Microsoft Defender for Identity gyakori kérdések

Ez a cikk a Microsoft Defender for Identity kapcsolatos gyakori kérdéseket és válaszokat sorolja fel az alábbi kategóriákba:

Mi az az identitáshoz készült Defender?

Mit észlel a Defender for Identity?

A Defender for Identity észleli az ismert rosszindulatú támadásokat és technikákat, a biztonsági problémákat és a hálózattal kapcsolatos kockázatokat. A Defender for Identity észlelésének teljes listáját lásd: Defender for Identity Security-riasztások.

Milyen adatokat gyűjt a Defender for Identity?

A Defender for Identity adatokat gyűjt és tárol a konfigurált kiszolgálókról, például tartományvezérlőkről, tagkiszolgálókról stb. Az adatok tárolása a szolgáltatáshoz tartozó adatbázisban történik adminisztrációs, nyomon követési és jelentéskészítési célból.

Az összegyűjtött információk közé tartoznak a következők:

• Hálózati forgalom a tartományvezérlőkre, például Kerberos-hitelesítésre, NTLM-hitelesítésre vagy DNS-lekérdezésekre.
• Biztonsági naplók, például Windows biztonsági események.
• Active Directory-információk, például struktúra, alhálózatok vagy helyek.
• Entitásadatok, például nevek, e-mail-címek és telefonszámok.

A Microsoft ezeket az adatokat a következő célokra használja fel:

• Proaktívan azonosíthatja a szervezeten belüli támadások (IOA-k) mutatóit.
• Riasztások létrehozása, ha lehetséges támadást észleltek.
• A biztonsági műveletek áttekintésével megtekintheti a hálózatról érkező fenyegetésjelekkel kapcsolatos entitásokat, így megvizsgálhatja és felderítheti a biztonsági fenyegetések jelenlétét a hálózaton.

A Microsoft a szolgáltatás nyújtásán kívül semmilyen más célra nem felhasználja az Ön adatait hirdetésekre vagy egyéb célokra.

Hány címtárszolgáltatás-hitelesítő adatot támogat a Defender for Identity?

A Defender for Identity jelenleg legfeljebb 30 különböző címtárszolgáltatásbeli hitelesítő adat hozzáadását támogatja a nem megbízható erdőkkel rendelkező Active Directory-környezetek támogatásához. Ha több fiókra van szüksége, hozzon létre egy támogatási jegyet.

A Defender for Identity csak az Active Directoryból érkező forgalmat használja?

Az Active Directory-forgalom mély csomagvizsgálati technológiával történő elemzése mellett a Defender for Identity összegyűjti a releváns Windows-eseményeket a tartományvezérlőről, és entitásprofilokat hoz létre Active Directory tartományi szolgáltatások információi alapján. A Defender for Identity támogatja a KÜLÖNBÖZŐ szállítók (Microsoft, Cisco, F5 és Checkpoint) VPN-naplóinak RADIUS-elszámolását is.

A Defender for Identity csak a tartományhoz csatlakoztatott eszközöket figyeli?

Nem. Az Identitáshoz készült Defender a hálózat összes eszközét figyeli, amely hitelesítési és engedélyezési kéréseket hajt végre az Active Directoryn, beleértve a nem Windows- és mobileszközöket is.

Figyeli a Defender for Identity a számítógépfiókokat és a felhasználói fiókokat?

Igen, Mivel a számítógépfiókok és más entitások rosszindulatú tevékenységek végrehajtására is használhatók, a Defender for Identity figyeli a számítógépfiókok viselkedését és a környezet összes többi entitását.

Mi a különbség az Advanced Threat Analytics (ATA) és a Defender for Identity között?

Az ATA egy különálló helyszíni megoldás több összetevővel, például az ATA-központtal, amely dedikált hardvert igényel a helyszínen.

A Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jeleket használja. A megoldás nagy mértékben skálázható, és gyakran frissül.

Az ATA végleges kiadása általánosan elérhető. Az ATA 2021. január 12-én megszüntette az alapvető technikai támogatást. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információért olvassa el blogunkat.

Az ATA-érzékelővel ellentétben a Defender for Identity-érzékelő olyan adatforrásokat is használ, mint például a Windows esemény-nyomkövetése (ETW), amely lehetővé teszi a Defender for Identity számára, hogy további észleléseket biztosítson.

