Microsoft Defender for Identity häufig gestellte Fragen

Defender for Identity erkennt bekannte böswillige Angriffe und Techniken, Sicherheitsprobleme und Risiken für Ihr Netzwerk. Die vollständige Liste der Defender for Identity-Erkennungen finden Sie unter Defender für Identitätssicherheitswarnungen.

Defender for Identity sammelt und speichert Informationen von Ihren konfigurierten Servern (Domänencontrollern, Mitgliedsservern usw.) in einer dienstspezifischen Datenbank zu Verwaltungs-, Nachverfolgungs- und Berichterstellungszwecken. Gesammelte Informationen sind unter anderem Netzwerkdatenverkehr von und zu Domänencontrollern (z.B. Kerberos-Authentifizierung, NTLM-Authentifizierung, DNS-Abfragen), Sicherheitsprotokolle (z.B. Windows-Sicherheitsereignisse), Active Directory-Informationen (Struktur, Subnetze, Websites) sowie Entitätsinformationen (z.B. Namen, E-Mail-Adressen und Telefonnummern).

Microsoft verwendet diese Daten zu folgenden Zwecken:

• Zum proaktiven Identifizieren von Angriffsindikatoren (Indicators of Attack, IOAs) in Ihrer Organisation
• Zum Generieren von Warnungen, wenn ein möglicher Angriff erkannt wurde
• Zum Bereitstellen von Sicherheitsvorgängen mit einen Einblick in Entitäten, die mit Bedrohungssignalen aus Ihrem Netzwerk verknüpft sind. So können Sie überprüfen und ermitteln, ob Sicherheitsbedrohungen vorhanden sind.

Microsoft extrahiert Ihre Daten nicht zu Werbezwecken oder anderen Zwecken als die Bereitstellung des Dienstes für Sie.

Defender for Identity unterstützt derzeit das Hinzufügen von bis zu 30 verschiedenen Verzeichnisdienstanmeldeinformationen, um Active Directory-Umgebungen mit nicht vertrauenswürdigen Gesamtstrukturen zu unterstützen. Wenn Sie weitere Konten benötigen, eröffnen Sie ein Supportticket.

Neben der Analyse des Active Directory-Datenverkehrs mithilfe der Deep Packet Inspection-Technologie erfasst Defender for Identity auch relevante Windows-Ereignisse von Ihrem Domänencontroller und erstellt Entitätsprofile auf Der Grundlage von Informationen aus Active Directory Domain Services. Defender for Identity unterstützt auch den Empfang der RADIUS-Abrechnung von VPN-Protokollen von verschiedenen Anbietern (Microsoft, Cisco, F5 und Prüfpunkt).

Nein. Defender for Identity überwacht alle Geräte im Netzwerk, die Authentifizierungs- und Autorisierungsanforderungen für Active Directory ausführen, einschließlich Nicht-Windows- und mobilen Geräten.

Ja. Da Computerkonten (sowie alle anderen Entitäten) zum Ausführen schädlicher Aktivitäten verwendet werden können, überwacht Defender for Identity das Verhalten aller Computerkonten und alle anderen Entitäten in der Umgebung.

ATA ist eine eigenständige lokale Lösung mit mehreren Komponenten, zum Beispiel ATA Center, die dediziert Hardware lokal erfordern.

Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokales Active Directory Signale nutzt. Die Lösung ist hochgradig skalierbar und wird laufend aktualisiert.

Das endgültige Release von ATA ist allgemein verfügbar. ATA hat den Mainstream-Support am 12. Januar 2021 beendet. Der erweiterte Support wird bis Januar 2026 fortgesetzt. Weitere Informationen finden Sie in unserem Blog.

Im Gegensatz zum ATA-Sensor verwendet der Defender for Identity-Sensor auch Datenquellen wie Ereignisablaufverfolgung für Windows (ETW), sodass Defender for Identity zusätzliche Erkennungen bereitstellen kann.

