Cet article fournit une liste de questions et de réponses fréquentes sur Microsoft Defender pour Identity, réparties dans les catégories suivantes :
Qu’est-ce que Defender pour Identity ?
Que peut détecter Defender pour Identity ?
Defender pour Identity détecte les attaques et techniques malveillantes connues, les problèmes de sécurité et les risques encourus par votre réseau. Pour obtenir la liste complète des détections Defender pour Identity, consultez Les alertes de sécurité Defender pour Identity.
Quelles sont les données collectées par Defender pour Identity ?
Defender pour Identity collecte et stocke des informations à partir de vos serveurs configurés, tels que les contrôleurs de domaine, les serveurs membres, etc. Les données sont stockées dans une base de données spécifique au service à des fins d’administration, de suivi et de création de rapports.
Les informations collectées incluent :
- Le trafic réseau vers et depuis des contrôleurs de domaine, tels que l’authentification Kerberos, l’authentification NTLM ou les requêtes DNS.
- Les journaux de sécurité, tels que les événements de sécurité Windows.
- Les informations Active Directory, telles que la structure, les sous-réseaux ou les sites.
- Les informations d’entité, tels que les noms, les adresses e-mail, et les numéros de téléphone.
Microsoft utilise ces données pour :
- Identifier de manière proactive les indicateurs d’attaque (IOA) dans votre organisation.
- Générer des alertes en cas de détection d’une attaque potentielle.
- Fournir à vos opérations de sécurité une vue sur les entités liées aux signaux de menace de votre réseau, ce qui vous permet d’examiner et d’explorer la présence de menaces de sécurité sur le réseau.
Microsoft n’exploite pas vos données à des fins publicitaires ou dans un but autre que celui de vous fournir le service.
Combien d’informations d’identification du service d’annuaire Defender pour Identity prend-il en charge ?
Defender pour Identity prend actuellement en charge l’ajout de 30 informations d’identification de service d’annuaire différentes pour prendre en charge les environnements Active Directory avec des forêts non approuvées. Si vous avez besoin d’autres comptes, ouvrez un ticket de support.
Defender pour Identity utilise-t-il uniquement le trafic à partir d’Active Directory ?
Outre l’analyse du trafic Active Directory à l’aide d’une technologie d’inspection approfondie des paquets, Defender pour Identity collecte également les événements Windows pertinents à partir de votre contrôleur de domaine et crée des profils d’entité en fonction des informations d’Active Directory Domain Services. Defender pour Identity prend également en charge la réception de la gestion des comptes RADIUS des journaux VPN de différents fournisseurs (Microsoft, Cisco, F5 et Point de contrôle).
Defender pour Identity surveille-t-il uniquement les appareils joints à un domaine ?
Non. Defender pour Identity surveille tous les appareils du réseau effectuant des demandes d’authentification et d’autorisation sur Active Directory, y compris les appareils non Windows et mobiles.
Defender pour Identity surveille-t-il les comptes d’ordinateur et les comptes d’utilisateur ?
Oui. Étant donné que les comptes d’ordinateur et d’autres entités peuvent être utilisés pour effectuer des activités malveillantes, Defender pour Identity surveille tous les comportements des comptes d’ordinateur et toutes les autres entités de l’environnement.
Quelle est la différence entre Advanced Threat Analytics (ATA) et Defender pour Identity ?
ATA est une solution locale autonome avec plusieurs composants, tels que le centre ATA qui nécessite du matériel dédié en local.
Defender pour Identity est une solution de sécurité informatique qui utilise vos signaux Active Directory local. La solution est hautement évolutive et est fréquemment mise à jour.
La version finale d’ATA est en disponibilité générale. ATA a mis fin au support standard le 12 janvier 2021. Le support étendu se poursuit jusqu’en janvier 2026. Pour plus d’informations, consultez notre blog.
Contrairement au capteur ATA, le capteur Defender pour Identity utilise également des sources de données telles que le suivi d’événements pour Windows (ETW), ce qui permet à Defender pour Identity de fournir des détections supplémentaires.
