOps nas suas investigações e ajudar os analistas a compreender atividades invulgares para o utilizador e a organização.

• Integrações nativas: integra-se com Microsoft Defender para Aplicativos de Nuvem e Microsoft Entra ID Protection para fornecer uma vista híbrida do que está a ocorrer em ambientes no local e híbridos.

• Contribui para Microsoft Defender XDR: contribui com dados de alertas e ameaças para Microsoft Defender XDR. Microsoft Defender XDR utiliza o portefólio de segurança do Microsoft 365 (identidades, pontos finais, dados e aplicações) para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque num único dashboard.

  Com esta amplitude e profundidade de clareza, os Defenders podem focar-se em ameaças críticas e procurar violações sofisticadas. Os defensores podem confiar que a automatização poderosa de Microsoft Defender XDR interrompe os ataques em qualquer parte da cadeia de eliminação e devolve a organização a um estado seguro.

O Defender para Identidade está disponível como parte do conjunto de aplicações Enterprise Mobility + Security 5 (EMS E5) e como uma licença autónoma. Pode adquirir uma licença diretamente a partir do portal do Microsoft 365 ou através do modelo de licenciamento do Parceiro de Solução Cloud (CSP).

Para obter informações sobre os requisitos de licenciamento do Defender para Identidade, veja Orientações de licenciamento do Defender para Identidade.

Sim, os seus dados são isolados através da autenticação de acesso e da segregação lógica com base nos identificadores do cliente. Cada cliente só pode aceder aos dados recolhidos da sua própria organização e aos dados genéricos fornecidos pela Microsoft.

Não. Quando a área de trabalho do Defender para Identidade é criada, é armazenada automaticamente na região do Azure mais próxima da localização geográfica do seu Microsoft Entra inquilino. Assim que a área de trabalho do Defender para Identidade for criada, os dados do Defender para Identidade não podem ser movidos para uma região diferente.

Por predefinição, os programadores e administradores da Microsoft receberam privilégios suficientes para desempenhar as suas funções atribuídas para operar e desenvolver o serviço. A Microsoft implementa combinações de controlos preventivos, detectives e reativos, incluindo os seguintes mecanismos para ajudar a proteger contra atividades administrativas e/ou programadores não autorizados:

• Controlo de acesso apertado a dados confidenciais
• Combinações de controlos que melhoram consideravelmente a deteção independente de atividade maliciosa
• Vários níveis de monitorização, registo e relatórios

Além disso, a Microsoft realiza verificações em segundo plano em determinados funcionários de operações e limita o acesso a aplicações, sistemas e infraestrutura de rede em proporção ao nível de verificação em segundo plano. O pessoal de operações segue um processo formal quando é necessário aceder à conta de um cliente ou informações relacionadas no desempenho das suas funções.

Recomendamos que tenha um sensor do Defender para Identidade ou um sensor autónomo para cada um dos controladores de domínio. Para obter mais informações, veja Dimensionamento do sensor do Defender para Identidade.

Embora os protocolos de rede com tráfego encriptado, como AtSvc e WMI, não sejam desencriptados, os sensores ainda analisam o tráfego.

O Defender para Identidade suporta o Kerberos Armoring, também conhecido como Túnel Seguro de Autenticação Flexível (FAST). A exceção a este suporte é a deteção de hash excedida, que não funciona com o Kerberos Armoring.

O sensor do Defender para Identidade pode abranger a maioria dos controladores de domínio virtuais. Para obter mais informações, veja Planeamento da Capacidade do Defender para Identidade.

Se o sensor do Defender para Identidade não conseguir cobrir um controlador de domínio virtual, utilize um sensor autónomo do Defender para Identidade virtual ou físico. Para obter mais informações, veja Configurar o espelhamento de porta.

A forma mais fácil é ter um sensor autónomo do Defender para Identidade virtual em todos os anfitriões onde existe um controlador de domínio virtual.

Se os controladores de domínio virtual se moverem entre anfitriões, terá de executar um dos seguintes passos:

• Quando o controlador de domínio virtual se move para outro anfitrião, pré-configurar o sensor autónomo do Defender para Identidade nesse anfitrião para receber o tráfego do controlador de domínio virtual recentemente movido.

• Certifique-se de que associa o sensor autónomo do Defender para Identidade virtual ao controlador de domínio virtual para que, se for movido, o sensor autónomo do Defender para Identidade seja movido com o mesmo.

• Existem alguns comutadores virtuais que podem enviar tráfego entre anfitriões.

Para que os controladores de domínio comuniquem com o serviço cloud, tem de abrir: *.atp.azure.com porta 443 na firewall/proxy. Para obter mais informações, veja Configurar o proxy ou a firewall para ativar a comunicação com sensores do Defender para Identidade.

Sim, pode utilizar o sensor do Defender para Identidade para monitorizar controladores de domínio que estejam em qualquer solução IaaS.