Die häufigen Updates von Defender for Identity umfassen die folgenden Features und Funktionen:

• Unterstützung für Umgebungen mit mehreren Gesamtstrukturen : Stellt Sichtbarkeit in Azure AD-Gesamtstrukturen für Organisationen bereit

• Bewertungen der Microsoft Secure Score-Haltung: Identifiziert häufige Fehlkonfigurationen und ausnutzbare Komponenten sowie Die Bereitstellung von Behebungspfaden, um die Angriffsfläche zu verringern.

• UEBA-Funktionen : Einblicke in Risiken individueller Benutzer über die Bewertung der Benutzeruntersuchungspriorität. Die Bewertung kann SecOps bei der Untersuchung unterstützen und Analysten dabei helfen, ungewöhnliche Aktivitäten für den Benutzer und die Organisation zu verstehen.

• Native Integrationen: Integriert in Microsoft Defender for Cloud Apps und Azure AD Identity Protection, um eine Hybridansicht der Vorgänge in lokalen und hybriden Umgebungen zu bieten.

• Trägt zur Microsoft 365 Defender bei: Trägt Warnungs- und Bedrohungsdaten zu Microsoft 365 Defender bei. Microsoft 365 Defender nutzt das Microsoft 365-Sicherheitsportfolio (Identitäten, Endpunkte, Daten und Anwendungen), um domänenübergreifende Bedrohungsdaten automatisch zu analysieren und ein vollständiges Bild jedes Angriffs in einem einzigen Dashboard zu erstellen. Mit dieser Breite und Tiefe der Klarheit können sich Verteidiger auf kritische Bedrohungen konzentrieren und nach anspruchsvollen Sicherheitsverletzungen suchen, da sie darauf vertrauen, dass die leistungsstarke Automatisierung von Microsoft 365 Defender Angriffe überall in der Kill Chain stoppt und die Organisation in einen sicheren Zustand versetzt.

Defender for Identity ist als Teil Enterprise Mobility + Security 5 Suite (EMS E5) und als eigenständige Lizenz verfügbar. Sie können eine Lizenz entweder direkt über das Microsoft 365-Portal oder über das CSP-Lizenzierungsmodell (Cloud Solution Partner) erwerben.

Informationen zu den Lizenzierungsanforderungen für Defender for Identity finden Sie unter Defender for Identity-Lizenzierungsleitfaden.

Ja, Ihre Daten werden durch Zugriffsauthentifizierung und logischer Trennung basierend auf der Kundennummer getrennt. Jeder Kunde kann nur auf Daten zugreifen, die von der eigenen Organisation gesammelt wurden, sowie auf generische Daten, die von Microsoft bereitgestellt werden.

Nein. Wenn Ihre Defender for Identity-Instanz erstellt wird, wird sie automatisch in der Azure-Region gespeichert, die dem geografischen Standort Ihres Azure Active Directory-Mandanten am nächsten ist. Nachdem Ihre Defender for Identity-Instanz erstellt wurde, können Defender for Identity-Daten nicht mehr in eine andere Region verschoben werden.

Microsoft-Entwickler und -Administratoren verfügen systembedingt über genügend Privilegien zum Ausführen der Ihnen zugewiesenen Aufgaben, um den Dienst zu betreiben und weiterzuentwickeln. Microsoft stellt zum Schützen vor Aktivitäten von unautorisierten Entwicklern und/oder Administratoren eine Kombination aus vorbeugenden und reaktiven Steuerelementen sowie Erkennungssteuerelemente einschließlich der folgenden Mechanismen bereit:

• Enge Zugriffssteuerung für vertrauliche Daten
• Kombination aus Steuerelementen, die die unabhängige Erkennung von schädlicher Aktivität deutlich verbessern
• Mehrere Überwachungs-, Protokollierungs- und Berichterstattungsebenen

Darüber hinaus führt Microsoft Hintergrundüberprüfungen von bestimmten Betriebsmitarbeitern durch und beschränkt den Zugriff auf Anwendungen, Systeme sowie die Netzwerkinfrastruktur im Verhältnis zur Ebene der Hintergrundüberprüfung. Betriebsmitarbeiter folgen einem formellen Prozess, wenn sie bei der Ausübung ihrer Aufgaben auf das Konto eines Kunden oder auf zugehörige Informationen zugreifen müssen.

