Microsoft Defender for Identity 常见问题解答

本文提供了有关 Microsoft Defender for Identity 的常见问题解答,分为以下几类:

什么是 Defender for Identity?

Defender for Identity 可以检测哪些内容?

Defender for Identity 能够检测到针对网络的已知恶意攻击和技术、安全问题以及风险。 有关 Defender for Identity 检测的完整列表,请参阅 Defender for Identity 安全警报

Defender for Identity 会收集哪些数据?

Defender for Identity 从配置的服务器(例如域控制器、成员服务器等)收集并存储信息。 数据存储在服务专用的数据库中,用于管理、跟踪和报告。

收集的信息包括以下内容:

  • 进出域控制器的网络流量,如 Kerberos 身份验证、NTLM 身份验证或 DNS 查询。
  • 安全日志,例如 Windows 安全事件。
  • Active Directory 信息,例如结构、子网或站点。
  • 实体信息,例如姓名、电子邮件地址和电话号码。

Microsoft 使用此数据的用途为:

  • 主动识别组织中的攻击指标 (IOA)。
  • 检测到可能的攻击时生成警报。
  • 在你进行安全操作时让你可以看到与网络威胁信号相关的实体,便于你调查和检测网络中是否存在安全威胁。

除为你提供服务外,Microsoft 不会出于广告或任何其他目的挖掘你的数据。

Defender for Identity 支持多少目录服务凭据?

Defender for Identity 目前支持添加多达 30 种不同的目录服务凭据,以支持具有不受信任的林的 Active Directory 环境。 如果需要更多帐户,请开具支持票证。

Defender for Identity 是否仅使用来自 Active Directory 的流量?

除了使用深度数据包检查技术分析 Active Directory 流量外,Defender for Identity 还从域控制器收集相关的 Windows 事件,并根据 Active Directory 域服务的信息创建实体配置文件。 此外,Defender for Identity 也接收来自不同供应商(Microsoft、Cisco、F5 和 Checkpoint)的 VPN 日志的 RADIUS 账目。

Defender for Identity 是否只监视已加入域的设备?

否。 Defender for Identity 可监视网络中针对 Active Directory 执行身份验证和授权请求的所有设备(包括非 Windows 设备和移动设备)。

Defender for Identity 是否会对计算机帐户和用户帐户进行监视?

是的。 由于计算机帐户和其他实体都可用于执行恶意活动,因此 Defender for Identity 会对环境中的所有计算机帐户行为和所有其他实体进行监视。

高级威胁分析 (ATA) 和 Defender for Identity 之间有什么区别?

ATA 是具有多个组件的独立型本地解决方案,比如需要本地专用硬件的 ATA 中心。

Defender for Identity 是一种基于云的安全解决方案,使用的是本地 Active Directory 信号。 该解决方案具有高度可缩放性,并经常更新。

ATA 的最终版本已正式发布。 ATA 于 2021 年 1 月 12 日终止了主要支持。 外延支持持续到 2026 年 1 月。 有关详细信息,请阅读我们的博客文章

与 ATA 传感器不同的是,Defender for Identity 传感器还使用 Windows 事件跟踪 (ETW) 等数据源,使 Defender for Identity 能够提供额外的检测。

Defender for Identity 经常更新,更新内容包括以下特性和功能:

  • 支持 多林环境:为组织提供跨 AD 林的可见性。

  • Microsoft 安全功能分数状况评估:识别常见的错误配置和可利用组件,并提供修正路径以减少攻击面。

  • UEBA 功能:通过用户调查优先级评分,深入了解单个用户的风险。 这项分数可协助 SecOps 进行调查,帮助分析员了解用户和组织的异常活动。

  • 本机集成:与 Microsoft Defender for Cloud Apps 和 Azure AD Identity Protection 集成,提供混合视图,查看本地和混合环境中发生的事件。

  • 向 Microsoft Defender XDR 提供数据:为 Microsoft Defender XDR 提供警报和威胁数据。 Microsoft Defender XDR 使用 Microsoft 365 安全组合(标识、终结点、数据和应用程序)自动分析跨域威胁数据,在单个仪表板中构建每个攻击的完整图。

    有了这种广度和深度的明确性,防御者可以专注于关键威胁,并追捕复杂的漏洞。 Defenders 可以相信,Microsoft Defender XDR 强大的自动化功能可以阻止杀伤链中任何位置的攻击,并将组织恢复到安全状态。

许可和隐私

在哪里可以获取 Microsoft Defender for Identity 的许可?

