Microsoft Defender для удостоверений часто задаваемые вопросы

Defender для удостоверений обнаруживает известные вредоносные атаки и методы, проблемы безопасности и риски, связанные с вашей сетью. Полный список обнаружений Defender для удостоверений см. в разделе Оповещения системы безопасности Defender для удостоверений.

Defender для удостоверений собирает и сохраняет информацию с настроенных серверов, таких как контроллеры домена, рядовые серверы и т. д. Данные хранятся в базе данных, относящейся к службе, для администрирования, отслеживания и создания отчетов.

Собранные сведения включают:

• Сетевой трафик к контроллерам домена и из нее, например проверка подлинности Kerberos, проверка подлинности NTLM или запросы DNS.
• Журналы безопасности, такие как события безопасности Windows.
• Сведения Active Directory, такие как структура, подсети или сайты.
• Сведения об сущности, такие как имена, адреса электронной почты и номера телефонов.

Корпорация Майкрософт использует эти данные для:

• Упреждающее определение индикаторов атак (IOA) в организации.
• Создание оповещений при обнаружении возможной атаки.
• Предоставьте своим операциям безопасности представление сущностей, связанных с сигналами об угрозах из сети, что позволяет исследовать и исследовать наличие угроз безопасности в сети.

Корпорация Майкрософт не майн ваши данные для рекламы или для каких-либо других целей, кроме предоставления вам службы.

Defender для удостоверений в настоящее время поддерживает добавление до 30 различных учетных данных службы каталогов для поддержки сред Active Directory с ненадежными лесами. Если вам требуется больше учетных записей, отправьте запрос в службу поддержки.

Помимо анализа трафика Active Directory с помощью технологии глубокой проверки пакетов, Defender для удостоверений также собирает соответствующие события Windows от контроллера домена и создает профили сущностей на основе информации из доменные службы Active Directory. Defender для удостоверений также поддерживает получение radius-учета журналов VPN от различных поставщиков (Майкрософт, Cisco, F5 и Контрольная точка).

Нет. Defender для удостоверений отслеживает все устройства в сети, выполняющие запросы проверки подлинности и авторизации к Active Directory, включая устройства, отличные от Windows и мобильных устройств.

Да. Так как учетные записи компьютеров и другие сущности можно использовать для выполнения вредоносных действий, Defender для удостоверений отслеживает поведение всех учетных записей компьютеров и всех других сущностей в среде.

ATA — это автономное локальное решение с несколькими компонентами, такими как Центр ATA, для чего требуется выделенное локальное оборудование.

Defender для удостоверений — это облачное решение для обеспечения безопасности, использующее сигналы локальная служба Active Directory. Решение является высокомасштабируемым и часто обновляется.

Окончательный выпуск ATA является общедоступным. ATA прекратила основную поддержку 12 января 2021 г. Расширенная поддержка продолжается до января 2026 г. Дополнительные сведения см. в нашем блоге.

В отличие от датчика ATA, датчик Defender для удостоверений также использует такие источники данных, как трассировка событий Windows (ETW), что позволяет Defender для удостоверений выполнять дополнительные обнаружения.

Частые обновления Defender для удостоверений включают следующие функции и возможности:

• Поддержка сред с несколькими лесами. Обеспечивает видимость организаций в лесах AD.

• Оценки состояния оценки безопасности (Майкрософт). Выявляет распространенные ошибки конфигурации и компоненты, которые можно использовать, а также предоставляет пути исправления для уменьшения направлений атак.

• Возможности UEBA. Анализ индивидуальных рисков пользователей с помощью оценки приоритетов исследования пользователей. Оценка может помочь SecOps в их исследованиях и помочь аналитикам понять необычные действия для пользователя и организации.

• Встроенная интеграция. Интегрируется с Microsoft Defender for Cloud Apps и Защита Microsoft Entra ID для предоставления гибридного представления о том, что происходит как в локальной, так и в гибридной средах.

• Участие в Microsoft Defender XDR. Предоставляет данные об оповещениях и угрозах для Microsoft Defender XDR. Microsoft Defender XDR использует портфель безопасности Microsoft 365 (удостоверения, конечные точки, данные и приложения) для автоматического анализа междоменных данных об угрозах, создавая полную картину каждой атаки на одной панели мониторинга.

  Благодаря этой широте и глубине ясности Защитники могут сосредоточиться на критических угрозах и охотиться на сложные нарушения. Защитники могут доверять тому, что мощная автоматизация Microsoft Defender XDR останавливает атаки в любом месте цепочки уничтожения и возвращает организацию в безопасное состояние.