Jeder Domänencontroller in der Umgebung sollte von einem Defender for Identity-Sensor oder einem eigenständigen Sensor abgedeckt werden. Weitere Informationen finden Sie unter Größe des Defender for Identity-Sensors.

Netzwerkprotokolle mit verschlüsseltem Datenverkehr (z.B. AtSvc und WMI) werden nicht verschlüsselt, sondern von den Sensoren analysiert.

Das Aktivieren von Kerberos Armoring, auch als Flexible Authentication Secure Tunneling (FAST) bezeichnet, wird von Defender for Identity unterstützt, mit Ausnahme der Überpasserkennung, die nicht mit Kerberos Armoring funktioniert.

Die meisten virtuellen Domänencontroller können vom Defender for Identity-Sensor abgedeckt werden. Informationen dazu, ob der Defender for Identity-Sensor für Ihre Umgebung geeignet ist, finden Sie unter Defender für Identitätskapazitätsplanung.

Wenn ein virtueller Domänencontroller nicht vom Defender for Identity-Sensor abgedeckt werden kann, können Sie entweder über einen virtuellen oder physischen eigenständigen Defender for Identity-Sensor verfügen, wie unter Konfigurieren der Portspiegelung beschrieben. Die einfachste Möglichkeit besteht darin, einen eigenständigen virtuellen Defender for Identity-Sensor auf jedem Host zu verwenden, auf dem ein virtueller Domänencontroller vorhanden ist. Wenn die virtuellen Domänencontroller zwischen Hosts verschoben werden, müssen Sie einen der folgenden Schritte ausführen:

• Wenn der virtuelle Domänencontroller zu einem anderen Host wechselt, konfigurieren Sie den eigenständigen Defender for Identity-Sensor auf diesem Host vor, um den Datenverkehr vom kürzlich verschobenen virtuellen Domänencontroller zu empfangen.
• Stellen Sie sicher, dass Sie den eigenständigen virtuellen Defender for Identity-Sensor mit dem virtuellen Domänencontroller in Verbindung bringen, damit der eigenständige Defender for Identity-Sensor bei einer Verschiebung mit diesem verschoben wird.
• Es gibt einige virtuelle Switches, über die der Datenverkehr zwischen Hosts gesendet werden kann.

Für die Kommunikation Ihrer Domänencontroller mit dem Clouddienst müssen Sie in Ihrer Firewall und auf Ihrem Proxyserver Port 443 für „*.atp.azure.com“ freigeben. Anweisungen hierzu finden Sie unter Konfigurieren Ihres Proxys oder Ihrer Firewall zum Aktivieren der Kommunikation mit Defender for Identity-Sensoren.

Ja, Sie können den Defender for Identity-Sensor verwenden, um Domänencontroller zu überwachen, die sich in einer IaaS-Lösung befinden.

Defender for Identity unterstützt Umgebungen mit mehreren Domänen und mehrere Gesamtstrukturen. Weitere Informationen und Anforderungen in Bezug auf Vertrauensstellungen finden Sie unter Unterstützung für mehrere Gesamtstrukturen.

Ja, Sie können die allgemeine Integrität der Bereitstellung sowie bestimmte Probleme im Zusammenhang mit Konfiguration, Konnektivität usw. anzeigen, und Sie werden benachrichtigt, wenn diese mit Defender for Identity-Integritätswarnungen auftreten.

Das Microsoft Defender for Identity-Team empfiehlt allen Kunden, den Npcap-Treiber anstelle der WinPcap-Treiber zu verwenden. Ab Defender for Identity Version 2.184 installiert das Installationspaket Npcap 1.0 OEM anstelle der WinPcap 4.1.3-Treiber.

WinPcap wird nicht mehr unterstützt und da es nicht mehr entwickelt wird, kann der Treiber nicht mehr für den Defender for Identity-Sensor optimiert werden. Wenn es in Zukunft ein Problem mit dem WinPcap-Treiber gibt, gibt es außerdem keine Optionen für eine Lösung.

Npcap wird unterstützt, während WinPcap kein unterstütztes Produkt mehr ist.