O Defender para Identidade suporta ambientes de vários domínios e várias florestas. Para obter mais informações e requisitos de confiança, veja Suporte de várias florestas.

Sim, pode ver o estado de funcionamento geral da implementação e quaisquer problemas específicos relacionados com a configuração, a conectividade, etc. É alertado à medida que estes eventos ocorrem com problemas de estado de funcionamento do Defender para Identidade.

Microsoft Defender para Identidade fornece um valor de segurança para todas as contas do Active Directory, incluindo as que não estão sincronizadas com Microsoft Entra ID. As contas de utilizador sincronizadas com Microsoft Entra ID também beneficiarão do valor de segurança fornecido pelo Microsoft Entra ID (com base no nível de licença) e da Classificação de Prioridade de Investigação.

A equipa de Microsoft Defender para Identidade recomenda que todos os clientes utilizem o controlador Npcap em vez dos controladores WinPcap. A partir da versão 2.184 do Defender para Identidade, o pacote de instalação instala o OEM Npcap 1.0 em vez dos controladores WinPcap 4.1.3.

O WinPcap já não é suportado e, uma vez que já não está a ser desenvolvido, o controlador já não pode ser otimizado para o sensor do Defender para Identidade. Além disso, se existir um problema no futuro com o controlador WinPcap, não existem opções para uma correção.

O Npcap é suportado, enquanto o WinPcap já não é um produto suportado.

O Sensor MDI necessita do Npcap 1.0 ou posterior. O pacote de instalação do Sensor irá instalar a versão 1.0 se não estiver instalada outra versão do Npcap. Se já tiver o Npcap instalado (devido a outros requisitos de software ou qualquer outro motivo), é importante garantir que é a versão 1.0 ou posterior e que foi instalado com as definições necessárias para o MDI.

Sim. É necessário remover manualmente o Sensor para remover os controladores WinPcap. A reinstalação com o pacote mais recente irá instalar os controladores Npcap.

Pode ver que o "OEM Npcap" está instalado através dos programas Adicionar/Remover (appwiz.cpl) e, se tiver ocorrido um problema de estado de funcionamento aberto, será fechado automaticamente.

Não, o Npcap tem uma isenção do limite habitual de cinco instalações. Pode instalá-lo em sistemas ilimitados em que só é utilizado com o sensor do Defender para Identidade.

Veja o contrato de licença do Npcap aqui e procure Microsoft Defender para Identidade.

Não, apenas o sensor Microsoft Defender para Identidade suporta a versão Npcap 1.00.

Não, não precisa de comprar a versão do OEM. Transfira a versão 2.156 e posterior do pacote de instalação do sensor a partir da consola do Defender para Identidade, que inclui a versão OEM do Npcap.

• Pode obter os executáveis Npcap ao transferir o pacote de implementação mais recente do sensor do Defender para Identidade.

• Se ainda não instalou o sensor, instale o sensor com a versão 2.184 ou superior.

• Se já instalou o sensor com o WinPcap e precisar de atualizar para utilizar o Npcap:

  1. Desinstale o sensor. Utilize Adicionar/Remover programas do painel de controlo do Windows (appwiz.cpl) ou execute o seguinte comando de desinstalação: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Desinstale o WinPcap, se necessário. Este passo só é relevante se o WinPcap tiver sido instalado manualmente antes da instalação do sensor. Neste caso, teria de remover manualmente o WinPcap.

  3. Reinstale o sensor com a versão 2.184 ou superior.

• Se quiser instalar manualmente o Npcap: Instalar o Npcap com as seguintes opções:

  • Se estiver a utilizar o instalador gui, desmarque a opção de suporte de loopback e selecione Modo WinPcap . Certifique-se de que a opção Restringir o acesso do controlador Npcap apenas aos Administradores está desmarcada .
  • Se estiver a utilizar a linha de comandos, execute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Se quiser atualizar manualmente o Npcap:

  1. Pare os serviços de sensor do Defender para Identidade, AATPSensorUpdater e AATPSensor. Execute Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force.

  2. Remova npcap com Adicionar/Remover programas no painel de controlo do Windows (appwiz.cpl).

  3. Instale o Npcap com as seguintes opções:

     • Se estiver a utilizar o instalador gui, desmarque a opção de suporte de loopback e selecione Modo WinPcap . Certifique-se de que a opção Restringir o acesso do controlador Npcap apenas aos Administradores está desmarcada .

     • Se estiver a utilizar a linha de comandos, execute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Inicie os serviços de sensor do Defender para Identidade, AATPSensorUpdater e AATPSensor. Execute Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor.

O Defender para Identidade pode ser configurado para enviar um alerta do Syslog para qualquer servidor SIEM com o formato CEF, para problemas de estado de funcionamento e quando é detetado um alerta de segurança. Para obter mais informações, veja a referência do registo SIEM.

As contas são consideradas confidenciais quando uma conta é membro de grupos designados como confidenciais (por exemplo: "Administradores de Domínio").

