Microsoft Defender for Identity – gyakori kérdések

A Defender for Identity észleli az ismert rosszindulatú támadásokat és technikákat, a biztonsági problémákat és a hálózatra vonatkozó kockázatokat. Az identitásészlelésekhez készült Defender teljes listáját lásd : Defender for Identity Security Alerts.

A Defender for Identity adatokat gyűjt és tárol a konfigurált kiszolgálókról, például tartományvezérlőkről, tagkiszolgálókról stb. Az adatokat a szolgáltatáshoz tartozó adatbázisban tárolják adminisztrációs, nyomkövetési és jelentéskészítési célokra.

Az összegyűjtött információk a következők:

• Hálózati forgalom a tartományvezérlők felé és onnan, például Kerberos-hitelesítés, NTLM-hitelesítés vagy DNS-lekérdezések.
• Biztonsági naplók, például Windows biztonsági események.
• Active Directory-információk, például struktúra, alhálózatok vagy helyek.
• Entitásadatok, például nevek, e-mail-címek és telefonszámok.

A Microsoft ezeket az adatokat a következő célokra használja:

• Proaktívan azonosítja a szervezet támadási mutatóit.
• Riasztások létrehozása, ha lehetséges támadást észleltek.
• A biztonsági műveletek áttekintésével megtekintheti a hálózat fenyegetésjeleivel kapcsolatos entitásokat, így megvizsgálhatja és felderítheti a hálózati biztonsági fenyegetések jelenlétét.

A Microsoft nem ad ki adatokat reklámozásra vagy más célra, csak a szolgáltatás nyújtására.

A Defender for Identity jelenleg legfeljebb 30 különböző címtárszolgáltatás hitelesítő adatainak hozzáadását támogatja a nem megbízható erdőkkel rendelkező Active Directory-környezetek támogatásához. Ha több fiókra van szüksége, nyisson meg egy támogatási jegyet.

Az Active Directory-forgalom mély csomagvizsgálati technológiával történő elemzése mellett a Defender for Identity összegyűjti a releváns Windows-eseményeket a tartományvezérlőről, és entitásprofilokat hoz létre Active Directory tartományi szolgáltatások információi alapján. A Defender for Identity emellett támogatja a VPN-naplók RADIUS-nyilvántartásának fogadását különböző gyártóktól (Microsoft, Cisco, F5 és Checkpoint).

Szám A Defender for Identity figyeli a hálózat összes eszközét, amely hitelesítési és engedélyezési kéréseket hajt végre az Active Directoryn, beleértve a nem Windows- és mobileszközöket is.

Igen. Mivel a számítógépfiókok és más entitások rosszindulatú tevékenységek végrehajtására használhatók, a Defender for Identity figyeli a számítógépfiókok viselkedését és a környezet összes többi entitását.

Az ATA egy különálló helyszíni megoldás több összetevővel, például a dedikált helyszíni hardvert igénylő ATA-központtal.

A Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jeleket használja. A megoldás nagy mértékben méretezhető, és gyakran frissül.

Az ATA végleges kiadása általánosan elérhető. Az ATA 2021. január 12-én megszüntette az általános támogatást. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információkért olvassa el blogunkat.

Az ATA-érzékelővel ellentétben a Defender for Identity-érzékelő olyan adatforrásokat is használ, mint például a Windows eseménykövetése (ETW), amely lehetővé teszi a Defender for Identity számára, hogy további észleléseket biztosítson.

A Defender for Identity gyakori frissítései a következő funkciókat és képességeket tartalmazzák:

• Többerdős környezetek támogatása: A szervezetek számára láthatóságot biztosít az AD-erdőkben.

• Microsoft Secure Score-helyzetértékelések: Azonosítja a gyakori helytelen konfigurációkat és a kihasználható összetevőket, és szervizelési útvonalakat biztosít a támadási felület csökkentéséhez.

• UEBA-képességek: Elemzések egyéni felhasználói kockázatba a felhasználói vizsgálat prioritási pontozása révén. A pontszám segíthet a SecOpsnak a vizsgálatokban, és segíthet az elemzőknek megérteni a felhasználó és a szervezet szokatlan tevékenységeit.