A Defender for Identity gyakori frissítései a következő funkciókat és képességeket tartalmazzák:

• Többerdős környezetek támogatása: Láthatóságot biztosít a szervezetek számára az AD-erdőkben.

• A Microsoft biztonsági pontszámának állapotértékelései: Azonosítja a gyakori helytelen konfigurációkat és a kihasználható összetevőket, és javítási útvonalakat biztosít a támadási felület csökkentése érdekében.

• Natív integrációk: Integrálható a Microsoft Defender for Cloud Apps és a Microsoft Entra ID Protection szolgáltatással, hogy hibrid képet nyújtson a helyszíni és a hibrid környezetekről.

• Közreműködik a Microsoft Defender XDR: Riasztási és fenyegetési adatokkal járul hozzá a Microsoft Defender XDR. Microsoft Defender XDR a Microsoft 365 biztonsági portfólióját (identitásokat, végpontokat, adatokat és alkalmazásokat) használja a tartományok közötti fenyegetési adatok automatikus elemzéséhez, és teljes képet készít az egyes támadásokról egyetlen irányítópulton.

  Ezzel a részletességgel és mélységgel a defenderek a kritikus fenyegetésekre összpontosíthatnak, és kifinomult incidensekre vadászhatnak. A defenderek bízhatnak abban, hogy Microsoft Defender XDR hatékony automatizálása leállítja a támadásokat bárhol a leölési láncban, és biztonságos állapotba állítja vissza a szervezetet.

Licencelés és adatvédelem

Hol szerezhetek licencet Microsoft Defender for Identity?

A Defender for Identity a Enterprise Mobility + Security 5 csomag (EMS E5) részeként és önálló licencként érhető el. Licencet közvetlenül a Microsoft 365 portálon vagy a felhőszolgáltatói partner (CSP) licencelési modelljén keresztül szerezhet be.

A Defender for Identitynek csak egyetlen licencre van szüksége, vagy minden védeni kívánt felhasználóhoz licencre van szüksége?

A Defender for Identity licencelési követelményeiről a Defender for Identity licencelési útmutatója nyújt tájékoztatást.

Az adataim el vannak különítve más ügyféladatoktól?

Igen, az adatok hozzáférés-hitelesítéssel és logikai elkülönítéssel lesznek elkülönítve az ügyfél-azonosítók alapján. Minden ügyfél csak a saját szervezetéből gyűjtött adatokat és a Microsoft által biztosított általános adatokat érheti el.

Rugalmasan választhatom ki, hogy hol tároljam az adataimat?

Nem. A Defender for Identity-munkaterület létrehozásakor a rendszer automatikusan a Microsoft Entra bérlő földrajzi helyéhez legközelebb eső Azure régióban tárolja. A Defender for Identity-munkaterület létrehozása után a Defender for Identity adatai nem helyezhetők át egy másik régióba.

Hogyan akadályozza meg a Microsoft a rosszindulatú belső tevékenységeket és a magas jogosultsági szintű szerepkörök visszaélését?

A Microsoft-fejlesztők és -rendszergazdák kialakításuk szerint megfelelő jogosultságokkal rendelkeznek a szolgáltatás működtetéséhez és továbbfejlesztéséhez szükséges feladatok elvégzéséhez. A Microsoft megelőző, nyomozó és reaktív vezérlők kombinációját alkalmazza, beleértve a következő mechanizmusokat a jogosulatlan fejlesztői és/vagy adminisztratív tevékenységek elleni védelem érdekében:

• Bizalmas adatok szigorú hozzáférés-vezérlése
• A kártékony tevékenységek független észlelését jelentősen növelő vezérlők kombinációja
• Többszintű monitorozás, naplózás és jelentéskészítés

Emellett a Microsoft háttérellenőrzést végez bizonyos üzemeltetési munkatársakon, és a háttérellenőrzés szintjéhez viszonyított arányban korlátozza az alkalmazásokhoz, rendszerekhez és hálózati infrastruktúrához való hozzáférést. Az üzemeltetési munkatársak hivatalos eljárást követnek, amikor az ügyfél fiókjához vagy a kapcsolódó információkhoz való hozzáférésre van szükségük feladataik ellátása során.

Bevezetés

Hány Defender for Identity-érzékelőre van szükségem?