Defender для удостоверений доступен как часть пакета Enterprise Mobility + Security 5 (EMS E5) и как автономная лицензия. Вы можете получить лицензию непосредственно на портале Microsoft 365 или с помощью модели лицензирования Cloud Solution Partner (CSP).

Сведения о требованиях к лицензированию Defender для удостоверений см. в руководстве по лицензированию Defender для удостоверений.

Да, данные изолируются с помощью проверки подлинности доступа и логического разделения на основе идентификаторов клиентов. Каждый клиент может получить доступ только к данным, собранным из своей организации, и к универсальным данным, которые предоставляет корпорация Майкрософт.

Нет. При создании рабочей области Defender для удостоверений она автоматически сохраняется в регионе Azure, который ближе всего к вашему Microsoft Entra географическому расположению клиента. После создания рабочей области Defender для удостоверений данные Defender для удостоверений нельзя переместить в другой регион.

Разработчики и администраторы Майкрософт по своей разработке получают достаточные привилегии для выполнения своих обязанностей по эксплуатации и развитию службы. Корпорация Майкрософт развертывает комбинации профилактических, детективных и реактивных элементов управления, включая следующие механизмы для защиты от несанкционированных действий разработчиков и (или) административных действий:

• Жесткий контроль доступа к конфиденциальным данным
• Сочетания элементов управления, которые значительно улучшают независимое обнаружение вредоносных действий
• Несколько уровней мониторинга, ведения журнала и создания отчетов

Кроме того, корпорация Майкрософт проводит проверки в фоновом режиме для определенного операционного персонала и ограничивает доступ к приложениям, системам и сетевой инфраструктуре пропорционально уровню фоновой проверки. Операционный персонал следует формальному процессу, когда он должен получить доступ к учетной записи клиента или связанной информации при выполнении своих обязанностей.

Рекомендуется использовать датчик Defender для удостоверений или автономный датчик для каждого контроллера домена. Дополнительные сведения см. в разделе Определение размера датчика Defender для удостоверений.

Хотя сетевые протоколы с зашифрованным трафиком, такие как AtSvc и WMI, не расшифровываются, датчики по-прежнему анализируют трафик.

Defender для удостоверений поддерживает защиту Kerberos, также известную как гибкое безопасное туннелирование проверки подлинности (FAST). Исключением из этой поддержки является превышение обнаружения хэша, которое не работает с kerberos Armoring.

Датчик Defender для удостоверений может охватывать большинство виртуальных контроллеров домена. Дополнительные сведения см. в разделе Планирование емкости Defender для удостоверений.

Если датчик Defender для удостоверений не может охватывать виртуальный контроллер домена, используйте вместо него виртуальный или физический автономный датчик Defender для удостоверений. Дополнительные сведения см. в разделе Настройка зеркального отображения портов.

Самый простой способ — иметь виртуальный датчик Defender для удостоверений на каждом узле, где существует виртуальный контроллер домена.

Если виртуальные контроллеры домена перемещаются между узлами, необходимо выполнить одно из следующих действий:

• Когда виртуальный контроллер домена переместится на другой узел, предварительно настройте автономный датчик Defender для удостоверений на этом узле, чтобы получать трафик от недавно перемещенного виртуального контроллера домена.

• Убедитесь, что автономный датчик Defender для удостоверений связан с виртуальным контроллером домена, чтобы при его перемещении автономный датчик Defender для удостоверений перемещался вместе с ним.

• Существуют некоторые виртуальные коммутаторы, которые могут передавать трафик между узлами.

Чтобы контроллеры домена взаимодействовали с облачной службой, необходимо открыть *.atp.azure.com порт 443 в брандмауэре или прокси-сервере. Дополнительные сведения см. в статье Настройка прокси-сервера или брандмауэра для включения связи с датчиками Defender для удостоверений.

Да, датчик Defender для удостоверений можно использовать для мониторинга контроллеров домена, которые находятся в любом решении IaaS.

Defender для удостоверений поддерживает многодоменные среды и несколько лесов. Дополнительные сведения и требования к доверию см. в разделе Поддержка нескольких лесов.

Да, вы можете просмотреть общую работоспособность развертывания и любые конкретные проблемы, связанные с конфигурацией, подключением и т. д. Вы получите оповещение о возникновении этих событий с проблемами работоспособности Defender для удостоверений.

Microsoft Defender для удостоверений предоставляет значение безопасности для всех учетных записей Active Directory, включая те, которые не синхронизированы с Microsoft Entra ID. Учетные записи пользователей, синхронизированные с Microsoft Entra ID, также будут использовать значение безопасности, предоставляемое Microsoft Entra ID (на основе уровня лицензии), и оценку приоритета исследования.