Defender for Identity 作为企业移动性 + 安全性 5 套件 (EMS E5) 的一部分提供,以及作为独立许可证提供。 可以直接从 Microsoft 365 门户 或通过云解决方案合作伙伴 (CSP) 许可模型获取许可证。

Defender for Identity 是否只需要单个许可即可,还是需要保护的每个用户的许可?

有关 Defender for Identity 许可要求的信息,请参阅 Defender for Identity 许可指南

我的数据是否与其他客户数据隔离?

是的,数据通过访问身份验证和基于客户标识符的逻辑隔离进行隔离。 每个客户只能访问从自己的组织收集的数据和 Microsoft 提供的通用数据。

是否能够灵活地选择数据存储位置?

否。 创建 Defender for Identity 工作区后,它会自动存储在离 Microsoft Entra 租户地理位置最近的 Azure 区域中。 创建 Defender for Identity 工作区后,Defender for Identity 数据就无法移动到其他区域了。

Microsoft 如何防止发生内部恶意活动和滥用高特权角色的现象?

经过精心设计,Microsoft 开发人员和管理员有足够的特权来履行指定的责任,运行和发展服务。 Microsoft 将部署预防性、侦测性和反应性控制组合,帮助避免任用未经授权的开发人员和/或开展未经授权的管理活动。控制机制如下:

  • 对敏感数据进行严格的访问控制
  • 增强独立检测恶意活动的控制组合
  • 多级别监视、日志记录和报告

此外,Microsoft 还对某些操作人员进行背景核查,并根据背景核查结果,相应地限制他们对应用程序、系统和网络基础结构的访问权限。 当操作人员需要访问客户的帐户或履行职责的相关信息时,应遵循正式流程。

部署

我需要多少个 Defender for Identity 传感器?

建议为每台域控制器都安装一个 Defender for Identity 传感器或独立传感器。 有关更多信息,请参阅确定 Defender for Identity 传感器的大小

Defender for Identity 是否适用于加密流量?

虽然具有 AtSvc 和 WMI 等加密流量的网络协议不会被解密,但传感器仍会对流量进行分析。

Defender for Identity 是否适用于 Kerberos Armoring?

Defender for Identity 支持 Kerberos Armoring,也称为灵活身份验证安全隧道 (FAST)。 不过,不支持过度传递哈希检测,因为该检测不适用于 Kerberos Armoring。

如何使用 Defender for Identity 监视虚拟域控制器?

Defender for Identity 传感器可以覆盖大多数虚拟域控制器。 有关详细信息,请参阅 Defender for Identity 容量计划

如果 Defender for Identity 传感器不能覆盖虚拟域控制器,请改用虚拟或物理 Defender for Identity 独立传感器。 有关详细信息,请参阅配置端口镜像

最简单的方法是在存在虚拟域控制器的每台主机上都安装一个虚拟 Defender for Identity 独立传感器。

如果虚拟域控制器在主机之间移动,则需要执行以下其中一个步骤:

  • 当虚拟域控制器移动到另一台主机时,在该主机中预配置 Defender for Identity 独立传感器,以接收来自最近移动的虚拟域控制器的流量。

  • 请确保将虚拟 Defender for Identity 独立传感器与虚拟域控制器关联,以便在域控制器移动后,Defender for Identity 独立传感器也会随之移动。

  • 有些虚拟交换机可以在主机之间发送流量。

使用代理时,如何配置 Defender for Identity 传感器与 Defender for Identity 云服务通信?

要让域控制器能够与云服务通信,必须在防火墙/代理中打开:*.atp.azure.com 端口 443。 有关详细信息,请参阅配置代理或防火墙以启用与 Defender for Identity 传感器的通信

受 Defender for Identity 监视的域控制器能否在 IaaS 解决方案上虚拟化?

是的,你可以使用 Defender for Identity 传感器监视任何 IaaS 解决方案中的域控制器。

Defender for Identity 能否支持多域和多林?

Defender for Identity 支持多域环境和多个林。 有关详细信息和信任要求,请参阅多林支持

能否看到部署的总体运行状况?

是的,可以查看总体部署运行状况以及与配置、连接等相关的任何具体问题。 当这些活动伴随了 Defender for Identity 运行状况问题时,系统会发出警报。

Microsoft Defender for Identity 是否需要将用户同步到 Microsoft Entra ID?

Microsoft Defender for Identity 为所有 Active Directory 帐户提供安全值,包括未同步到 Microsoft Entra ID 的帐户。 同步到 Microsoft Entra ID 的用户帐户还将受益于 Microsoft Entra ID(基于许可证级别)和调查优先级评分提供的安全值。

WinPcap 和 Npcap 驱动程序

WinPcap 和 Npcap 驱动程序有哪些建议正在更改?