Javasoljuk, hogy mindegyik tartományvezérlőhöz rendelkezzen Defender for Identity-érzékelővel vagy önálló érzékelővel. További információ: A Defender for Identity érzékelőinek méretezése.

Működik a Defender for Identity titkosított adatforgalommal?

Bár a titkosított forgalmat (például AtSvc és WMI) tartalmazó hálózati protokollok nincsenek visszafejtve, az érzékelők továbbra is elemzik a forgalmat.

Működik a Defender for Identity a Kerberos-védelemmel?

A Defender for Identity támogatja a Kerberos Armoringot, más néven a rugalmas hitelesítés biztonságos bújtatását (FAST). Ez alól a támogatás alól kivételt képez a kivonat észlelése, amely nem működik a Kerberos-védelemmel.

Hogyan monitorozni egy virtuális tartományvezérlőt a Defender for Identity használatával?

A Defender for Identity érzékelő a legtöbb virtuális tartományvezérlőre kiterjedhet. További információ: Defender for Identity Capacity Planning (Identitáshoz készült Defender kapacitástervezése).

Ha a Defender for Identity érzékelője nem tud lefedni egy virtuális tartományvezérlőt, használjon inkább egy virtuális vagy fizikai Defender for Identity önálló érzékelőt. További információ: Porttükrözés konfigurálása.

A legegyszerűbb, ha minden gazdagépen rendelkezik egy önálló virtuális Defender for Identity-érzékelővel, ahol virtuális tartományvezérlő található.

Ha a virtuális tartományvezérlők a gazdagépek között mozognak, az alábbi lépések egyikét kell végrehajtania:

• Amikor a virtuális tartományvezérlő átkerül egy másik gazdagépre, konfigurálja előre az identitáshoz készült Defender önálló érzékelőt a gazdagépen, hogy fogadja a forgalmat a nemrég áthelyezett virtuális tartományvezérlőről.

• Győződjön meg arról, hogy társította a virtuális Defender for Identity önálló érzékelőjét a virtuális tartományvezérlővel, hogy áthelyezés esetén a Defender for Identity önálló érzékelője vele együtt mozogjon.

• Vannak olyan virtuális kapcsolók, amelyek képesek forgalmat küldeni a gazdagépek között.

Hogyan konfigurálja a Defender for Identity érzékelőinek kommunikációt a Defender for Identity felhőszolgáltatással, ha proxyval rendelkezem?

Ahhoz, hogy a tartományvezérlők kommunikálni tudjanak a felhőszolgáltatással, meg kell nyitnia a *.atp.azure.com 443-at a tűzfalon/proxyn. További információ: Proxy vagy tűzfal konfigurálása a Defender for Identity érzékelőivel való kommunikáció engedélyezéséhez.

Virtualizálható a Defender for Identity által figyelt tartományvezérlők az IaaS-megoldáson?

Igen, a Defender for Identity érzékelővel figyelheti a bármely IaaS-megoldásban található tartományvezérlőket.

Támogatja a Defender for Identity a többtartományos és a többerdős környezeteket?

A Defender for Identity támogatja a többtartományos környezeteket és több erdőt. További információ és megbízhatósági követelmények: Többerdős támogatás.

Látja az üzembe helyezés általános állapotát?

Igen, megtekintheti az üzembe helyezés általános állapotát, valamint a konfigurációval, a kapcsolattal stb. kapcsolatos konkrét problémákat. A rendszer riasztást küld, amikor ezek az események a Defender for Identity állapotával kapcsolatos problémák esetén fordulnak elő.

A Microsoft Defender for Identity megköveteli a felhasználók szinkronizálását a Microsoft Entra ID?

Microsoft Defender for Identity biztonsági értéket biztosít az összes Active Directory-fiókhoz, beleértve azokat is, amelyek nincsenek szinkronizálva a Microsoft Entra ID. A Microsoft Entra ID szinkronizált felhasználói fiókok a licencszint alapján élvezhetik a Microsoft Entra ID által biztosított biztonsági értéket. További részletekért lásd: Identitásleltár.

WinPcap- és Npcap-illesztőprogramok

Milyen javaslatok változnak a WinPcap és az Npcap illesztőprogramokkal kapcsolatban?