• Natív integrációk: Integrálható a Felhőhöz készült Microsoft Defender Apps és az Azure AD Identity Protection szolgáltatással, hogy hibrid képet nyújtson a helyszíni és a hibrid környezetekben zajló eseményekről.

• Hozzájárul a Microsoft Defender XDR-hez: Riasztási és fenyegetési adatokat ad hozzá a Microsoft Defender XDR-hez. A Microsoft Defender XDR a Microsoft 365 biztonsági portfolióját (identitásokat, végpontokat, adatokat és alkalmazásokat) használja a tartományok közötti veszélyforrások adatainak automatikus elemzéséhez, és teljes képet készít az egyes támadásokról egyetlen irányítópulton.

  Ezzel a szélességével és mélységével a defenderek a kritikus fenyegetésekre összpontosíthatnak, és kifinomult incidensekre vadászhatnak. A Defenderek megbízhatnak abban, hogy a Microsoft Defender XDR hatékony automatizálása leállítja a támadásokat bárhol a gyilkossági láncban, és biztonságos állapotba állítja vissza a szervezetet.

A Defender for Identity az Enterprise Mobility + Security 5 csomag (EMS E5) részeként és önálló licencként érhető el. Licencet közvetlenül a Microsoft 365 portálról vagy a felhőmegoldás-partner (CSP) licencmodellből szerezhet be.

A Defender for Identity licencelési követelményeiről a Defender for Identity licencelési útmutatója nyújt tájékoztatást.

Igen, az adatok hozzáférés-hitelesítéssel és logikai elkülönítéssel lesznek elkülönítve az ügyfélazonosítók alapján. Minden ügyfél csak a saját szervezetéből gyűjtött adatokat és a Microsoft által biztosított általános adatokat érheti el.

Szám A Defender for Identity-munkaterület létrehozásakor a rendszer automatikusan a Microsoft Entra-bérlő földrajzi helyéhez legközelebbi Azure-régióban tárolja. Miután létrehozta a Defender for Identity-munkaterületet, a Defender for Identity adatai nem helyezhetők át másik régióba.

A Microsoft fejlesztői és rendszergazdái a kialakításuknak megfelelően megfelelő jogosultságokkal rendelkeznek a szolgáltatás működtetéséhez és továbbfejlesztéséhez rendelt feladataik elvégzéséhez. A Microsoft megelőző, nyomozó és reaktív vezérlők kombinációját helyezi üzembe, beleértve az alábbi mechanizmusokat a jogosulatlan fejlesztő és/vagy rendszergazdai tevékenység elleni védelem érdekében:

• Szigorú hozzáférés-vezérlés bizalmas adatokhoz
• Olyan vezérlők kombinációi, amelyek jelentősen növelik a rosszindulatú tevékenységek független észlelését
• Több szintű monitorozás, naplózás és jelentéskészítés

Emellett a Microsoft háttérellenőrzési ellenőrzéseket végez bizonyos üzemeltetési személyzeten, és a háttérellenőrzés szintjének arányában korlátozza az alkalmazásokhoz, rendszerekhez és hálózati infrastruktúrához való hozzáférést. Az operatív személyzet hivatalos eljárást követ, amikor az ügyfél fiókjához vagy a kapcsolódó információkhoz való hozzáférésre van szükség feladataik ellátása során.

Javasoljuk, hogy mindegyik tartományvezérlőhöz rendelkezzen Defender for Identity-érzékelővel vagy önálló érzékelővel. További információ: Defender for Identity sensor méretezése.

Bár a titkosított forgalmat (például AtSvc és WMI) tartalmazó hálózati protokollok visszafejtése nem történik meg, az érzékelők továbbra is elemzik a forgalmat.

A Defender for Identity támogatja a Kerberos Armoringot, más néven a rugalmas hitelesítés biztonságos bújtatását (FAST). Ez alól a támogatás alól kivételt képez a kivonatészlelés túllépése, amely nem működik a Kerberos Armoring szolgáltatással.