Les mises à jour fréquentes de Defender pour Identity incluent les fonctionnalités suivantes :
Prise en charge des environnements à plusieurs forêts : offre aux organisations une visibilité sur les forêts AD.
Évaluations de la posture du niveau de sécurité Microsoft : identifient les mauvaises configurations courantes et les composants exploitables et fournissent des chemins de correction pour réduire la surface d’attaque.
Fonctionnalités UEBA : aperçus des risques encourus par chaque utilisateur grâce à l’attribution d’un score de priorité pour les enquêtes sur les utilisateurs. Le score peut aider SecOps dans ses enquêtes et aider les analystes à comprendre les activités inhabituelles pour l’utilisateur et l’organisation.
Intégrations natives : s’intègre à Microsoft Defender for Cloud Apps et Azure AD Identity Protection pour fournir une vue hybride de ce qui se passe dans les environnements locaux et hybrides.
Contribue à Microsoft Defender XDR : contribue à Microsoft Defender XDR avec les données d’alerte et de menace. Microsoft Defender XDR utilise le portefeuille de sécurité Microsoft 365 (identités, points de terminaison, données et applications) pour analyser automatiquement les données des menaces inter-domaines, en créant une image complète de chaque attaque dans un tableau de bord unique.
Grâce à cette clarté, les défenseurs peuvent se concentrer sur les menaces critiques et traquer les brèches sophistiquées. Les défenseurs peuvent faire confiance à l’automatisation puissante de Microsoft Defender XDR qui arrête les attaques n’importe où dans la chaîne de destruction et retourne l’organisation à un état sécurisé.
Gestion des licences et confidentialité
Où puis-je obtenir une licence pour Microsoft Defender pour Identity ?
Defender pour Identity peut être acheté avec la suite Enterprise Mobility + Security 5 (EMS E5) et sous forme de licence autonome. Vous pouvez acquérir une licence directement à partir du portail Microsoft 365 ou via le modèle de licence Partenaire Solution Cloud (CSP).
Defender pour Identity n’a-t-il besoin que d’une seule licence ou nécessite-t-il une licence pour chaque utilisateur que je souhaite protéger ?
Pour plus d’informations sur les conditions requises pour les licences Defender pour Identity, consultez les instructions relatives aux licences Defender pour Identity.
Mes données sont-elles isolées des autres données client ?
Oui, vos données sont isolées par le biais de l’authentification d’accès et de la séparation logique basée sur les identificateurs du client. Chaque client peut uniquement accéder aux données collectées à partir de sa propre organisation et aux données génériques que Microsoft fournit.
Ai-je la possibilité de sélectionner où stocker mes données ?
Non. Lorsque votre espace de travail Defender pour Identity est créé, il est stocké automatiquement dans la région Azure la plus proche de la localisation géographique de votre locataire Microsoft Entra. Une fois votre espace de travail Defender pour Identity créé, les données Defender pour Identity ne peuvent pas être déplacées vers une autre région.
Comment Microsoft empêche-t-il les activités internes malveillantes et l’abus des rôles à haut niveau de privilège ?
Les développeurs et administrateurs Microsoft disposent, par conception, de privilèges suffisants pour mener à bien les tâches qui leur ont été confiées afin de faire fonctionner et évoluer le service. Microsoft déploie des combinaisons de contrôles préventifs, détectifs et réactifs, notamment les mécanismes suivant, favorisant la protection contre les activités de développement ou d’administration non autorisées :
- Contrôle d’accès strict aux données sensibles
- Combinaisons de contrôles améliorant grandement la détection indépendante des activités malveillantes
- Niveaux multiples de surveillance, d’enregistrement et de génération de rapports
En outre, Microsoft vérifie les antécédents de certains membres de son personnel et limite l’accès aux applications, aux systèmes et à l’infrastructure réseau en fonction du niveau de vérification des antécédents. Le personnel d’exploitation suit une procédure formelle lorsqu’il doit accéder au compte d’un client ou à des informations connexes dans l’exercice de ses fonctions.
Déploiement
Combien de capteurs Defender pour Identity ai-je besoin ?
