Microsoft Defender pour Identity forum aux questions

Defender pour Identity détecte les techniques et les attaques malveillantes connues, les problèmes de sécurité et les risques sur votre réseau. Pour obtenir la liste complète des détections Defender pour Identity, consultez Alertes Defender pour Identity Security.

Defender pour Identity collecte et stocke des informations à partir de vos serveurs configurés (contrôleurs de domaine, serveurs membres, etc.) dans une base de données spécifique au service à des fins d’administration, de suivi et de création de rapports. Les informations collectées comprennent le trafic réseau vers et depuis des contrôleurs de domaine (par exemple, l’authentification Kerberos, l’authentification NTLM, les requêtes DNS), les journaux de sécurité (par exemple, les événements de sécurité Windows), les informations Active Directory (structure, sous-réseaux, sites) et les informations sur les entités (par exemple, les noms, les adresses e-mail et les numéros de téléphone).

Microsoft utilise ces données pour :

• identifier de manière proactive les indicateurs d’attaque dans votre organisation ;
• générer des alertes si une possible attaque a été détectée ;
• fournir à vos opérations de sécurité une vue sur les entités liées aux signaux des menaces de votre réseau, ce qui vous permet de rechercher et de détecter la présence de menaces de sécurité sur le réseau.

Microsoft n’exploite pas vos données à des fins publicitaires ni autres que la fourniture du service.

Defender pour Identity prend actuellement en charge l’ajout de jusqu’à 30 informations d’identification de service d’annuaire différentes pour prendre en charge les environnements Active Directory avec des forêts non approuvées. Si vous avez besoin de comptes supplémentaires, ouvrez un ticket de support.

En plus d’analyser le trafic Active Directory à l’aide de la technologie d’inspection approfondie des paquets, Defender pour Identity collecte également les événements Windows pertinents à partir de votre contrôleur de domaine et crée des profils d’entité basés sur les informations de services de domaine Active Directory. Defender pour Identity prend également en charge la réception de la comptabilité RADIUS des journaux VPN de différents fournisseurs (Microsoft, Cisco, F5 et Checkpoint).

Non. Defender pour Identity surveille tous les appareils du réseau qui effectuent des demandes d’authentification et d’autorisation sur Active Directory, y compris les appareils non Windows et mobiles.

Oui. Étant donné que les comptes d’ordinateur (ainsi que toutes les autres entités) peuvent être utilisés pour effectuer des activités malveillantes, Defender pour Identity surveille le comportement de tous les comptes d’ordinateur et toutes les autres entités de l’environnement.

ATA est une solution locale autonome avec plusieurs composants, tels que le centre ATA qui nécessite du matériel dédié localement.

Defender pour Identity est une solution de sécurité basée sur le cloud qui tire parti de vos signaux Active Directory local. La solution est très scalable et fréquemment mise à jour.

La version finale d’ATA est en disponibilité générale. ATA a mis fin au support standard le 12 janvier 2021. Le support étendu se poursuivra jusqu’en janvier 2026. Pour plus d’informations, consultez notre blog.

Contrairement au capteur ATA, le capteur Defender pour Identity utilise également des sources de données telles que le suivi d’événements pour Windows (ETW), ce qui permet à Defender pour Identity de fournir des détections supplémentaires.

Les mises à jour fréquentes de Defender pour Identity incluent les fonctionnalités et fonctionnalités suivantes :

• Prise en charge des environnements multiforêts : Permet aux organisations d’avoir une visibilité sur les forêts AD.

• Évaluations de la posture du niveau de sécurité Microsoft : identifie les erreurs de configuration courantes et les composants exploitables, ainsi que la fourniture de chemins de correction pour réduire la surface d’attaque.

• Fonctions UEBA : Insights sur les risques de chaque utilisateur via le scoring des priorités d’investigation des utilisateurs. Le score peut assister SecOps dans leurs investigations et aider les analystes à comprendre les activités inhabituelles de l’utilisateur et de l’organisation.

• Intégrations natives : s’intègre à Microsoft Defender for Cloud Apps et Azure AD Identity Protection pour fournir une vue hybride de ce qui se passe dans les environnements locaux et hybrides.