A Defender for Identity érzékelő a legtöbb virtuális tartományvezérlőt lefedi. További információ: Defender for Identity Capacity Planning.

Ha a Defender for Identity érzékelő nem tud lefedni egy virtuális tartományvezérlőt, használjon inkább egy virtuális vagy fizikai Defender for Identity különálló érzékelőt. További információ: Porttükrözés konfigurálása.

A legegyszerűbb megoldás, ha minden gazdagépen rendelkezik önálló virtuális Defender for Identity érzékelővel, ahol virtuális tartományvezérlő létezik.

Ha a virtuális tartományvezérlők a gazdagépek között mozognak, az alábbi lépések egyikét kell elvégeznie:

• Amikor a virtuális tartományvezérlő egy másik gazdagépre kerül, konfigurálja előre a Defender for Identity önálló érzékelőt a gazdagépen, hogy megkapja a forgalmat a nemrég áthelyezett virtuális tartományvezérlőről.

• Győződjön meg arról, hogy a virtuális Defender for Identity különálló érzékelőt a virtuális tartományvezérlőhöz kapcsolta, hogy áthelyezés esetén a Defender for Identity önálló érzékelője vele együtt mozogjon.

• Vannak olyan virtuális kapcsolók, amelyek képesek forgalmat küldeni a gazdagépek között.

Ahhoz, hogy a tartományvezérlők kommunikálhassanak a felhőszolgáltatással, meg kell nyitnia a következőt: *.atp.azure.com 443-as port a tűzfalon/proxyn. További információ: Proxy vagy tűzfal konfigurálása a Defender for Identity érzékelőivel való kommunikáció engedélyezéséhez.

Igen, a Defender for Identity érzékelővel figyelheti a bármely IaaS-megoldásban található tartományvezérlőket.

A Defender for Identity támogatja a többtartományos környezeteket és több erdőt. További információ és megbízhatósági követelmények: Többerdős támogatás.

Igen, megtekintheti az üzembe helyezés általános állapotát, valamint a konfigurációval, a kapcsolattal stb. kapcsolatos konkrét problémákat. A rendszer riasztást kap, mivel ezek az események a Defender for Identity állapotával kapcsolatos problémák esetén fordulnak elő.

A Microsoft Defender for Identity biztonsági értéket biztosít az összes Active Directory-fiókhoz, beleértve azokat is, amelyek nincsenek szinkronizálva a Microsoft Entra-azonosítóval. A Microsoft Entra-azonosítóval szinkronizált felhasználói fiókok a Microsoft Entra ID által biztosított biztonsági érték (a licencszint alapján) és a vizsgálati prioritási pontozás előnyeit is élvezhetik.

A Microsoft Defender for Identity csapata azt javasolja, hogy minden ügyfél használja az Npcap illesztőprogramot a WinPcap illesztőprogramok helyett. A Defender for Identity 2.184-es verziójától kezdve a telepítőcsomag az Npcap 1.0 OEM-et telepíti a WinPcap 4.1.3-illesztők helyett.

A WinPcap már nem támogatott, és mivel már nem fejlesztik, az illesztőprogram nem optimalizálható többé a Defender for Identity érzékelőhöz. Emellett, ha a WinPcap-illesztővel kapcsolatban a jövőben probléma merül fel, nincs lehetőség a javításra.

Az Npcap támogatott, míg a WinPcap már nem támogatott termék.

Az MDI-érzékelőhöz Npcap 1.0 vagy újabb verzió szükséges. Az érzékelő telepítőcsomagja az 1.0-s verziót telepíti, ha nincs más Npcap-verzió telepítve. Ha már telepítve van az Npcap (más szoftverkövetelmények vagy egyéb ok miatt), fontos, hogy az 1.0-s vagy újabb verzió legyen telepítve, és hogy az MDI-hez szükséges beállításokkal legyen telepítve.

Igen. A WinPcap illesztőprogramok eltávolításához manuálisan kell eltávolítani az érzékelőt. A legújabb csomag használatával végzett újratelepítés telepíti az Npcap illesztőprogramokat.