A Microsoft Defender for Identity csapata azt javasolja, hogy minden ügyfél használja az Npcap illesztőprogramot a WinPcap illesztőprogramok helyett. A Defender for Identity 2.184-es verziójától kezdve a telepítőcsomag a WinPcap 4.1.3 illesztőprogramok helyett az Npcap 1.0 OEM-et telepíti.

Miért költözünk el a WinPcap-től?

A WinPcap már nem támogatott, és mivel már nem fejlesztik, az illesztőprogram már nem optimalizálható a Defender for Identity érzékelőhöz. Emellett, ha a jövőben probléma merül fel a WinPcap illesztőprogrammal kapcsolatban, nincs lehetőség a javításra.

Miért az Npcap?

Az Npcap támogatott, míg a WinPcap már nem támogatott termék.

Az Npcap melyik verziója támogatott?

Az MDI-érzékelőhöz az Npcap 1.0-s vagy újabb verziója szükséges. Az érzékelő telepítőcsomagja az 1.0-s verziót telepíti, ha nincs más Npcap-verzió telepítve. Ha az Npcap már telepítve van (más szoftverkövetelmények vagy egyéb ok miatt), fontos, hogy az 1.0-s vagy újabb verziót biztosítsa, és hogy az MDI-hez szükséges beállításokkal lett telepítve.

Manuálisan kell eltávolítanom és újratelepítenem az érzékelőt, vagy az automatikus frissítési szolgáltatás kezeli ezt a normál frissítés részeként?

Igen, A WinPcap illesztőprogramok eltávolításához manuálisan kell eltávolítani az érzékelőt. A legújabb csomag használatával történő újratelepítés telepíti az Npcap-illesztőprogramokat.

Hogyan ellenőrizhetem, hogy a Defender for Identity jelenlegi telepítése Npcap vagy WinPcap protokollt használ-e?

Láthatja, hogy az "Npcap OEM" telepítve van a Programok hozzáadása/eltávolítása (appwiz.cpl) segítségével, és ha nyitott állapottal kapcsolatos probléma merült fel, a program automatikusan bezárja azt.

Ötnél több tartományvezérlő van a szervezetemben. Npcap-licencet kell vásárolnom, ha ezeken a tartományvezérlőkön Npcapet használok?

Nem, az Npcap kivételt élvez az öt telepítésre vonatkozó szokásos korlát alól. Korlátlan rendszerekre telepítheti, ahol csak a Defender for Identity érzékelővel használható.

Tekintse meg itt az Npcap licencszerződést, és keressen rá a Microsoft Defender for Identity.

Az Npcap az ATA szempontjából is releváns?

Nem, csak a Microsoft Defender for Identity érzékelő támogatja az Npcap 1.00-s verzióját.

Az Npcap üzembe helyezését szeretném szkriptként használni. Meg kell vásárolnom az OEM-verziót?

Nem, nem kell megvásárolnia az OEM-verziót. Töltse le az érzékelőtelepítési csomag 2.156-os vagy újabb verzióját a Defender for Identity konzolról, amely tartalmazza az Npcap OEM-verzióját.

Hogyan töltse le és telepítse vagy frissítse az Npcap-illesztőprogramot?

• Az Npcap végrehajtható fájlokat a Defender for Identity érzékelő legújabb üzembehelyezési csomagjának letöltésével szerezheti be.

• Ha még nem telepítette az érzékelőt, telepítse az érzékelőt a 2.184-es vagy újabb verzióval.

• Ha már telepítette az érzékelőt a WinPcap használatával, és frissítenie kell az Npcap használatához:

  1. Távolítsa el az érzékelőt. Használja a Programok hozzáadása/eltávolítása parancsot a Windows vezérlőpultjáról (appwiz.cpl), vagy futtassa a következő eltávolítási parancsot: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Szükség esetén távolítsa el a WinPcap eszközt. Ez a lépés csak akkor releváns, ha a WinPcap manuálisan lett telepítve az érzékelő telepítése előtt. Ebben az esetben manuálisan kell eltávolítania a WinPcap-et.