Команда Microsoft Defender для удостоверений рекомендует всем клиентам использовать драйвер Npcap вместо драйверов WinPcap. Начиная с Defender для удостоверений версии 2.184, пакет установки устанавливает Npcap 1.0 OEM вместо драйверов WinPcap 4.1.3.

WinPcap больше не поддерживается, и так как он больше не разрабатывается, драйвер больше не может быть оптимизирован для датчика Defender для удостоверений. Кроме того, если в будущем возникла проблема с драйвером WinPcap, варианты исправления отсутствуют.

Npcap поддерживается, а WinPcap больше не поддерживается.

ДатчикУ MDI требуется Npcap 1.0 или более поздней версии. Пакет установки датчика установит версию 1.0, если не установлена другая версия Npcap. Если вы уже установили Npcap (из-за других требований к программному обеспечению или по любой другой причине), важно убедиться, что он был установлен с необходимыми параметрами для MDI.

Да. Чтобы удалить драйверы WinPcap, необходимо вручную удалить датчик. При переустановке с помощью последнего пакета будут установлены драйверы Npcap.

Вы можете увидеть, что "Npcap OEM" устанавливается с помощью программ добавления и удаления (appwiz.cpl), и если возникла открытая проблема работоспособности для этого, она будет автоматически закрыта.

Нет, Npcap имеет исключение из обычного ограничения в пять установок. Его можно установить в неограниченном количестве систем, где он используется только с датчиком Defender для удостоверений.

См. лицензионное соглашение Npcap здесь и найдите Microsoft Defender для удостоверений.

Нет, только датчик Microsoft Defender для удостоверений поддерживает Npcap версии 1.00.

Нет, вам не нужно приобретать версию OEM. Скачайте пакет установки датчика версии 2.156 и более поздних версий с консоли Defender для удостоверений, которая включает oem-версию Npcap.

• Вы можете получить исполняемые файлы Npcap, скачав последний пакет развертывания датчика Defender для удостоверений.

• Если датчик еще не установлен, установите его с помощью версии 2.184 или более поздней.

• Если вы уже установили датчик с WinPcap и необходимо обновить для использования Npcap:

  1. Удалите датчик. Используйте команду "Добавление и удаление программ " на панели управления Windows (appwiz.cpl) или выполните следующую команду удаления: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. При необходимости удалите WinPcap. Этот шаг актуален, только если winPcap был установлен вручную до установки датчика. В этом случае потребуется вручную удалить WinPcap.

  3. Переустановите датчик с помощью версии 2.184 или более поздней.

• Если вы хотите вручную установить Npcap, установите Npcap со следующими параметрами:

  • Если вы используете установщик графического интерфейса пользователя, очистите параметр поддержки замыкания на себя и выберите режим WinPcap . Убедитесь, что параметр Ограничить доступ драйвера Npcap только к администраторам снят.
  • Если вы используете командную строку, выполните следующую команду: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Если вы хотите вручную обновить Npcap:

  1. Остановите службы датчиков Defender для удостоверений, AATPSensorUpdater и AATPSensor. Запустите: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Удаление Npcap с помощью добавления и удаления программ на панели управления Windows (appwiz.cpl).

  3. Установите Npcap со следующими параметрами:

     • Если вы используете установщик графического интерфейса пользователя, очистите параметр поддержки замыкания на себя и выберите режим WinPcap . Убедитесь, что параметр Ограничить доступ драйвера Npcap только к администраторам снят.

     • Если вы используете командную строку, выполните следующую команду: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Запустите службы датчиков Defender для удостоверений , AATPSensorUpdater и AATPSensor. Запустите: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender для удостоверений можно настроить для отправки оповещения системного журнала на любой сервер SIEM в формате CEF для проблем работоспособности и при обнаружении оповещения системы безопасности. Дополнительные сведения см. в справочнике по журналам SIEM.

Учетные записи считаются конфиденциальными, если учетная запись является членом групп, назначенных как конфиденциальные (например, "Администраторы домена").

Чтобы понять, почему учетная запись является конфиденциальной, можно просмотреть ее членство в группах, чтобы понять, к каким конфиденциальным группам она принадлежит. Группа, к которой она принадлежит, также может быть чувствительной из-за другой группы, поэтому тот же процесс следует выполнять до тех пор, пока вы не найдете группу с высоким уровнем конфиденциальности. Кроме того, вручную помечайте учетные записи как конфиденциальные.