• Contribue à Microsoft 365 Defender : fournit des données d’alerte et de menace à Microsoft 365 Defender. Microsoft 365 Defender tire parti du portefeuille de sécurité Microsoft 365 (identités, points de terminaison, données et applications) pour analyser automatiquement les données sur les menaces inter-domaines, en créant une image complète de chaque attaque dans un tableau de bord unique. Avec cette étendue et cette profondeur de clarté, les défenseurs peuvent se concentrer sur les menaces critiques et rechercher les violations sophistiquées, en faisant confiance au fait que l’automatisation puissante de Microsoft 365 Defender arrête les attaques n’importe où dans la chaîne de meurtre et rétablit l’organisation dans un état sécurisé.

Defender pour Identity est disponible dans Enterprise Mobility + Security suite 5 (EMS E5) et en tant que licence autonome. Vous pouvez acquérir une licence directement sur le portail Microsoft 365 ou via le modèle de licence de fournisseur de solutions cloud (CSP).

Pour plus d’informations sur les exigences de licence de Defender pour Identity, consultez les instructions relatives aux licences Defender pour Identity.

Oui, vos données sont isolées par l’authentification de l’accès et la séparation logique basée sur les identificateurs client. Chaque client peut uniquement accéder aux données collectées dans sa propre organisation et aux données génériques fournies par Microsoft.

Non. Lorsque votre instance Defender pour Identity est créée, elle est stockée automatiquement dans la région Azure la plus proche de l’emplacement géographique de votre locataire Azure Active Directory. Une fois votre instance Defender pour Identity créée, les données Defender pour Identity ne peuvent pas être déplacées vers une autre région.

Les développeurs et administrateurs Microsoft, par conception, ont reçu des privilèges suffisants pour effectuer les tâches qui leur ont été affectées afin de faire fonctionner et évoluer le service. Microsoft déploie des combinaisons de contrôles préventifs, défensifs et réactifs favorisant la protection contre les activités de développement et/ou d’administration non autorisées, comprenant les mécanismes suivants :

• contrôles d’accès stricts aux données sensibles ;
• combinaisons de contrôles améliorant la détection indépendante des activités malveillantes ;
• niveaux multiples de surveillance, d’enregistrement et de génération de rapports.

En outre, Microsoft effectue des vérifications des antécédents sur certains membres du personnel d’exploitation et limite l’accès aux applications, aux systèmes et à l’infrastructure réseau par rapport au niveau de ces vérifications. Le personnel d’exploitation suit un processus formel quand il doit accéder au compte d’un client ou à des informations associées dans l’exercice de ses fonctions.

Chaque contrôleur de domaine de l’environnement doit être couvert par un capteur Defender pour Identity ou un capteur autonome. Pour plus d’informations, consultez Dimensionnement du capteur Defender pour Identity.

Les protocoles réseau avec le trafic chiffré (par exemple AtSvc et WMI) ne sont pas chiffrés, mais ils sont analysés par les capteurs.

L’activation du blindage Kerberos, également appelé Tunneling sécurisé d’authentification flexible (FAST), est prise en charge par Defender pour Identity, à l’exception du dépassement de la détection de hachage, qui ne fonctionne pas avec le blindage Kerberos.

La plupart des contrôleurs de domaine virtuels peuvent être couverts par le capteur Defender pour Identity, pour déterminer si le capteur Defender pour Identity est adapté à votre environnement. Consultez La section Planification de la capacité d’identité de Defender pour les identités.

Si un contrôleur de domaine virtuel ne peut pas être couvert par le capteur Defender pour Identity, vous pouvez disposer d’un capteur autonome Defender pour Identity virtuel ou physique, comme décrit dans Configurer la mise en miroir de ports. Le moyen le plus simple consiste à disposer d’un capteur autonome Defender pour Identity virtuel sur chaque hôte où existe un contrôleur de domaine virtuel. Si vos contrôleurs de domaine virtuels passent d’un hôte à l’autre, vous devez effectuer l’une des étapes suivantes :

• Lorsque le contrôleur de domaine virtuel se déplace vers un autre hôte, préconfigurez le capteur autonome Defender pour Identity dans cet hôte pour recevoir le trafic du contrôleur de domaine virtuel récemment déplacé.
• Veillez à associer le capteur autonome Defender pour Identity virtuel au contrôleur de domaine virtuel afin que, s’il est déplacé, le capteur autonome Defender pour Identity se déplace avec lui.
• Certains commutateurs virtuels peuvent envoyer le trafic entre les hôtes.