Para compreender por que motivo uma conta é sensível, pode rever a associação ao grupo para compreender a que grupos confidenciais pertence. O grupo ao qual pertence também pode ser sensível devido a outro grupo, pelo que o mesmo processo deve ser realizado até localizar o grupo confidencial de nível mais elevado. Em alternativa, marque manualmente as contas como confidenciais.

Com o Defender para Identidade, não é necessário criar regras, limiares ou linhas de base e, em seguida, ajustar. O Defender para Identidade analisa os comportamentos entre utilizadores, dispositivos e recursos, bem como a respetiva relação entre si e pode detetar rapidamente atividades suspeitas e ataques conhecidos. Três semanas após a implementação, o Defender para Identidade começa a detetar atividades suspeitas comportamentais. Por outro lado, o Defender para Identidade começará a detetar ataques maliciosos conhecidos e problemas de segurança imediatamente após a implementação.

O Defender para Identidade gera tráfego de controladores de domínio para computadores na organização num de três cenários:

• Resolução de Nomes de Rede O Defender para Identidade captura tráfego e eventos, aprendizagem e criação de perfis de utilizadores e atividades de computador na rede. Para aprender e criar perfis de atividades de acordo com os computadores na organização, o Defender para Identidade tem de resolve IPs para contas de computador. Para resolve IPs aos nomes dos computadores sensores do Defender para Identidade, peça o endereço IP para o nome do computador por trás do endereço IP.

  Os pedidos são feitos com um de quatro métodos:

  • NTLM através de RPC (Porta TCP 135)
  • NetBIOS (porta UDP 137)
  • RDP (porta TCP 3389)
  • Consultar o servidor DNS com a pesquisa de DNS inversa do endereço IP (UDP 53)

  Depois de obter o nome do computador, os sensores do Defender para Identidade cruzam marcar os detalhes no Active Directory para ver se existe um objeto de computador correlacionado com o mesmo nome de computador. Se for encontrada uma correspondência, é feita uma associação entre o endereço IP e o objeto de computador correspondente.

• Caminho de Movimento Lateral (LMP) Para criar potenciais LMPs para utilizadores confidenciais, o Defender para Identidade requer informações sobre os administradores locais nos computadores. Neste cenário, o sensor do Defender para Identidade utiliza SAM-R (TCP 445) para consultar o endereço IP identificado no tráfego de rede, de modo a determinar os administradores locais do computador. Para saber mais sobre o Defender para Identidade e SAM-R, veja Configurar as permissões necessárias do SAM-R.

• Consultar o Active Directory através de LDAP para sensores de dados de entidade do Defender para Identidade consultam o controlador de domínio do domínio ao qual a entidade pertence. Pode ser o mesmo sensor ou outro controlador de domínio desse domínio.

O Defender para Identidade captura atividades em vários protocolos diferentes. Em alguns casos, o Defender para Identidade não recebe os dados do utilizador de origem no tráfego. O Defender para Identidade tenta correlacionar a sessão do utilizador com a atividade e, quando a tentativa for bem-sucedida, o utilizador de origem da atividade é apresentado. Quando as tentativas de correlação de utilizadores falham, apenas o computador de origem é apresentado.

O sensor do Defender para Identidade pode acionar uma chamada DNS para "aatp.dns.detection.local" em resposta a determinadas atividades DNS recebidas no computador monitorizado MDI.

Os dados pessoais do utilizador no Defender para Identidade derivam do objeto do utilizador no Active Directory da organização e não podem ser atualizados diretamente no Defender para Identidade.

Pode exportar dados pessoais do Defender para Identidade com o mesmo método que exportar informações de alertas de segurança. Para obter mais informações, veja Rever alertas de segurança.

Utilize a barra de pesquisa do portal Microsoft Defender para procurar dados pessoais identificáveis, como um utilizador ou computador específico. Para obter mais informações, veja Investigar recursos.

O Defender para Identidade implementa a auditoria de alterações de dados pessoais, incluindo a eliminação e exportação de registos de dados pessoais. O tempo de retenção do registo de auditoria é de 90 dias. A auditoria no Defender para Identidade é uma funcionalidade de back-end e não está acessível aos clientes.

Depois de um utilizador ser eliminado do Active Directory da organização, o Defender para Identidade elimina automaticamente o perfil de utilizador e qualquer atividade de rede relacionada em conformidade com a política de retenção de dados geral do Defender para Identidade, a menos que os dados façam parte de um incidente ativo. Recomendamos que adicione permissões só de leitura no contentor Objetos Eliminados . Para obter mais informações, veja Conceder as permissões de DSA necessárias.

Observe o erro mais recente no registo de erros atual (onde o Defender para Identidade está instalado na pasta "Registos").

Conteúdo relacionado

• Pré-requisitos do Defender para Identidade
• Planeamento da capacidade do Defender para Identidade
• Configurar a recolha de eventos
• Configurar o reencaminhamento de eventos do Windows
• Solução de Problemas
• Consulte o fórum do Defender para Identidade!