Questions fréquentes (FAQ) sur Microsoft Defender pour Identity

Defender pour Identity détecte les attaques et techniques malveillantes connues, les problèmes de sécurité et les risques encourus par votre réseau. Pour obtenir la liste complète des détections Defender pour Identity, consultez Les alertes de sécurité Defender pour Identity.

Defender pour Identity collecte et stocke des informations à partir de vos serveurs configurés, tels que les contrôleurs de domaine, les serveurs membres, etc. Les données sont stockées dans une base de données spécifique au service à des fins d’administration, de suivi et de création de rapports.

Les informations collectées incluent :

• Le trafic réseau vers et depuis des contrôleurs de domaine, tels que l’authentification Kerberos, l’authentification NTLM ou les requêtes DNS.
• Les journaux de sécurité, tels que les événements de sécurité Windows.
• Les informations Active Directory, telles que la structure, les sous-réseaux ou les sites.
• Les informations d’entité, tels que les noms, les adresses e-mail, et les numéros de téléphone.

Microsoft utilise ces données pour :

• Identifier de manière proactive les indicateurs d’attaque (IOA) dans votre organisation.
• Générer des alertes en cas de détection d’une attaque potentielle.
• Fournir à vos opérations de sécurité une vue sur les entités liées aux signaux de menace de votre réseau, ce qui vous permet d’examiner et d’explorer la présence de menaces de sécurité sur le réseau.

Microsoft n’exploite pas vos données à des fins publicitaires ou dans un but autre que celui de vous fournir le service.

Defender pour Identity prend actuellement en charge l’ajout de 30 informations d’identification de service d’annuaire différentes pour prendre en charge les environnements Active Directory avec des forêts non approuvées. Si vous avez besoin d’autres comptes, ouvrez un ticket de support.

Outre l’analyse du trafic Active Directory à l’aide d’une technologie d’inspection approfondie des paquets, Defender pour Identity collecte également les événements Windows pertinents à partir de votre contrôleur de domaine et crée des profils d’entité en fonction des informations d’Active Directory Domain Services. Defender pour Identity prend également en charge la réception de la gestion des comptes RADIUS des journaux VPN de différents fournisseurs (Microsoft, Cisco, F5 et Point de contrôle).

Non. Defender pour Identity surveille tous les appareils du réseau effectuant des demandes d’authentification et d’autorisation sur Active Directory, y compris les appareils non Windows et mobiles.

Oui. Étant donné que les comptes d’ordinateur et d’autres entités peuvent être utilisés pour effectuer des activités malveillantes, Defender pour Identity surveille tous les comportements des comptes d’ordinateur et toutes les autres entités de l’environnement.

ATA est une solution locale autonome avec plusieurs composants, tels que le centre ATA qui nécessite du matériel dédié en local.

Defender pour Identity est une solution de sécurité informatique qui utilise vos signaux Active Directory local. La solution est hautement évolutive et est fréquemment mise à jour.

La version finale d’ATA est en disponibilité générale. ATA a mis fin au support standard le 12 janvier 2021. Le support étendu se poursuit jusqu’en janvier 2026. Pour plus d’informations, consultez notre blog.

Contrairement au capteur ATA, le capteur Defender pour Identity utilise également des sources de données telles que le suivi d’événements pour Windows (ETW), ce qui permet à Defender pour Identity de fournir des détections supplémentaires.

Les mises à jour fréquentes de Defender pour Identity incluent les fonctionnalités suivantes :

• Prise en charge des environnements à plusieurs forêts : offre aux organisations une visibilité sur les forêts AD.

• Évaluations de la posture du niveau de sécurité Microsoft : identifient les mauvaises configurations courantes et les composants exploitables et fournissent des chemins de correction pour réduire la surface d’attaque.

• Fonctionnalités UEBA : aperçus des risques encourus par chaque utilisateur grâce à l’attribution d’un score de priorité pour les enquêtes sur les utilisateurs. Le score peut aider SecOps dans ses enquêtes et aider les analystes à comprendre les activités inhabituelles pour l’utilisateur et l’organisation.

• Intégrations natives : s’intègre à Microsoft Defender for Cloud Apps et Azure AD Identity Protection pour fournir une vue hybride de ce qui se passe dans les environnements locaux et hybrides.

• Contribue à Microsoft Defender XDR : contribue à Microsoft Defender XDR avec les données d’alerte et de menace. Microsoft Defender XDR utilise le portefeuille de sécurité Microsoft 365 (identités, points de terminaison, données et applications) pour analyser automatiquement les données des menaces inter-domaines, en créant une image complète de chaque attaque dans un tableau de bord unique.