Láthatja, hogy az "Npcap OEM" telepítése a Programok hozzáadása/eltávolítása (appwiz.cpl) segítségével történik, és ha nyílt állapotú probléma lépett fel, a program automatikusan bezárja azt.

Nem, az Npcap kivételt élvez az öt telepítésre vonatkozó szokásos korlát alól. Korlátlan rendszerekre telepítheti, ahol csak a Defender for Identity érzékelővel használható.

Itt találja az Npcap licencszerződést, és keresse meg a Microsoft Defender for Identity szolgáltatást.

Nem, csak a Microsoft Defender for Identity érzékelő támogatja az Npcap 1.00-s verzióját.

Nem, nem kell megvásárolnia az OEM-verziót. Töltse le az érzékelő telepítési csomagjának 2.156-os vagy újabb verzióját a Defender for Identity konzolról, amely tartalmazza az Npcap OEM-verzióját.

• Az Npcap-végrehajtható fájlokat a Defender for Identity érzékelő legújabb üzembehelyezési csomagjának letöltésével szerezheti be.

• Ha még nem telepítette az érzékelőt, telepítse az érzékelőt a 2.184-es vagy újabb verzióval.

• Ha már telepítette az érzékelőt a WinPcap használatával, és frissítenie kell az Npcap használatához:

  1. Távolítsa el az érzékelőt. Használja a Programok hozzáadása/eltávolítása a Windows vezérlőpultjáról (appwiz.cpl) vagy futtassa a következő eltávolítási parancsot: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Szükség esetén távolítsa el a WinPcap eszközt. Ez a lépés csak akkor releváns, ha a WinPcap manuálisan lett telepítve az érzékelő telepítése előtt. Ebben az esetben manuálisan kell eltávolítania a WinPcap-et.

  3. Telepítse újra az érzékelőt a 2.184-es vagy újabb verzióval.

• Ha manuálisan szeretné telepíteni az Npcap-t: Telepítse az Npcap-t a következő beállításokkal:

  • Ha a GUI-telepítőt használja, törölje a visszacsatolás támogatási lehetőségét, és válassza a WinPcap módot. Győződjön meg arról, hogy az Npcap-illesztőprogram csak Rendszergazda istratorokhoz való hozzáférésének korlátozása beállítás nincs bejelölve.
  • Ha a parancssort használja, futtassa a következőt: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Ha manuálisan szeretné frissíteni az Npcap-t:

  1. Állítsa le a Defender for Identity érzékelőszolgáltatásait, az AATPSensorUpdatert és az AATPSensort. Futtassa a következőt: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Az Npcap eltávolítása a Windows vezérlőpultjának Programok hozzáadása/eltávolítása funkciójával (appwiz.cpl).

  3. Telepítse az Npcap-t a következő beállításokkal:

     • Ha a GUI-telepítőt használja, törölje a visszacsatolás támogatási lehetőségét, és válassza a WinPcap módot. Győződjön meg arról, hogy az Npcap-illesztőprogram csak Rendszergazda istratorokhoz való hozzáférésének korlátozása beállítás nincs bejelölve.

     • Ha a parancssort használja, futtassa a következőt: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Indítsa el a Defender for Identity sensor servicest, az AATPSensorUpdatert és az AATPSensort. Futtassa a következőt: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

A Defender for Identity konfigurálható úgy, hogy syslog-riasztást küldjön bármely CEF formátumú SIEM-kiszolgálóra, állapotproblémák esetén és biztonsági riasztás észlelésekor. További információkért tekintse meg a SIEM-napló referenciáját.

A fiókok akkor minősülnek bizalmasnak, ha egy fiók bizalmasként megjelölt csoportok tagja (például:"Tartományi Rendszergazda").

Annak megértéséhez, hogy egy fiók miért érzékeny, áttekintheti a csoporttagságát, és megtudhatja, hogy melyik bizalmas csoporthoz tartozik. A csoport, amelyhez tartozik, egy másik csoport miatt is bizalmas lehet, ezért ugyanazt a folyamatot kell végrehajtani, amíg meg nem találja a legmagasabb szintű bizalmas csoportot. Másik megoldásként manuálisan címkézze fel a fiókokat bizalmasként.

