Microsoft Defender for Identity常见问题解答

本文提供了有关Microsoft Defender for Identity的常见问题解答列表,分为以下类别:

什么是 Defender for Identity?

Defender for Identity 可以检测哪些内容?

Defender for Identity 检测已知的恶意攻击和技术、安全问题以及针对网络的风险。 有关 Defender for Identity 检测的完整列表,请参阅 Defender for Identity Security Alerts

Defender for Identity 收集哪些数据?

Defender for Identity 从配置的服务器(例如域控制器、成员服务器等)收集和存储信息。 数据存储在特定于服务的数据库中,以便进行管理、跟踪和报告。

收集的信息包括:

  • 传入和传出域控制器的网络流量,例如 Kerberos 身份验证、NTLM 身份验证或 DNS 查询。
  • 安全日志,例如 Windows 安全事件。
  • Active Directory 信息,例如结构、子网或站点。
  • 实体信息,例如姓名、电子邮件地址和电话号码。

Microsoft使用此数据来:

  • 主动识别组织中 (IOA) 攻击指标。
  • 如果检测到可能的攻击,则生成警报。
  • 为安全操作提供与来自网络的威胁信号相关的实体的视图,使你能够调查和探索网络上是否存在安全威胁。

Microsoft不会出于广告或提供服务以外的任何其他目的挖掘你的数据。

Defender for Identity 支持多少个目录服务凭据?

Defender for Identity 目前支持添加最多 30 个不同的目录服务凭据,以支持具有不受信任的林的 Active Directory 环境。 如果需要更多帐户,请开具支持票证。

Defender for Identity 是否仅使用来自 Active Directory 的流量?

除了使用深度数据包检查技术分析 Active Directory 流量外,Defender for Identity 还从域控制器收集相关的 Windows 事件,并根据来自Active Directory 域服务的信息创建实体配置文件。 Defender for Identity 还支持从各种供应商( (Microsoft、Cisco、F5 和 Checkpoint) )接收 VPN 日志的 RADIUS 会计。

Defender for Identity 是否仅监视已加入域的设备?

不正确。 Defender for Identity 监视网络中针对 Active Directory 执行身份验证和授权请求的所有设备,包括非 Windows 和移动设备。

Defender for Identity 是否监视计算机帐户和用户帐户?

是。 由于计算机帐户和其他实体可用于执行恶意活动,因此 Defender for Identity 会监视环境中的所有计算机帐户行为和所有其他实体。

高级威胁分析 (ATA) 与 Defender for Identity 之间有何区别?

ATA 是一种独立的本地解决方案,具有多个组件,例如需要本地专用硬件的 ATA 中心。

Defender for Identity 是一种基于云的安全解决方案,使用本地 Active Directory信号。 该解决方案具有高度可缩放性,并且经常更新。

ATA 的最终版本 已正式发布。 ATA 于 2021 年 1 月 12 日终止了主流支持。 延期支持将持续到 2026 年 1 月。 有关详细信息,请阅读 我们的博客

与 ATA 传感器相比,Defender for Identity 传感器还使用 Windows (ETW 事件跟踪等数据源,) 使 Defender for Identity 能够提供额外的检测。

Defender for Identity 的频繁更新包括以下特性和功能:

  • 支持 多林环境:为组织提供跨 AD 林的可见性。

  • Microsoft安全功能分数状况评估:识别常见的错误配置和可利用组件,并提供修正路径以减少攻击面。

  • UEBA 功能:通过用户调查优先级评分深入了解单个用户风险。 分数可帮助 SecOps 进行调查,并帮助分析师了解用户和组织异常活动。

  • 本机集成:与Microsoft Defender for Cloud Apps和Microsoft Entra ID 保护集成,以提供本地和混合环境中发生的情况的混合视图。

  • 参与Microsoft Defender XDR:向Microsoft Defender XDR提供警报和威胁数据。 Microsoft Defender XDR使用 Microsoft 365 安全组合 (标识、终结点、数据和应用程序) 自动分析跨域威胁数据,在单个仪表板中全面了解每个攻击。

    借助这种广度和深度的清晰性,Defender 可以专注于关键威胁并搜寻复杂的违规行为。 防御者可以相信,Microsoft Defender XDR强大的自动化可阻止杀伤链中任意位置的攻击,并使组织恢复安全状态。

许可和隐私

在哪里可以获取Microsoft Defender for Identity的许可证?

Defender for Identity 作为 企业移动性 + 安全性 5 套件 (EMS E5) 的一部分提供,并且作为独立许可证提供。 可以直接从 Microsoft 365 门户 或通过云解决方案合作伙伴 (CSP) 许可模型获取许可证。

Defender for Identity 是只需要一个许可证,还是需要我想要保护的每个用户的许可证?