При использовании Defender для удостоверений нет необходимости создавать правила, пороги или базовые показатели, а затем настраивать их. Defender для удостоверений анализирует поведение пользователей, устройств и ресурсов, а также их связь друг с другом и может быстро обнаружить подозрительные действия и известные атаки. Через три недели после развертывания Defender для удостоверений начинает обнаруживать подозрительные действия поведения. С другой стороны, Defender для удостоверений начнет обнаруживать известные вредоносные атаки и проблемы безопасности сразу после развертывания.

Defender для удостоверений создает трафик от контроллеров домена к компьютерам в организации в одном из трех сценариев:

• Разрешение сетевых имен Defender для удостоверений фиксирует трафик и события, обучает и профилирует пользователей и компьютерные действия в сети. Чтобы изучить и профилировать действия в соответствии с компьютерами в организации, Defender для удостоверений должен разрешать IP-адреса в учетные записи компьютеров. Чтобы разрешить IP-адреса для компьютеров с именами датчиков Defender для удостоверений, запросите IP-адрес для имени компьютера за IP-адресом.

  Запросы выполняются с помощью одного из четырех методов:

  • NTLM через RPC (TCP-порт 135)
  • NetBIOS (UDP-порт 137)
  • RDP (TCP-порт 3389)
  • Запрос DNS-сервера с помощью обратного поиска DNS IP-адреса (UDP 53)

  После получения имени компьютера датчики Defender для удостоверений проверка сведения в Active Directory, чтобы узнать, есть ли связанный объект компьютера с тем же именем компьютера. При обнаружении совпадения создается связь между IP-адресом и соответствующим объектом компьютера.

• Путь бокового смещения (LMP) Чтобы создать потенциальные LSP для конфиденциальных пользователей, Defender для удостоверений требует сведений о локальных администраторах на компьютерах. В этом сценарии датчик Defender для удостоверений использует SAM-R (TCP 445) для запроса IP-адреса, определенного в сетевом трафике, чтобы определить локальных администраторов компьютера. Дополнительные сведения о Defender для удостоверений и SAM-R см. в статье Настройка необходимых разрешений SAM-R.

• Запросы к Active Directory с помощью LDAP для датчиков данных сущностей Defender для удостоверений запрашивают контроллер домена из домена, к которому принадлежит сущность. Это может быть тот же датчик или другой контроллер домена из этого домена.

Defender для удостоверений фиксирует действия по множеству различных протоколов. В некоторых случаях Defender для удостоверений не получает данные пользователя-источника в трафике. Defender для удостоверений пытается сопоставить сеанс пользователя с действием, и при успешной попытке отображается пользователь-источник действия. Если попытки корреляции пользователей завершаются сбоем, отображается только исходный компьютер.

Датчик Defender для удостоверений может активировать вызов DNS "aatp.dns.detection.local" в ответ на определенные входящие действия DNS на отслеживаемый компьютер MDI.

Личные данные пользователя в Defender для удостоверений являются производными от объекта пользователя в Active Directory организации и не могут быть обновлены непосредственно в Defender для удостоверений.

Вы можете экспортировать персональные данные из Defender для удостоверений, используя тот же метод, что и экспорт сведений об оповещениях системы безопасности. Дополнительные сведения см. в статье Проверка оповещений системы безопасности.

Используйте панель поиска на портале Microsoft Defender для поиска идентифицируемых персональных данных, таких как конкретный пользователь или компьютер. Дополнительные сведения см. в разделе Исследование ресурсов.

Defender для удостоверений реализует аудит изменений персональных данных, включая удаление и экспорт записей персональных данных. Срок хранения журнала аудита составляет 90 дней. Аудит в Defender для удостоверений является внутренней функцией и недоступен для клиентов.

После удаления пользователя из Active Directory организации Defender для удостоверений автоматически удаляет профиль пользователя и все связанные сетевые действия в соответствии с общей политикой хранения данных Defender для удостоверений, если только данные не являются частью активного инцидента. Мы рекомендуем добавить разрешения только для чтения в контейнере Удаленные объекты . Дополнительные сведения см. в разделе Предоставление необходимых разрешений DSA.

Просмотрите последнюю ошибку в текущем журнале ошибок (где в папке Logs установлен Defender для удостоверений).

Связанные материалы

• Предварительные требования к Defender для удостоверений
• Планирование емкости Defender для удостоверений
• Настройка сбора событий
• Настройка переадресации событий Windows
• Устранение неполадок
• Посетите форум Defender для удостоверений!