Nous vous recommandons d’avoir un capteur Defender pour Identity ou un capteur autonome pour chacun de vos contrôleurs de domaine. Pour plus d’informations, consultez Dimensionnement du capteur Defender pour Identity.
Defender pour Identity fonctionne-t-il avec le trafic chiffré ?
Bien que les protocoles réseau dont le trafic est chiffré, tels qu’AtSvc et WMI, ne soient pas déchiffrés, les capteurs analysent tout de même le trafic.
Defender pour Identity fonctionne-t-il avec le blindage Kerberos ?
Defender pour Identity prend en charge le blindage Kerberos, également appelé FAST (Flexible Authentication Secure Tunneling). L’exception à cette prise en charge est la détection over-pass-the-hash, qui ne fonctionne pas avec le blindage Kerberos.
Comment puis-je surveiller un contrôleur de domaine virtuel à l’aide de Defender pour Identity ?
Le capteur Defender pour Identity peut couvrir la plupart des contrôleurs de domaine virtuels. Pour plus d’informations, consultez Planification de capacité Defender pour Identity.
Si le capteur Defender pour Identity ne peut pas couvrir un contrôleur de domaine virtuel, utilisez plutôt un capteur autonome Defender pour Identity virtuel ou physique. Pour plus d’informations, consultez Configurer la mise en miroir de ports.
Le moyen le plus simple consiste à disposer d’un capteur virtuel Defender pour Identity autonome sur chaque hôte où existe un contrôleur de domaine virtuel.
Si vos contrôleurs de domaine virtuels se déplacent entre les hôtes, vous devez effectuer l’une des étapes suivantes :
Lorsque le contrôleur de domaine virtuel se déplace vers un autre hôte, préconfigurez le capteur autonome Defender pour Identity dans cet hôte pour recevoir le trafic du contrôleur de domaine virtuel récemment déplacé.
Veillez à associer le capteur autonome Virtual Defender pour Identity au contrôleur de domaine virtuel afin qu’en cas de déplacement, le capteur autonome Defender pour Identity se déplace avec lui.
Certains commutateurs virtuels peuvent envoyer le trafic entre les hôtes.
Comment puis-je configurer les capteurs Defender pour Identity pour communiquer avec le service cloud Defender pour Identity quand j’ai un proxy ?
Pour que vos contrôleurs de domaine communiquent avec le service cloud, vous devez ouvrir : le port 443 *.atp.azure.com dans votre pare-feu/proxy. Pour plus d’informations, consultez Configurer votre proxy ou votre pare-feu pour activer la communication avec les capteurs Defender pour Identity.
Les contrôleurs de domaine surveillés Defender pour Identity peuvent-ils être virtualisés sur votre solution IaaS ?
Oui, vous pouvez utiliser le capteur Defender pour Identity pour surveiller les contrôleurs de domaine qui se trouvent dans n’importe quelle solution IaaS.
Defender pour Identity prend-il en charge les environnements à plusieurs domaines et plusieurs forêts ?
Defender pour Identity prend en charge les environnements à plusieurs domaines et plusieurs forêts. Pour obtenir plus d’informations et les conditions de l’approbation, consultez Prise en charge de plusieurs forêts.
Pouvez-vous voir l’intégrité globale du déploiement ?
Oui, vous pouvez afficher l’intégrité globale du déploiement et tous les problèmes spécifiques liés à la configuration, à la connectivité, et ainsi de suite. Vous êtes averti lorsque ces événements se produisent avec les problèmes d’intégrité Defender pour Identity.
Microsoft Defender pour Identity nécessite-t-il la synchronisation des utilisateurs avec Microsoft Entra ID ?
Microsoft Defender pour Identity fournit une valeur de sécurité pour tous les comptes Active Directory, y compris ceux qui ne sont pas synchronisés avec Microsoft Entra ID. Les comptes d'utilisateurs synchronisés avec Microsoft Entra ID bénéficieront également de la valeur de sécurité fournie par Microsoft Entra ID (en fonction du niveau de licence) et de l'évaluation des priorités d'enquête.
Pilotes WinPcap et Npcap
Quelles recommandations concernant les pilotes WinPcap et Npcap changent ?