有关 Defender for Identity 许可要求的信息,请参阅 Defender for Identity 许可指南

我的数据是否与其他客户数据隔离?

是的,你的数据通过访问身份验证和基于客户标识符的逻辑隔离进行隔离。 每个客户只能访问从其自己的组织收集的数据以及Microsoft提供的一般数据。

我是否能够灵活地选择要存储数据的位置?

不正确。 创建 Defender for Identity 工作区后,它会自动存储在离租户地理位置最近的 Azure 区域中Microsoft Entra。 创建 Defender for Identity 工作区后,无法将 Defender for Identity 数据移动到其他区域。

Microsoft如何防止恶意内部活动和滥用高特权角色?

根据设计,Microsoft开发人员和管理员已获得足够的特权,以履行其分配的职责来运行和发展服务。 Microsoft部署预防性、检测和反应性控制的组合,包括以下机制,以帮助防止未经授权的开发人员和/或管理活动:

  • 对敏感数据的严格访问控制
  • 可大大增强恶意活动的独立检测的控制组合
  • 多个级别的监视、日志记录和报告

此外,Microsoft对某些操作人员进行背景验证检查,并按后台验证级别限制对应用程序、系统和网络基础结构的访问。 运营人员在履行职责时需要访问客户的帐户或相关信息时,会遵循正式流程。

部署

我需要多少个 Defender for Identity 传感器?

建议为每个域控制器使用 Defender for Identity 传感器或独立传感器。 有关详细信息,请参阅 Defender for Identity 传感器大小调整

Defender for Identity 是否适用于加密流量?

虽然不会解密具有加密流量的网络协议(例如 AtSvc 和 WMI),但传感器仍会分析流量。

Defender for Identity 是否适用于 Kerberos Armoring?

Defender for Identity 支持 Kerberos 保护,也称为灵活身份验证安全隧道 (FAST) 。 此支持的例外是过度传递哈希检测,这不适用于 Kerberos Armoring。

如何实现使用 Defender for Identity 监视虚拟域控制器?

Defender for Identity 传感器可以覆盖大多数虚拟域控制器。 有关详细信息,请参阅 Defender for Identity Capacity Planning

如果 Defender for Identity 传感器无法覆盖虚拟域控制器,请改用虚拟或物理 Defender for Identity 独立传感器。 有关详细信息,请参阅 配置端口镜像

最简单的方法是在存在虚拟域控制器的每个主机上都有一个虚拟 Defender for Identity 独立传感器。

如果虚拟域控制器在主机之间移动,则需要执行以下步骤之一:

  • 当虚拟域控制器移动到另一台主机时,在该主机中预配置 Defender for Identity 独立传感器,以接收来自最近移动的虚拟域控制器的流量。

  • 请确保将虚拟 Defender for Identity 独立传感器与虚拟域控制器关联,以便在移动后,Defender for Identity 独立传感器随之移动。

  • 有一些虚拟交换机可以在主机之间发送流量。

如何实现配置 Defender for Identity 传感器以在具有代理时与 Defender for Identity 云服务通信?

若要使域控制器与云服务通信,必须在防火墙/代理中打开*.atp.azure.com 端口 443。 有关详细信息,请参阅 配置代理或防火墙以启用与 Defender for Identity 传感器的通信

是否可以在 IaaS 解决方案上虚拟化 Defender for Identity 受监视的域控制器?

是的,可以使用 Defender for Identity 传感器监视任何 IaaS 解决方案中的域控制器。

Defender for Identity 是否支持多域和多林?

Defender for Identity 支持多域环境和多个林。 有关详细信息和信任要求,请参阅 多林支持

可以查看部署的整体运行状况吗?

是的,可以查看总体部署运行状况以及与配置、连接性等相关的任何特定问题。 当 Defender for Identity 运行状况问题发生这些事件时,系统会向你发出警报。

Microsoft Defender for Identity是否需要将用户同步到Microsoft Entra ID?

Microsoft Defender for Identity为所有 Active Directory 帐户(包括未同步到Microsoft Entra ID的帐户)提供安全值。 同步到Microsoft Entra ID的用户帐户还将受益于Microsoft Entra ID (基于许可证级别) 和调查优先级评分提供的安全值。

WinPcap 和 Npcap 驱动程序

有关 WinPcap 和 Npcap 驱动程序的哪些建议正在更改?