  Grâce à cette clarté, les défenseurs peuvent se concentrer sur les menaces critiques et traquer les brèches sophistiquées. Les défenseurs peuvent faire confiance à l’automatisation puissante de Microsoft Defender XDR qui arrête les attaques n’importe où dans la chaîne de destruction et retourne l’organisation à un état sécurisé.

Defender pour Identity peut être acheté avec la suite Enterprise Mobility + Security 5 (EMS E5) et sous forme de licence autonome. Vous pouvez acquérir une licence directement à partir du portail Microsoft 365 ou via le modèle de licence Partenaire Solution Cloud (CSP).

Pour plus d’informations sur les conditions requises pour les licences Defender pour Identity, consultez les instructions relatives aux licences Defender pour Identity.

Oui, vos données sont isolées par le biais de l’authentification d’accès et de la séparation logique basée sur les identificateurs du client. Chaque client peut uniquement accéder aux données collectées à partir de sa propre organisation et aux données génériques que Microsoft fournit.

Non. Lorsque votre espace de travail Defender pour Identity est créé, il est stocké automatiquement dans la région Azure la plus proche de la localisation géographique de votre locataire Microsoft Entra. Une fois votre espace de travail Defender pour Identity créé, les données Defender pour Identity ne peuvent pas être déplacées vers une autre région.

Les développeurs et administrateurs Microsoft disposent, par conception, de privilèges suffisants pour mener à bien les tâches qui leur ont été confiées afin de faire fonctionner et évoluer le service. Microsoft déploie des combinaisons de contrôles préventifs, détectifs et réactifs, notamment les mécanismes suivant, favorisant la protection contre les activités de développement ou d’administration non autorisées :

• Contrôle d’accès strict aux données sensibles
• Combinaisons de contrôles améliorant grandement la détection indépendante des activités malveillantes
• Niveaux multiples de surveillance, d’enregistrement et de génération de rapports

En outre, Microsoft vérifie les antécédents de certains membres de son personnel et limite l’accès aux applications, aux systèmes et à l’infrastructure réseau en fonction du niveau de vérification des antécédents. Le personnel d’exploitation suit une procédure formelle lorsqu’il doit accéder au compte d’un client ou à des informations connexes dans l’exercice de ses fonctions.

Nous vous recommandons d’avoir un capteur Defender pour Identity ou un capteur autonome pour chacun de vos contrôleurs de domaine. Pour plus d’informations, consultez Dimensionnement du capteur Defender pour Identity.

Bien que les protocoles réseau dont le trafic est chiffré, tels qu’AtSvc et WMI, ne soient pas déchiffrés, les capteurs analysent tout de même le trafic.

Defender pour Identity prend en charge le blindage Kerberos, également appelé FAST (Flexible Authentication Secure Tunneling). L’exception à cette prise en charge est la détection over-pass-the-hash, qui ne fonctionne pas avec le blindage Kerberos.

Le capteur Defender pour Identity peut couvrir la plupart des contrôleurs de domaine virtuels. Pour plus d’informations, consultez Planification de capacité Defender pour Identity.

Si le capteur Defender pour Identity ne peut pas couvrir un contrôleur de domaine virtuel, utilisez plutôt un capteur autonome Defender pour Identity virtuel ou physique. Pour plus d’informations, consultez Configurer la mise en miroir de ports.

Le moyen le plus simple consiste à disposer d’un capteur virtuel Defender pour Identity autonome sur chaque hôte où existe un contrôleur de domaine virtuel.

Si vos contrôleurs de domaine virtuels se déplacent entre les hôtes, vous devez effectuer l’une des étapes suivantes :

• Lorsque le contrôleur de domaine virtuel se déplace vers un autre hôte, préconfigurez le capteur autonome Defender pour Identity dans cet hôte pour recevoir le trafic du contrôleur de domaine virtuel récemment déplacé.

• Veillez à associer le capteur autonome Virtual Defender pour Identity au contrôleur de domaine virtuel afin qu’en cas de déplacement, le capteur autonome Defender pour Identity se déplace avec lui.

• Certains commutateurs virtuels peuvent envoyer le trafic entre les hôtes.

Pour que vos contrôleurs de domaine communiquent avec le service cloud, vous devez ouvrir : le port 443 *.atp.azure.com dans votre pare-feu/proxy. Pour plus d’informations, consultez Configurer votre proxy ou votre pare-feu pour activer la communication avec les capteurs Defender pour Identity.

Oui, vous pouvez utiliser le capteur Defender pour Identity pour surveiller les contrôleurs de domaine qui se trouvent dans n’importe quelle solution IaaS.