Microsoft Defender for Identity 团队建议所有客户都使用 Npcap 驱动程序来替代 WinPcap 驱动程序。 从 Defender for Identity 2.184 版开始,安装包会安装 Npcap 1.0 OEM,而非 WinPcap 4.1.3 驱动程序。

我们为何放弃 WinPcap?

WinPcap 不再受支持,而且由于不再开发 WinPcap,驱动程序也无法再针对 Defender for Identity 传感器进行优化。 此外,如果 WinPcap 驱动程序将来出现问题,也没有修复选项。

为什么是 Npcap?

支持 Npcap,而 WinPcap 不再是受支持的产品。

支持哪个版本的 Npcap?

MDI 传感器需要使用 Npcap 1.0 或更高版本。 如果未安装其他版本的 Npcap,传感器安装包将安装 1.0 版。 如果已安装 Npcap(由于其他软件要求或任何其他原因),请务必确保其版本为 1.0 或更高版本,并且已按 MDI 所需设置进行了安装。

是否需要手动删除并重新安装传感器,或者自动更新服务是否会将其作为正常更新的一部分进行处理?

是的。 需要手动删除传感器才能删除 WinPcap 驱动程序。 使用最新包重新安装将安装 Npcap 驱动程序。

如何检查当前安装的 Defender for Identity 使用的是 Npcap 还是 WinPcap?

“Npcap OEM”是通过“添加/删除程序”(appwiz.cpl) 安装的,如果存在未解决的运行状况问题,它将自动关闭。

我组织中的域控制器超过五个。 如果在这些域控制器上使用 Npcap,是否需要购买 Npcap 许可?

否,Npcap 不受一般的 5 次安装限制。 可以将其安装于不受限制的系统中,在这些系统中,它只能与 Defender for Identity 传感器一起使用。

请参阅此处的 Npcap 许可协议,并搜索 Microsoft Defender for Identity。

Npcap 是否也与 ATA 相关?

否,只有 Microsoft Defender for Identity 传感器支持 Npcap 1.00 版本。

我想编写 Npcap 部署脚本,是否需要购买 OEM 版本?

否,无需购买 OEM 版本。 从 Defender for Identity 控制台下载 2.156 及以上版本的传感器安装包,其中包括 OEM 版本的 Npcap。

如何下载并安装或升级 Npcap 驱动程序?

  • 可以通过下载最新的 Defender for Identity 传感器部署包获得 Npcap 可执行文件。

  • 如果尚未安装传感器,请使用版本 2.184 或更高版本安装传感器。

  • 如果已安装具有 WinPcap 的传感器,则需要更新才能使用 Npcap:

    1. 卸载传感器。 通过 Windows 控制面板 (appwiz.cpl) 中的“添加/删除程序”卸载,或运行以下卸载命令".\Azure ATP Sensor Setup.exe" /uninstall /quiet

    2. 如果需要,请卸载 WinPcap。 仅当安装传感器之前手动安装了 WinPcap 的情况下,才需要执行此步骤。 在这种情况下,需要手动删除 WinPcap。

    3. 使用版本 2.184 或更高版本重新安装传感器。

  • 如果要手动安装 Npcap:使用以下选项进行安装:

    • 如果使用 GUI 安装程序,请清除环回支持选项并选择 WinPcap 模式。 确保已清除限制 Npcap 驱动程序仅允许访问管理员选项。
    • 如果使用命令行,请运行:npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  • 如果要手动升级 Npcap,请执行以下步骤:

    1. 停止 Defender for Identity 传感器服务、AATPSensorUpdaterAATPSensor。 运行:Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

    2. 在 Windows 控制面板 (appwiz.cpl) 中使用“添加/删除程序”删除 Npcap。

    3. 使用以下选项安装 Npcap:

      • 如果使用 GUI 安装程序,请清除环回支持选项并选择 WinPcap 模式。 确保已清除限制 Npcap 驱动程序仅允许访问管理员选项。

      • 如果使用命令行,请运行:npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

    4. 启动 Defender for Identity 传感器服务、AATPSensorUpdaterAATPSensor。 运行:Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

操作

Defender for Identity 与 SIEM 有什么样的集成?

Defender for Identity 可配置为使用 CEF 格式向任何 SIEM 服务器发送针对运行状况问题的 Syslog 警报,以及在检测到安全警报时也向其发送警报。 有关详细信息,请参阅 SIEM 日志参考

为什么某些帐户被视为敏感帐户?