L’équipe Microsoft Defender pour Identity recommande que tous les clients utilisent le pilote Npcap au lieu des pilotes WinPcap. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM au lieu des pilotes WinPcap 4.1.3.
Pourquoi abandonnons-nous WinPcap ?
WinPcap n’est plus pris en charge et, étant donné qu’il n’est plus développé, le pilote ne peut plus être optimisé pour le capteur Defender pour Identity. En outre, s’il existe un problème à l’avenir avec le pilote WinPcap, il n’existe aucune option pour le corriger.
Pourquoi Npcap ?
Npcap est pris en charge, tandis que WinPcap n’est plus un produit pris en charge.
Quelle version de Npcap est prise en charge ?
Le capteur MDI nécessite Npcap 1.0 ou une version ultérieure. Le package d’installation du capteur installe la version 1.0 si aucune autre version de Npcap n’est installée. Si Npcap est déjà installé (en raison d’autres exigences logicielles ou d’une autre raison), il est important de s’assurer qu’il est version 1.0 ou ultérieure et qu’il a été installé avec les paramètres requis pour MDI.
Dois-je supprimer et réinstaller manuellement le capteur, ou le service de mise à jour automatique gère-t-il cette opération dans le cadre de sa mise à jour normale ?
Oui. Il est nécessaire de supprimer manuellement le capteur pour supprimer les pilotes WinPcap. La réinstallation à l’aide du package le plus récent installe les pilotes Npcap.
Comment puis-je vérifier si mon installation actuelle de Defender pour Identity utilise Npcap ou WinPcap ?
Vous pouvez voir que « Npcap OEM » est installé via les programmes Ajout/Suppression (appwiz.cpl) et s’il y avait un problème d’intégrité ouvert pour cela, il est automatiquement fermé.
J’ai plus de cinq contrôleurs de domaine dans mon organisation. Dois-je acheter une licence Npcap si j’utilise Npcap sur ces contrôleurs de domaine ?
Non, Npcap a une exemption de la limite habituelle de cinq installations. Vous pouvez l’installer sur des systèmes illimités où il est utilisé uniquement avec le capteur Defender pour Identity.
Consultez le contrat de licence Npcap ici et recherchez Microsoft Defender pour Identity.
Npcap est-il également pertinent pour ATA ?
Non, seul le capteur Microsoft Defender pour Identity prend en charge la version 1.00 de Npcap.
J’aimerais scripter le déploiement de Npcap, dois-je acheter la version OEM ?
Non, vous n’avez pas besoin d’acheter la version OEM. Téléchargez le package d’installation du capteur version 2.156 et ultérieure à partir de la console Defender pour Identity, qui inclut la version OEM de Npcap.
Comment puis-je télécharger et installer ou mettre à niveau le pilote Npcap ?
Vous pouvez obtenir les exécutables Npcap en téléchargeant le dernier package de déploiement du capteur Defender pour Identity.
Si vous n’avez pas encore installé le capteur, installez le capteur à l’aide de la version 2.184 ou ultérieure.
Si vous avez déjà installé le capteur avec WinPcap et que vous devez effectuer la mise à jour pour utiliser Npcap :
Désinstallez le capteur. Utilisez Ajouter/supprimer des programmes à partir du panneau de contrôle Windows (appwiz.cpl) ou exécutez la commande de désinstallation suivante :
".\Azure ATP Sensor Setup.exe" /uninstall /quiet
Désinstallez WinPcap si nécessaire. Cette étape est pertinente uniquement si WinPcap a été installé manuellement avant l’installation du capteur. Dans ce cas, vous devez supprimer manuellement WinPcap.
Réinstallez le capteur à l’aide de la version 2.184 ou ultérieure.
Si vous souhaitez installer manuellement Npcap : installez Npcap avec les options suivantes :
- Si vous utilisez le programme d’installation de l’interface utilisateur graphique, désactivez l’option de prise en charge du bouclage et sélectionnez le mode WinPcap. Assurez-vous que l’option Restreindre l’accès du pilote Npcap aux seuls administrateurs n’est pas activée.