Defender pour Identity prend en charge les environnements à plusieurs domaines et plusieurs forêts. Pour obtenir plus d’informations et les conditions de l’approbation, consultez Prise en charge de plusieurs forêts.

Oui, vous pouvez afficher l’intégrité globale du déploiement et tous les problèmes spécifiques liés à la configuration, à la connectivité, et ainsi de suite. Vous êtes averti lorsque ces événements se produisent avec les problèmes d’intégrité Defender pour Identity.

Microsoft Defender pour Identity fournit une valeur de sécurité pour tous les comptes Active Directory, y compris ceux qui ne sont pas synchronisés avec Microsoft Entra ID. Les comptes d'utilisateurs synchronisés avec Microsoft Entra ID bénéficieront également de la valeur de sécurité fournie par Microsoft Entra ID (en fonction du niveau de licence) et de l'évaluation des priorités d'enquête.

L’équipe Microsoft Defender pour Identity recommande que tous les clients utilisent le pilote Npcap au lieu des pilotes WinPcap. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM au lieu des pilotes WinPcap 4.1.3.

WinPcap n’est plus pris en charge et, étant donné qu’il n’est plus développé, le pilote ne peut plus être optimisé pour le capteur Defender pour Identity. En outre, s’il existe un problème à l’avenir avec le pilote WinPcap, il n’existe aucune option pour le corriger.

Npcap est pris en charge, tandis que WinPcap n’est plus un produit pris en charge.

Le capteur MDI nécessite Npcap 1.0 ou une version ultérieure. Le package d’installation du capteur installe la version 1.0 si aucune autre version de Npcap n’est installée. Si Npcap est déjà installé (en raison d’autres exigences logicielles ou d’une autre raison), il est important de s’assurer qu’il est version 1.0 ou ultérieure et qu’il a été installé avec les paramètres requis pour MDI.

Oui. Il est nécessaire de supprimer manuellement le capteur pour supprimer les pilotes WinPcap. La réinstallation à l’aide du package le plus récent installe les pilotes Npcap.

Vous pouvez voir que « Npcap OEM » est installé via les programmes Ajout/Suppression (appwiz.cpl) et s’il y avait un problème d’intégrité ouvert pour cela, il est automatiquement fermé.

Non, Npcap a une exemption de la limite habituelle de cinq installations. Vous pouvez l’installer sur des systèmes illimités où il est utilisé uniquement avec le capteur Defender pour Identity.

Consultez le contrat de licence Npcap ici et recherchez Microsoft Defender pour Identity.

Non, seul le capteur Microsoft Defender pour Identity prend en charge la version 1.00 de Npcap.

Non, vous n’avez pas besoin d’acheter la version OEM. Téléchargez le package d’installation du capteur version 2.156 et ultérieure à partir de la console Defender pour Identity, qui inclut la version OEM de Npcap.

• Vous pouvez obtenir les exécutables Npcap en téléchargeant le dernier package de déploiement du capteur Defender pour Identity.

• Si vous n’avez pas encore installé le capteur, installez le capteur à l’aide de la version 2.184 ou ultérieure.

• Si vous avez déjà installé le capteur avec WinPcap et que vous devez effectuer la mise à jour pour utiliser Npcap :

  1. Désinstallez le capteur. Utilisez Ajouter/supprimer des programmes à partir du panneau de contrôle Windows (appwiz.cpl) ou exécutez la commande de désinstallation suivante : ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Désinstallez WinPcap si nécessaire. Cette étape est pertinente uniquement si WinPcap a été installé manuellement avant l’installation du capteur. Dans ce cas, vous devez supprimer manuellement WinPcap.

  3. Réinstallez le capteur à l’aide de la version 2.184 ou ultérieure.

• Si vous souhaitez installer manuellement Npcap : installez Npcap avec les options suivantes :

  • Si vous utilisez le programme d’installation de l’interface utilisateur graphique, désactivez l’option de prise en charge du bouclage et sélectionnez le mode WinPcap. Assurez-vous que l’option Restreindre l’accès du pilote Npcap aux seuls administrateurs n’est pas activée.
  • Si vous utilisez la ligne de commande, exécutez : npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Si vous souhaitez mettre à niveau manuellement Npcap :

  1. Arrêtez les services de capteur Defender pour Identity, AATPSensorUpdater et AATPSensor. Exécutez la commande suivante : Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Supprimez Npcap à l’aide de Ajouter/Supprimer des programmes dans le panneau de contrôle Windows (appwiz.cpl).

  3. Installez Npcap avec les options suivantes :

     • Si vous utilisez le programme d’installation de l’interface utilisateur graphique, désactivez l’option de prise en charge du bouclage et sélectionnez le mode WinPcap. Assurez-vous que l’option Restreindre l’accès du pilote Npcap aux seuls administrateurs n’est pas activée.