Microsoft Defender for Identity团队建议所有客户使用 Npcap 驱动程序而不是 WinPcap 驱动程序。 从 Defender for Identity 版本 2.184 开始,安装包将安装 Npcap 1.0 OEM,而不是 WinPcap 4.1.3 驱动程序。

我们为什么要离开 WinPcap?

WinPcap 不再受支持,由于它不再被开发,因此无法再针对 Defender for Identity 传感器优化驱动程序。 此外,如果 WinPcap 驱动程序将来出现问题,则没有修复选项。

为什么选择 Npcap?

支持 Npcap,而 WinPcap 不再是受支持的产品。

支持哪个版本的 Npcap?

MDI 传感器需要 Npcap 1.0 或更高版本。 如果未安装其他 Npcap 版本,则 Sensor 安装包将安装版本 1.0。 如果由于其他软件要求或任何其他原因) 已安装 Npcap (,请务必确保其版本为 1.0 或更高版本,并且已安装 MDI 所需的设置

是否需要手动删除并重新安装传感器,或者自动更新服务会在正常更新过程中对其进行处理?

是。 需要手动删除传感器才能删除 WinPcap 驱动程序。 使用最新包重新安装将安装 Npcap 驱动程序。

如何检查当前安装的 Defender for Identity 使用的是 Npcap 还是 WinPcap?

可以看到“Npcap OEM”是通过“添加/删除程序” (appwiz.cpl) 安装的,如果存在打开 的运行状况问题 ,它将自动关闭。

我的组织中有五个以上的域控制器。 如果我在这些域控制器上使用 Npcap,是否需要购买 Npcap 许可证?

否,Npcap 可免除通常的 5 次安装限制。 可以在仅与 Defender for Identity 传感器一起使用的无限制系统上安装它。

请参阅此处的 Npcap 许可协议,并搜索Microsoft Defender for Identity。

Npcap 是否也与 ATA 相关?

否,只有Microsoft Defender for Identity传感器支持 Npcap 版本 1.00。

我想编写 Npcap 部署脚本,是否需要购买 OEM 版本?

否,无需购买 OEM 版本。 从 Defender for Identity 控制台下载传感器安装包 2.156 及更高版本,其中包括 Npcap 的 OEM 版本。

如何实现下载并安装或升级 Npcap 驱动程序?

  • 可以通过 下载 Defender for Identity 传感器的最新部署包来获取 Npcap 可执行文件。

  • 如果尚未安装传感器,请使用版本 2.184 或更高版本安装传感器。

  • 如果已使用 WinPcap 安装了传感器,并且需要更新以使用 Npcap:

    1. 卸载传感器。 使用 Windows 控制面板中的 “添加/删除程序 ” (appwiz.cpl) ,或运行以下 uninstall 命令".\Azure ATP Sensor Setup.exe" /uninstall /quiet

    2. 如果需要,请卸载 WinPcap。 仅当在传感器安装之前手动安装 WinPcap 时,此步骤才相关。 在这种情况下,需要手动删除 WinPcap。

    3. 使用版本 2.184 或更高版本重新安装传感器。

  • 如果要手动安装 Npcap:使用以下选项安装 Npcap:

    • 如果使用 GUI 安装程序,请清除 环回支持 选项,然后选择 WinPcap 模式。 确保清除了 “限制 Npcap 驱动程序对管理员的访问权限 ”选项。
    • 如果使用命令行,请运行: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  • 如果要手动升级 Npcap

    1. 停止 Defender for Identity 传感器服务、 AATPSensorUpdaterAATPSensor。 运行: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

    2. 使用 Windows 控制面板中的 “添加/删除”程序 删除 Npcap (appwiz.cpl) 。

    3. 使用以下选项安装 Npcap:

      • 如果使用 GUI 安装程序,请清除 环回支持 选项,然后选择 WinPcap 模式。 确保清除了 “限制 Npcap 驱动程序对管理员的访问权限 ”选项。

      • 如果使用命令行,请运行: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

    4. 启动 Defender for Identity 传感器服务 、AATPSensorUpdaterAATPSensor。 运行: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

操作

Defender for Identity 与 SIEM 的集成类型是什么?

可以将 Defender for Identity 配置为将 Syslog 警报发送到任何使用 CEF 格式的 SIEM 服务器,以便在出现运行状况问题和检测到安全警报时发送。 有关详细信息,请参阅 SIEM 日志参考

为什么某些帐户被视为敏感帐户?

如果帐户是指定为敏感 (组的成员,例如:“域管理员”) ,则帐户被视为敏感帐户。

若要了解帐户为何敏感,可以查看其组成员身份以了解它属于哪些敏感组。 它所属的组也可能由于另一组而敏感,因此应执行相同的过程,直到找到最高级别的敏感组。 或者,手动 将帐户标记为敏感帐户。

是否必须编写自己的规则并创建阈值/基线?