- Si vous utilisez la ligne de commande, exécutez :
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Si vous souhaitez mettre à niveau manuellement Npcap :
Arrêtez les services de capteur Defender pour Identity, AATPSensorUpdater et AATPSensor. Exécutez la commande suivante :
Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
Supprimez Npcap à l’aide de Ajouter/Supprimer des programmes dans le panneau de contrôle Windows (appwiz.cpl).
Installez Npcap avec les options suivantes :
Si vous utilisez le programme d’installation de l’interface utilisateur graphique, désactivez l’option de prise en charge du bouclage et sélectionnez le mode WinPcap. Assurez-vous que l’option Restreindre l’accès du pilote Npcap aux seuls administrateurs n’est pas activée.
Si vous utilisez la ligne de commande, exécutez :
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Démarrez les services de capteur Defender pour Identity, AATPSensorUpdater et AATPSensor. Exécutez la commande suivante :
Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor
Opération
Quel type d’intégration Defender pour Identity a-t-il avec les gestions des informations et des événements de sécurité ?
Defender pour Identity peut être configuré pour envoyer une alerte Syslog à n’importe quel serveur de gestion des informations et des événements de sécurité au format CEF, pour les problèmes d’intégrité et lorsqu’une alerte de sécurité est détectée. Pour plus d’informations, consultez les informations de référence du journal de gestion des informations et des événements de sécurité.
Pourquoi certains comptes sont-ils considérés comme sensibles ?
Les comptes sont considérés comme sensibles lorsqu’un compte est membre de groupes désignés comme sensibles (par exemple : « Administrateurs du domaine »).
Pour comprendre pourquoi un compte est sensible, vous pouvez passer en revue son appartenance à un groupe pour comprendre les groupes sensibles auxquels il appartient. Le groupe auquel il appartient peut également être sensible en raison d’un autre groupe. Par conséquent, le même processus doit être effectué jusqu’à ce que vous localisiez le groupe sensible de niveau le plus élevé. Vous pouvez également baliser manuellement les comptes comme sensibles.
Devez-vous écrire vos propres règles et créer un seuil/une base de référence ?
Avec Defender pour Identity, il n’est pas nécessaire de créer des règles, des seuils ou des bases de référence, puis de les ajuster. Defender pour Identity analyse les comportements entre les utilisateurs, les appareils et les ressources, ainsi que leur relation entre eux, et peut détecter rapidement les activités suspectes et les attaques connues. Trois semaines après le déploiement, Defender pour Identity commence à détecter les activités comportementales suspectes. En revanche, Defender pour Identity commence à détecter les attaques malveillantes connues et les problèmes de sécurité immédiatement après le déploiement.
Quel trafic Defender pour Identity génère-t-il dans le réseau à partir de contrôleurs de domaine et pourquoi ?
Defender pour Identity génère du trafic depuis les contrôleurs de domaine vers des ordinateurs de l’organisation dans l’un des trois scénarios suivants :
La résolution de noms réseau Defender pour Identity capture le trafic et les événements, l’apprentissage et le profilage des utilisateurs et des activités ordinateurs dans le réseau. Pour découvrir et profiler des activités en fonction des ordinateurs de l’organisation, Defender pour Identity doit résoudre les adresses IP en comptes d’ordinateurs. Pour résoudre les adresses IP en capteurs Defender pour Identity de noms d’ordinateurs, demandez l’adresse IP du nom de l’ordinateur derrière l’adresse IP.
Les demandes sont effectuées à l’aide de l’une des quatre méthodes suivantes :
- NTLM sur RPC (port TCP 135)
- NetBIOS (port UDP 137)
- RDP (port TCP 3389)
- Interroger le serveur DNS à l’aide de la recherche DNS inversée de l’adresse IP (UDP 53)
Après avoir obtenu le nom de l’ordinateur, les capteurs Defender pour Identity vérifient les détails dans Active Directory pour voir s’il existe un objet ordinateur corrélé avec le même nom d’ordinateur. Si une correspondance est trouvée, une association est établie entre l’adresse IP et l’objet ordinateur correspondant.