     • Si vous utilisez la ligne de commande, exécutez : npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Démarrez les services de capteur Defender pour Identity, AATPSensorUpdater et AATPSensor. Exécutez la commande suivante : Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender pour Identity peut être configuré pour envoyer une alerte Syslog à n’importe quel serveur de gestion des informations et des événements de sécurité au format CEF, pour les problèmes d’intégrité et lorsqu’une alerte de sécurité est détectée. Pour plus d’informations, consultez les informations de référence du journal de gestion des informations et des événements de sécurité.

Les comptes sont considérés comme sensibles lorsqu’un compte est membre de groupes désignés comme sensibles (par exemple : « Administrateurs du domaine »).

Pour comprendre pourquoi un compte est sensible, vous pouvez passer en revue son appartenance à un groupe pour comprendre les groupes sensibles auxquels il appartient. Le groupe auquel il appartient peut également être sensible en raison d’un autre groupe. Par conséquent, le même processus doit être effectué jusqu’à ce que vous localisiez le groupe sensible de niveau le plus élevé. Vous pouvez également baliser manuellement les comptes comme sensibles.

Avec Defender pour Identity, il n’est pas nécessaire de créer des règles, des seuils ou des bases de référence, puis de les ajuster. Defender pour Identity analyse les comportements entre les utilisateurs, les appareils et les ressources, ainsi que leur relation entre eux, et peut détecter rapidement les activités suspectes et les attaques connues. Trois semaines après le déploiement, Defender pour Identity commence à détecter les activités comportementales suspectes. En revanche, Defender pour Identity commence à détecter les attaques malveillantes connues et les problèmes de sécurité immédiatement après le déploiement.

Defender pour Identity génère du trafic depuis les contrôleurs de domaine vers des ordinateurs de l’organisation dans l’un des trois scénarios suivants :

• La résolution de noms réseau Defender pour Identity capture le trafic et les événements, l’apprentissage et le profilage des utilisateurs et des activités ordinateurs dans le réseau. Pour découvrir et profiler des activités en fonction des ordinateurs de l’organisation, Defender pour Identity doit résoudre les adresses IP en comptes d’ordinateurs. Pour résoudre les adresses IP en capteurs Defender pour Identity de noms d’ordinateurs, demandez l’adresse IP du nom de l’ordinateur derrière l’adresse IP.

  Les demandes sont effectuées à l’aide de l’une des quatre méthodes suivantes :

  • NTLM sur RPC (port TCP 135)
  • NetBIOS (port UDP 137)
  • RDP (port TCP 3389)
  • Interroger le serveur DNS à l’aide de la recherche DNS inversée de l’adresse IP (UDP 53)

  Après avoir obtenu le nom de l’ordinateur, les capteurs Defender pour Identity vérifient les détails dans Active Directory pour voir s’il existe un objet ordinateur corrélé avec le même nom d’ordinateur. Si une correspondance est trouvée, une association est établie entre l’adresse IP et l’objet ordinateur correspondant.

• Chemin de mouvement latéral (LMP) Pour générer des LMP potentiels pour les utilisateurs sensibles, Defender pour Identity nécessite des informations sur les administrateurs locaux sur les ordinateurs. Dans ce scénario, le capteur Defender pour Identity utilise SAM-R (TCP 445) pour interroger l’adresse IP identifiée dans le trafic réseau, afin de déterminer les administrateurs locaux de l’ordinateur. Pour en savoir plus sur Defender pour Identity et SAM-R, consultez Configurer les autorisations requises SAM-R.

• Interroger Active Directory à l’aide de LDAP pour les capteurs Defender pour Identity de données d’entité interroge le contrôleur de domaine à partir du domaine auquel appartient l’entité. Il peut s’agir du même capteur ou d’un autre contrôleur de domaine de ce domaine.

Defender pour Identity capture les activités sur de nombreux protocoles différents. Dans certains cas, Defender pour Identity ne reçoit pas les données de l’utilisateur source dans le trafic. Defender pour Identity tente de mettre en corrélation la session de l’utilisateur à l’activité, et lorsque la tentative réussit, l’utilisateur source de l’activité s’affiche. Lorsque les tentatives de corrélation utilisateur échouent, seul l’ordinateur source s’affiche.

Examinez l’erreur la plus récente dans le journal des erreurs actuel (où Defender pour Identity est installé sous le dossier « Journaux »).

Contenu connexe

• Prérequis de Defender pour Identity
• Planification des capacités de Defender pour Identity
• Configurer la collecte d’événements
• Configurer le transfert des événements Windows
• Dépannage
• Consultez le Forum Defender pour Identity.