Die empfohlene und offiziell unterstützte Version von Npcap ist Version 1.0. Sie können eine neuere Version von Npcap installieren, aber beachten Sie, dass der Support Sie zur Problembehandlung auffordern wird, die Npcap-Version herunterzustufen, um zu überprüfen, ob das Problem nicht mit der neueren installierten Version zusammenhängt.

Nein, Npcap hat eine Ausnahme vom üblichen Grenzwert von 5 Installationen. Sie können es auf unbegrenzten Systemen installieren, auf denen es nur mit dem Defender for Identity-Sensor verwendet wird.

Sehen Sie sich die Npcap-Lizenzvereinbarung hier an, und suchen Sie nach Microsoft Defender for Identity.

Nein, nur der Microsoft Defender for Identity Sensor unterstützt Npcap Version 1.00.

Nein, Sie müssen die OEM-Version nicht erwerben. Laden Sie das Sensorinstallationspaket Version 2.156 und höher von der Defender for Identity-Konsole herunter, die die OEM-Version von Npcap enthält.

• Sie können die ausführbaren Npcap-Dateien abrufen, indem Sie das neueste Bereitstellungspaket des Defender for Identity-Sensors herunterladen.

• Wenn Sie den Sensor noch nicht installiert haben:

  1. Installieren Sie den Sensor (mit einem Installationspaket der Version 2.184 oder höher).

• Wenn Sie den Sensor bereits mit WinPcap installiert haben und für die Verwendung von Npcap aktualisieren müssen:

  1. Deinstallieren Sie den Sensor.
     • Verwenden Sie entweder Programme hinzufügen/entfernen in der Systemsteuerung (appwiz.cpl) oder indem Sie den folgenden Deinstallationsbefehl ausführen:
       ".\Azure ATP Sensor Setup.exe" /uninstall /quiet
  2. Deinstallieren Sie WinPcap.
     • Hinweis: Dies gilt nur, wenn WinPcap vor der Sensorinstallation manuell installiert wurde. In diesem Fall müssen Sie WinPcap manuell entfernen.
  3. Installieren Sie den Sensor neu (mit einem Installationspaket der Version 2.184 oder höher).

• Wenn Sie Npcap manuell installieren möchten:

  1. Installieren Sie Npcap mit den folgenden Optionen:
  • Wenn Sie den GUI-Installer verwenden, deaktivieren Sie die Loopbackunterstützung, und aktivieren Sie den WinPcap-Modus. Stellen Sie sicher, dass die Option Zugriff des Npcap-Treibers nur auf Administratoren beschränken deaktiviert ist.
  • Wenn Sie die Befehlszeile verwenden: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Wenn Sie Npcap manuell aktualisieren möchten:

  1. Beenden der Defender for Identity-Sensordienste (AATPSensorUpdater und AATPSensor)
     Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
  2. Entfernen Sie Npcap mithilfe von Programmen in der Systemsteuerung (appwiz.cpl)
  3. Installieren Sie Npcap mit den folgenden Optionen:
     • Wenn Sie den GUI-Installer verwenden, deaktivieren Sie die Loopbackunterstützung, und aktivieren Sie den WinPcap-Modus. Stellen Sie sicher, dass die Option Zugriff des Npcap-Treibers nur auf Administratoren beschränken deaktiviert ist.
     • Wenn Sie die Befehlszeile verwenden: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  4. Starten der Defender for Identity-Sensordienste (AATPSensorUpdater und AATPSensor)
     Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity kann so konfiguriert werden, dass eine Syslog-Warnung an jeden SIEM-Server im CEF-Format gesendet wird, für Integritätswarnungen und wenn eine Sicherheitswarnung erkannt wird. Weitere Informationen finden Sie unter Referenz zum SIEM-Protokoll.

Dies ist der Fall, wenn ein Konto Mitglied bestimmter Gruppen ist, die als sensibel festgelegt sind (z. B. „Domänen-Admins“).