Chemin de mouvement latéral (LMP) Pour générer des LMP potentiels pour les utilisateurs sensibles, Defender pour Identity nécessite des informations sur les administrateurs locaux sur les ordinateurs. Dans ce scénario, le capteur Defender pour Identity utilise SAM-R (TCP 445) pour interroger l’adresse IP identifiée dans le trafic réseau, afin de déterminer les administrateurs locaux de l’ordinateur. Pour en savoir plus sur Defender pour Identity et SAM-R, consultez Configurer les autorisations requises SAM-R.
Interroger Active Directory à l’aide de LDAP pour les capteurs Defender pour Identity de données d’entité interroge le contrôleur de domaine à partir du domaine auquel appartient l’entité. Il peut s’agir du même capteur ou d’un autre contrôleur de domaine de ce domaine.
Protocol | Service | Port | Source | Sens |
---|---|---|---|---|
LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Règle de trafic sortant |
LDAP sécurisé (LDAPS) | TCP | 636 | Contrôleurs de domaine | Règle de trafic sortant |
LDAP vers le catalogue global | TCP | 3268 | Contrôleurs de domaine | Règle de trafic sortant |
LDAPS vers le catalogue global | TCP | 3269 | Contrôleurs de domaine | Règle de trafic sortant |
Pourquoi les activités n’affichent-elles pas toujours l’utilisateur source et l’ordinateur ?
Defender pour Identity capture les activités sur de nombreux protocoles différents. Dans certains cas, Defender pour Identity ne reçoit pas les données de l’utilisateur source dans le trafic. Defender pour Identity tente de mettre en corrélation la session de l’utilisateur à l’activité, et lorsque la tentative réussit, l’utilisateur source de l’activité s’affiche. Lorsque les tentatives de corrélation utilisateur échouent, seul l’ordinateur source s’affiche.
Pourquoi puis-je voir les requêtes DNS sur aatp.dns.detection.local ?
Le capteur Defender pour Identity peut déclencher un appel DNS à « aatp.dns.detection.local » en réponse à certaines activités DNS entrantes sur l’ordinateur surveillé MDI.
Gestion des données personnelles
Les données personnelles des utilisateurs peuvent-elles être mises à jour dans Defender pour Identity?
Les données personnelles de l'utilisateur dans Defender pour Identity sont dérivées de l'objet de l'utilisateur dans l'Active Directory de l'organisation, et ne peuvent pas être mises à jour directement dans Defender pour Identity.
Comment puis-je exporter des données personnelles de Defender pour Identity?
Vous pouvez exporter des données personnelles de Defender pour Identity en utilisant la même méthode que pour l'exportation des informations relatives aux alertes de sécurité. Pour plus d'informations, consultez la section Examiner les alertes de sécurité.
Comment puis-je localiser les données personnelles stockées dans Defender pour Identity?
Utilisez la barre de recherche du portail Microsoft Defender pour rechercher des données personnelles identifiables, comme un utilisateur ou un ordinateur spécifique. Pour plus d’informations, consultez Examen des ressources.
Quel type d'audit Defender pour Identity effectue-t-il sur les données personnelles?
Defender pour Identity implémente l’audit des modifications de données personnelles, notamment la suppression et l’exportation d’enregistrements de données personnelles. La durée de rétention des pistes d’audit est de 90 jours. L’audit dans Defender pour Identity est une fonctionnalité back-end et n’est pas accessible aux clients.
Que se passe-t-il dans Defender pour Identity lorsqu'un utilisateur est supprimé de l'Active Directory de l'organisation?
Après la suppression d'un utilisateur de l'Active Directory de l'organisation, Defender pour Identity supprime automatiquement le profil de l'utilisateur et toute activité réseau connexe, conformément à la stratégie générale de conservation des données de Defender pour Identity, sauf si les données font partie d'un incident actif. Nous vous recommandons d'ajouter des permissions en lecture seule sur le conteneur Objets supprimés. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Octroi des autorisations DSA requises.
Dépannage
Que dois-je faire si le capteur Defender pour Identity ou le capteur autonome ne démarre pas ?
Examinez l’erreur la plus récente dans le journal des erreurs actuel (où Defender pour Identity est installé sous le dossier « Journaux »).