Pour que vos contrôleurs de domaine communiquent avec le service cloud, vous devez ouvrir le port 443 dans votre pare-feu/proxy sur *.atp.azure.com. Pour obtenir des instructions sur la procédure à suivre, consultez Configurer votre proxy ou votre pare-feu pour activer la communication avec les capteurs Defender pour Identity.

Oui, vous pouvez utiliser le capteur Defender pour Identity pour surveiller les contrôleurs de domaine qui se trouvent dans n’importe quelle solution IaaS.

Defender pour Identity prend en charge les environnements multi-domaines et plusieurs forêts. Pour plus d’informations et les exigences de confiance, consultez Prise en charge de plusieurs forêts.

Oui, vous pouvez afficher l’intégrité globale du déploiement ainsi que les problèmes spécifiques liés à la configuration, à la connectivité, etc., et vous êtes alerté quand ils se produisent avec les alertes d’intégrité Defender pour Identity.

L’équipe Microsoft Defender pour Identity recommande à tous les clients d’utiliser le pilote Npcap au lieu des pilotes WinPcap. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM au lieu des pilotes WinPcap 4.1.3.

WinPcap n’est plus pris en charge et étant donné qu’il n’est plus en cours de développement, le pilote ne peut plus être optimisé pour le capteur Defender pour Identity. En outre, s’il existe un problème à l’avenir avec le pilote WinPcap, il n’existe aucune option pour un correctif.

Npcap est pris en charge, tandis que WinPcap n’est plus un produit pris en charge.

La version recommandée et officiellement prise en charge de Npcap est la version 1.0. Vous pouvez installer une version plus récente de Npcap, mais notez que pour résoudre les problèmes, le support vous demande de rétrograder la version de Npcap pour vérifier que le problème n’est pas lié à la version plus récente installée.

Non, Npcap est exempté de la limite habituelle de 5 installations. Vous pouvez l’installer sur un nombre illimité de systèmes où il est utilisé uniquement avec le capteur Defender pour Identity.

Consultez le contrat de licence Npcap ici et recherchez Microsoft Defender pour Identity.

Non, seul le capteur Microsoft Defender pour Identity prend en charge Npcap version 1.00.

Non, vous n’avez pas besoin d’acheter la version OEM. Téléchargez le package d’installation de capteur version 2.156 et ultérieure à partir de la console Defender pour Identity, qui inclut la version OEM de Npcap.

• Vous pouvez obtenir les exécutables Npcap en téléchargeant le dernier package de déploiement du capteur Defender pour Identity.

• Si vous n’avez pas encore installé le capteur :

  1. Installez le capteur (avec un package d’installation de la version 2.184 ou ultérieure).

• Si vous avez déjà installé le capteur avec WinPcap et que vous devez effectuer une mise à jour pour utiliser Npcap :

  1. Désinstallez le capteur.
     • Soit à l’aide de l’ajout/suppression de programmes dans le panneau de configuration (appwiz.cpl), soit en exécutant la commande de désinstallation suivante :
       ".\Azure ATP Sensor Setup.exe" /uninstall /quiet
  2. Désinstallez WinPcap.
     • Remarque : Cela s’applique uniquement si WinPcap a été installé manuellement avant l’installation du capteur. Dans ce cas, vous devez supprimer manuellement WinPcap.
  3. Réinstallez le capteur (avec un package d’installation de la version 2.184 ou ultérieure).

• Si vous souhaitez installer manuellement Npcap :

  1. Installez Npcap avec les options suivantes :
  • Si vous utilisez le programme d’installation de l’interface utilisateur graphique, désactivez le support de bouclage et sélectionnez mode WinPcap. Assurez-vous que l’option Restreindre l’accès du pilote Npcap aux administrateurs uniquement est désélectionnée.
  • Si vous utilisez la ligne de commande : npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Si vous souhaitez mettre à niveau manuellement Npcap :

  1. Arrêter les services de capteur Defender pour Identity (AATPSensorUpdater et AATPSensor)
     Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
  2. Supprimer Npcap à l’aide de l’ajout/suppression de programmes dans le panneau de configuration (appwiz.cpl)
  3. Installez Npcap avec les options suivantes :
     • Si vous utilisez le programme d’installation de l’interface utilisateur graphique, désactivez le support de bouclage et sélectionnez mode WinPcap. Assurez-vous que l’option Restreindre l’accès du pilote Npcap aux administrateurs uniquement est désélectionnée.
     • Si vous utilisez la ligne de commande : npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  4. Démarrez les services de capteur Defender pour Identity (AATPSensorUpdater et AATPSensor)
     Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender pour Identity peut être configuré pour envoyer une alerte Syslog à n’importe quel serveur SIEM au format CEF, pour les alertes d’intégrité et lorsqu’une alerte de sécurité est détectée. Pour plus d’informations, consultez Informations de référence sur le journal SIEM.