Um nachzuvollziehen, warum ein Konto ein sensibles Konto ist, können Sie seine Gruppenmitgliedschaft überprüfen, um festzustellen, welchen sensiblen Gruppen es angehört (die Gruppe, der das Konto angehört, kann auch wegen einer anderen Gruppe eine sensible Gruppe sein. Daher sollten Sie immer die höchste sensible Gruppe überprüfen). Sie können auch manuell Konten als vertraulich kennzeichnen.

Mit Defender for Identity müssen keine Regeln, Schwellenwerte oder Baselines erstellt und dann optimiert werden. Defender for Identity analysiert das Verhalten von Benutzern, Geräten und Ressourcen sowie deren Beziehung zueinander und kann verdächtige Aktivitäten und bekannte Angriffe schnell erkennen. Drei Wochen nach der Bereitstellung beginnt Defender for Identity, verhaltensverdächtige Aktivitäten zu erkennen. Andererseits beginnt Defender for Identity sofort nach der Bereitstellung mit der Erkennung bekannter böswilliger Angriffe und Sicherheitsprobleme.

Defender for Identity generiert Datenverkehr von Domänencontrollern zu Computern in der Organisation in einem von drei Szenarien:

1. Netzwerknamenauflösung Defender for Identity erfasst Datenverkehr und Ereignisse, Lernen und Profilerstellung für Benutzer und Computeraktivitäten im Netzwerk. Um Aktivitäten entsprechend den Computern in der Organisation zu lernen und zu profilieren, muss Defender for Identity IPs in Computerkonten auflösen. Um IP-Adressen in Computernamen aufzulösen, fordern Defender for Identity-Sensoren die IP-Adresse für den Computernamen hinter der IP-Adresse an.

   Anforderungen erfolgen mithilfe einer von vier Methoden:

   • NTLM über RPC (TCP-Port 135)
   • NetBIOS (UDP-Port 137)
   • RDP (TCP-Port 3389)
   • Abfragen des DNS-Servers mittels Reverse-DNS-Lookup der IP-Adresse (UDP 53)

   Nach dem Abrufen des Computernamens überprüfen Defender for Identity-Sensoren die Details in Active Directory, um festzustellen, ob ein korreliertes Computerobjekt mit demselben Computernamen vorhanden ist. Wenn eine Übereinstimmung gefunden wird, erfolgt eine Zuordnung zwischen der IP-Adresse und dem übereinstimmenden Computerobjekt.

2. Lateral Movement Path (LMP) Um potenzielle LMPs für vertrauliche Benutzer zu erstellen, benötigt Defender for Identity Informationen zu den lokalen Administratoren auf Computern. In diesem Szenario verwendet der Defender for Identity-Sensor SAM-R (TCP 445), um die im Netzwerkdatenverkehr identifizierte IP-Adresse abzufragen, um die lokalen Administratoren des Computers zu ermitteln. Weitere Informationen zu Defender for Identity und SAM-R finden Sie unter Konfigurieren der erforderlichen SAM-R-Berechtigungen.

3. Durch Abfragen von Active Directory mithilfe von LDAP für Entitätsdaten wird der Domänencontroller von defender für Identity von der Domäne, in der die Entität gehört, abgefragt. Es kann derselbe Sensor oder ein anderer Domänencontroller aus dieser Domäne sein.

Defender for Identity erfasst Aktivitäten über viele verschiedene Protokolle. In einigen Fällen empfängt Defender for Identity nicht die Daten des Quellbenutzers im Datenverkehr. Defender for Identity versucht, die Sitzung des Benutzers mit der Aktivität zu korrelieren, und wenn der Versuch erfolgreich ist, wird der Quellbenutzer der Aktivität angezeigt. Schlagen Korrelationsversuche des Benutzers aber fehl, wird nur der Quellcomputer angezeigt.

Sehen Sie sich den letzten Fehler im aktuellen Fehlerprotokoll an (wobei Defender for Identity unter dem Ordner "Protokolle" installiert ist).

Siehe auch

• Voraussetzungen für Defender for Identity
• Defender for Identity-Kapazitätsplanung
• Konfigurieren der Ereignissammlung
• Konfigurieren der Windows-Ereignisweiterleitung
• Problembehandlung
• Besuchen Sie das Defender for Identity-Forum!