如果帐户是指定为敏感组的成员(例如:“域管理员”),则该帐户视为敏感帐户。

若要了解帐户为何是敏感帐户,可以查看其组成员身份,了解其所属敏感组。 它所属的组也可能因另一个组而敏感,因此应执行相同的过程,直到找到最高级别的敏感组。 或者,手动将帐户标记为敏感帐户

是否必须编写自己的规则并创建阈值/基线?

使用 Defender for Identity,无需创建规则、阈值或基线,然后进行微调。 Defender for Identity 可分析用户、设备和资源之间的行为,及其相互关系,并能快速检测可疑活动和已知攻击。 部署三周后,Defender for Identity 开始检测行为可疑的活动。 另一方面,Defender for Identity 将在部署后立即开始检测已知的恶意攻击和安全问题。

Defender for Identity 在网络中从域控制器生成哪些流量以及原因是什么?

Defender for Identity 在以下三种方案中生成从域控制器到组织内计算机的流量:

  • 网络名称解析 Defender for Identity 可捕获流量和事件,了解并分析用户和计算机在网络中的活动。 若要根据组织中的计算机了解和分析活动,Defender for Identity 需要将 IP 解析为计算机帐户。 若要将 IP 解析为计算机名称 Defender for Identity 传感器,需要为 IP 地址后面的计算机名称请求 IP 地址。

    使用以下四种方法之一发出请求:

    • NTLM over RPC(TCP 端口 135)
    • NetBIOS(UDP 端口 137)
    • RDP(TCP 端口 3389)
    • 使用 IP 地址的反向 DNS 查找查询 DNS 服务器 (UDP 53)

    获取计算机名称后,Defender for Identity 传感器会交叉检查 Active Directory 中的详细信息,查看是否存在具有相同计算机名称的相关计算机对象。 如果找到匹配项,则会在 IP 地址与匹配的计算机对象之间建立关联。

  • 横向移动路径 (LMP) 若要为敏感用户生成潜在的 LMP,Defender for Identity 需要计算机上本地管理员的信息。 在此方案中,Defender for Identity 传感器使用 SAM-R (TCP 445) 查询网络流量中标识的 IP 地址,确定计算机的本地管理员。 若要详细了解 Defender for Identity 和 SAM-R,请参阅配置 SAM-R 所需的权限

  • 使用 LDAP 查询实体数据 Defender for Identity 传感器的 Active Directory 这一操作,会从实体所属的域中查询域控制器。 它可以是同一传感器,也可以是该域中的另一个域控制器。

协议 服务 端口 Source 方向
LDAP TCP 和 UDP 389 域控制器 出站
安全 LDAP (LDAPS) TCP 636 域控制器 出站
LDAP 至全局编录 TCP 3268 域控制器 出站
LDAPS 至全局编录 TCP 3269 域控制器 出站

活动为什么不始终显示源用户和计算机?

Defender for Identity 通过许多不同的协议捕获活动。 在某些情况下,Defender for Identity 不会在流量中接收源用户的数据。 Defender for Identity 尝试将用户的会话与活动相关联,成功关联后,将显示活动的源用户。 如果用户关联失败,仅显示源计算机。

为什么会看到对 aatp.dns.detection.local 的 DNS 查询?

Defender for Identity 传感器可能会触发对“aatp.dns.detection.local”的 DNS 调用,以响应 MDI 受监视的计算机的某些传入 DNS 活动。

个人数据管理

是否可以在 Defender for Identity 中更新个人数据?

Defender for Identity 中的个人数据派生自组织的 Active Directory 中的用户对象,不能直接在 Defender for Identity 中更新。

如何从 Defender for Identity 导出个人数据?

可以使用与导出安全警报信息相同的方法从 Defender for Identity 导出个人数据。 有关详细信息,请参阅查看安全警报

如何查找 Defender for Identity 中存储的个人数据?

使用 Microsoft Defender 门户搜索栏搜索可识别个人数据,例如特定用户或计算机。 有关详细信息,请参阅调查资产

Defender for Identity 对个人数据进行何种审核?

Defender for Identity 实施个人数据更改审核,包括删除和导出个人数据记录。 审核线索保留时间为 90 天。 Defender for Identity 中的审核为后端功能,客户无法访问。

当用户从组织的 Active Directory 中删除时,Defender for Identity 会发生什么情况?

从组织的 Active Directory 中删除用户后,Defender for Identity 会根据 Defender for Identity 的常规数据保留策略自动删除用户配置文件和任何相关的网络活动,除非数据是活动事件的一部分。 建议对已删除对象容器添加只读权限。 有关详细信息,请参阅授予所需的 DSA 权限

故障排除

如果 Defender for Identity 传感器或独立传感器未启动,该怎么办?

查看当前错误日志中的最新错误(其中 Defender for Identity 安装在“日志”文件夹下)。