使用 Defender for Identity,无需创建规则、阈值或基线,然后进行微调。 Defender for Identity 分析用户、设备和资源之间的行为及其彼此之间的关系,并可以快速检测可疑活动和已知攻击。 部署三周后,Defender for Identity 开始检测行为可疑活动。 另一方面,Defender for Identity 将在部署后立即开始检测已知的恶意攻击和安全问题。

Defender for Identity 从域控制器在网络中生成哪些流量,原因是什么?

Defender for Identity 在以下三种方案中生成从域控制器到组织中的计算机的流量:

  • 网络名称解析 Defender for Identity 捕获流量和事件,学习和分析网络中的用户和计算机活动。 若要根据组织中的计算机了解和分析活动,Defender for Identity 需要将 IP 解析为计算机帐户。 若要将 IP 解析为计算机名称 Defender for Identity 传感器,请请求 IP 地址 后面的 计算机名称的 IP 地址。

    使用以下四种方法之一发出请求:

    • NTLM over RPC (TCP Port 135)
    • NetBIOS (UDP 端口 137)
    • RDP (TCP 端口 3389)
    • 使用 IP 地址的反向 DNS 查找查询 DNS 服务器, (UDP 53)

    获取计算机名称后,Defender for Identity 传感器会交叉检查 Active Directory 中的详细信息,以查看是否存在具有相同计算机名称的相关计算机对象。 如果找到匹配项,则会在 IP 地址与匹配的计算机对象之间建立关联。

  • LMP) (横向移动路径 若要为敏感用户生成潜在的 LMP,Defender for Identity 需要有关计算机上的本地管理员的信息。 在此方案中,Defender for Identity 传感器使用 SAM-R (TCP 445) 查询网络流量中标识的 IP 地址,以确定计算机的本地管理员。 若要详细了解 Defender for Identity 和 SAM-R,请参阅 配置 SAM-R 所需的权限

  • 使用 LDAP 查询实体数据的 Active Directory Defender for Identity 传感器从实体所属的域中查询域控制器。 它可以是同一个传感器,也可以是该域中的另一个域控制器。

协议 服务 端口 方向
LDAP TCP 和 UDP 389 域控制器 出站
安全 LDAP (LDAPS) TCP 636 域控制器 出站
LDAP 到全局编录 TCP 3268 域控制器 出站
LDAPS 到全局编录 TCP 3269 域控制器 出站

为什么活动不始终同时显示源用户和计算机?

Defender for Identity 通过许多不同的协议捕获活动。 在某些情况下,Defender for Identity 不会在流量中接收源用户的数据。 Defender for Identity 尝试将用户的会话与活动相关联,当尝试成功时,将显示活动的源用户。 当用户关联尝试失败时,仅显示源计算机。

为什么会看到对 aatp.dns.detection.local 的 DNS 查询?

Defender for Identity 传感器可能会触发对“aatp.dns.detection.local”的 DNS 调用,以响应对 MDI 监视计算机的某些传入 DNS 活动。

个人数据管理

是否可以在 Defender for Identity 中更新个人用户数据?

Defender for Identity 中的个人用户数据派生自组织的 Active Directory 中的用户对象,不能直接在 Defender for Identity 中更新。

如何从 Defender for Identity 导出个人数据?

可以使用与导出安全警报信息相同的方法从 Defender for Identity 导出个人数据。 有关详细信息,请参阅 查看安全警报

如何查找存储在 Defender for Identity 中的个人数据?

使用Microsoft Defender门户搜索栏搜索可识别的个人数据,例如特定用户或计算机。 有关详细信息,请参阅 调查资产

Defender for Identity 对个人数据进行哪种审核?

Defender for Identity 对个人数据更改实施审核,包括删除和导出个人数据记录。 审核跟踪保留时间为 90 天。 Defender for Identity 中的审核是一项后端功能,客户无法访问。

从组织的 Active Directory 中删除用户时,Defender for Identity 会发生什么情况?

从组织的 Active Directory 中删除用户后,Defender for Identity 会根据 Defender for Identity 的 常规数据保留策略自动删除用户配置文件和任何相关网络活动,除非数据是活动事件的一部分。 建议对“已删除对象”容器添加只读权限。 有关详细信息,请参阅 授予所需的 DSA 权限

疑难解答

如果 Defender for Identity 传感器或独立传感器未启动,我该怎么办?

查看当前错误 日志 中的最新错误, (Defender for Identity 安装在“日志”文件夹) 下的位置。