Cela arrive quand un compte est membre de groupes désignés comme sensibles (par exemple, « Administrateurs de domaine »).

Pour comprendre pourquoi un compte est sensible, vous pouvez examiner son appartenance au groupe pour déterminer à quels groupes sensibles il appartient. Le groupe auquel il appartient peut également être sensible en raison d’un autre groupe ; dans ce cas, répétez la procédure jusqu’à ce que vous trouviez le groupe sensible de plus haut niveau. Vous pouvez aussi marquer manuellement des comptes comme étant sensibles.

Avec Defender pour Identity, il n’est pas nécessaire de créer des règles, des seuils ou des lignes de référence, puis d’affiner. Defender pour Identity analyse les comportements des utilisateurs, des appareils et des ressources, ainsi que leurs relations les uns avec les autres, et peut détecter rapidement les activités suspectes et les attaques connues. Trois semaines après le déploiement, Defender pour Identity commence à détecter les activités suspectes de comportement. D’autre part, Defender pour Identity commencera à détecter les attaques malveillantes connues et les problèmes de sécurité immédiatement après le déploiement.

Defender pour Identity génère du trafic à partir des contrôleurs de domaine vers les ordinateurs de l’organisation dans l’un des trois scénarios suivants :

1. Résolution de noms de réseau Defender pour Identity capture le trafic et les événements, l’apprentissage et le profilage des utilisateurs et des activités informatiques dans le réseau. Pour apprendre et profiler les activités en fonction des ordinateurs de l’organisation, Defender pour Identity doit résoudre les adresses IP aux comptes d’ordinateur. Pour résoudre les adresses IP aux noms d’ordinateurs, les capteurs Defender pour Identity demandent l’adresse IP pour le nom de l’ordinateur derrière l’adresse IP.

   Les requêtes sont effectuées à l’aide d’une des quatre méthodes :

   • NTLM sur RPC (port TCP 135)
   • NetBIOS (port UDP 137)
   • RDP (port TCP 3389)
   • Interroger le serveur DNS à l’aide de la recherche DNS inversée de l’adresse IP (UDP 53)

   Après avoir obtenu le nom de l’ordinateur, les capteurs Defender pour Identity vérifient les détails dans Active Directory pour voir s’il existe un objet ordinateur corrélé portant le même nom d’ordinateur. Si une correspondance est trouvée, une association est établie entre l’adresse IP et l’objet ordinateur correspondant.

2. Chemin de mouvement latéral (LMP) Pour créer des LPM potentiels pour des utilisateurs sensibles, Defender pour Identity a besoin d’informations sur les administrateurs locaux sur les ordinateurs. Dans ce scénario, le capteur Defender pour Identity utilise SAM-R (TCP 445) pour interroger l’adresse IP identifiée dans le trafic réseau, afin de déterminer les administrateurs locaux de l’ordinateur. Pour en savoir plus sur Defender pour Identity et SAM-R, consultez Configurer les autorisations requises SAM-R.

3. L’interrogation d’Active Directory à l’aide de LDAP pour les capteurs Defender for Identity pour les données d’entité interroge le contrôleur de domaine à partir du domaine auquel appartient l’entité. Il peut s’agir du même capteur ou d’un autre contrôleur de domaine de ce domaine.

Defender pour Identity capture les activités sur de nombreux protocoles différents. Dans certains cas, Defender pour Identity ne reçoit pas les données de l’utilisateur source dans le trafic. Defender pour Identity tente de mettre en corrélation la session de l’utilisateur avec l’activité, et lorsque la tentative réussit, l’utilisateur source de l’activité s’affiche. Lorsque la tentative de corrélation de l’utilisateur échoue, seul l’ordinateur source s’affiche.

Examinez l’erreur la plus récente dans le journal des erreurs actuel (où Defender pour Identity est installé sous le dossier « Journaux »).

Voir aussi

• Prérequis de Defender pour Identity
• Planification des capacités de Defender pour Identity
• Configurer la collecte d’événements
• Configuration du transfert d’événements Windows
• Résolution des problèmes
• Consultez le Forum Defender pour Identity.