A Defender for Identity esetében nincs szükség szabályok, küszöbértékek vagy alapkonfigurációk létrehozására, majd finomhangolására. A Defender for Identity elemzi a felhasználók, eszközök és erőforrások viselkedését, valamint az egymáshoz való viszonyukat, és gyorsan észleli a gyanús tevékenységeket és az ismert támadásokat. Az üzembe helyezés után három héttel a Defender for Identity észlelni kezdi a viselkedésgyanús tevékenységeket. A Defender for Identity azonban közvetlenül az üzembe helyezés után megkezdi az ismert rosszindulatú támadások és biztonsági problémák észlelését.

A Defender for Identity a következő három forgatókönyv egyikében generál forgalmat a tartományvezérlőkről a szervezet számítógépeire:

• A Network Name Resolution Defender for Identity rögzíti a forgalmat és eseményeket, a felhasználók és a számítógépes tevékenységek tanulását és profilozását a hálózaton. Ahhoz, hogy a szervezet számítógépeinek megfelelően tanulhassa és profilozza a tevékenységeket, a Defender for Identity-nek fel kell oldania az IP-címeket a számítógépfiókokra. Az IP-címeknek a Defender for Identity-érzékelők számítógépnevekre való feloldásához kérje le az IP-cím mögötti számítógépnév IP-címét.

  A kérelmek a következő négy módszer egyikével kérhetőek:

  • NTLM RPC-n keresztül (135-ös TCP-port)
  • NetBIOS (UDP-port 137)
  • RDP (3389-ös TCP-port)
  • A DNS-kiszolgáló lekérdezése az IP-cím fordított DNS-keresésével (UDP 53)

  A számítógépnév lekérése után a Defender for Identity érzékelői keresztellenőrzéssel ellenőrzik az Active Directory adatait, hogy van-e azonos számítógépnévvel rendelkező korrelált számítógépobjektum. Ha talál egyezést, társítás jön létre az IP-cím és a megfeleltethető számítógép-objektum között.

• Oldalirányú mozgási útvonal (LMP) A potenciális LMP-k bizalmas felhasználók számára történő létrehozásához a Defender for Identity a számítógépek helyi rendszergazdáira vonatkozó információkat igényel. Ebben a forgatókönyvben a Defender for Identity-érzékelő SAM-R (TCP 445) használatával kérdezi le a hálózati forgalomban azonosított IP-címet a számítógép helyi rendszergazdáinak meghatározásához. A Defender for Identity és a SAM-R szolgáltatással kapcsolatos további információkért lásd az SAM-R szükséges engedélyeinek konfigurálását ismertető témakört.

• Az Active Directory lekérdezése LDAP használatával az entity data Defender for Identity-érzékelőkhöz lekérdezi a tartományvezérlőt attól a tartománytól, amelyhez az entitás tartozik. Lehet ugyanaz az érzékelő, vagy egy másik tartományvezérlő az adott tartományból.

A Defender for Identity számos különböző protokollon keresztül rögzíti a tevékenységeket. Bizonyos esetekben a Defender for Identity nem kapja meg a forrásfelhasználó adatait a forgalomban. A Defender for Identity megpróbálja korrelálni a felhasználó munkamenetét a tevékenységhez, és ha a kísérlet sikeres, megjelenik a tevékenység forrásfelhasználója. Ha a felhasználó korrelációs kísérletei sikertelenek, csak a forrásszámítógép jelenik meg.

Tekintse meg a legutóbbi hibát az aktuális hibanaplóban (ahol az identitáshoz készült Defender telepítve van a "Naplók" mappában).

Kapcsolódó tartalom

• A Defender for Identity előfeltételei
• Defender identitáshoz – kapacitástervezés
• Eseménygyűjtemény konfigurálása
• A Windows eseménytovábbításának konfigurálása
• Hibaelhárítás
• Tekintse meg a Defender for Identity fórumot!