  3. Telepítse újra az érzékelőt a 2.184-es vagy újabb verzióval.

• Ha manuálisan szeretné telepíteni az Npcap-et: Telepítse az Npcap-et a következő beállításokkal:

  • Ha a grafikus felhasználói felület telepítőt használja, törölje a visszacsatolási támogatás lehetőségét, és válassza a WinPcap mód lehetőséget. Győződjön meg arról, hogy az Npcap-illesztőprogram csak rendszergazdákhoz való hozzáférésének korlátozása beállítás nincs bejelölve.
  • Ha a parancssort használja, futtassa a következőt: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Ha manuálisan szeretné frissíteni az Npcap-et:

  1. Állítsa le a Defender for Identity érzékelőszolgáltatásait, az AATPSensorUpdatert és az AATPSensort. Fuss: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Távolítsa el az Npcap elemet a Windows vezérlőpultjának Programok hozzáadása/eltávolítása parancsával (appwiz.cpl).

  3. Telepítse az Npcapet a következő beállításokkal:

     • Ha a grafikus felhasználói felület telepítőt használja, törölje a visszacsatolási támogatás lehetőségét, és válassza a WinPcap mód lehetőséget. Győződjön meg arról, hogy az Npcap-illesztőprogram csak rendszergazdákhoz való hozzáférésének korlátozása beállítás nincs bejelölve.

     • Ha a parancssort használja, futtassa a következőt: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Indítsa el a Defender for Identity érzékelőszolgáltatásait, az AATPSensorUpdatert és az AATPSensort. Fuss: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Művelet

Milyen integrációval rendelkezik a Defender for Identity a SIEM-ekkel?

A Defender for Identity konfigurálható úgy, hogy syslog-riasztást küldjön bármely SIEM-kiszolgálóra CEF formátumban, állapotproblémák esetén és biztonsági riasztás észlelésekor. További információ: SIEM-naplók referenciája.

Miért számítanak bizonyos fiókok bizalmasnak?

A fiókok akkor minősülnek bizalmasnak, ha egy fiók bizalmasként megjelölt csoportok (például "Tartományi rendszergazdák") tagja.

Ha meg szeretné érteni, hogy egy fiók miért bizalmas, tekintse át a csoporttagságát, és ismerje meg, hogy melyik bizalmas csoporthoz tartozik. A csoport, amelyhez tartozik, egy másik csoport miatt is bizalmas lehet, ezért ugyanazt a folyamatot kell végrehajtani, amíg meg nem találja a legmagasabb szintű bizalmas csoportot. Másik megoldásként manuálisan címkézze fel a fiókokat bizalmasként.

Meg kell írnia a saját szabályait, és létre kell hoznia egy küszöbértéket/alapkonfigurációt?

Az Identitáshoz készült Defenderben nincs szükség szabályok, küszöbértékek vagy alapkonfigurációk létrehozására, majd a finomhangolásra. A Defender for Identity elemzi a felhasználók, az eszközök és az erőforrások viselkedését, valamint az egymáshoz való viszonyukat, és gyorsan észleli a gyanús tevékenységeket és az ismert támadásokat. Az üzembe helyezés után három héttel a Defender for Identity elkezdi észlelni a viselkedési gyanús tevékenységeket. A Defender for Identity viszont az üzembe helyezés után azonnal észlelni fogja az ismert rosszindulatú támadásokat és biztonsági problémákat.

Milyen forgalmat generál a Defender for Identity a hálózatban a tartományvezérlőkről, és miért?

A Defender for Identity három forgatókönyv egyikében generál forgalmat a tartományvezérlőkről a szervezet számítógépeire:

• Hálózatnév feloldás A Defender for Identity rögzíti a hálózati forgalmat és eseményeket, valamint a felhasználók és a számítógépes tevékenységek tanulását és profilkészítését. Ahhoz, hogy a szervezet számítógépeinek megfelelően tanulhassa és profillal meg tudja adni a tevékenységeket, a Defender for Identitynek számítógépfiókokra kell feloldania az IP-címeket. Ha ip-címeket szeretne feloldani a Defender for Identity érzékelőinek számítógépnevére, kérje le az IP-cím mögötti számítógépnév IP-címét.

  A kérések a következő négy módszer egyikével jönnek létre:

  • NTLM RPC-n keresztül (135-ös TCP-port)
  • NetBIOS (137-ös UDP-port)
  • RDP (3389-ös TCP-port)
  • A DNS-kiszolgáló lekérdezése az IP-cím fordított DNS-keresésével (UDP 53)

  A számítógép nevének lekérése után a Defender for Identity érzékelői ellenőrzik az Active Directory adatait, és ellenőrzik, hogy van-e azonos számítógépnévvel rendelkező korrelált számítógép-objektum. Ha talál egyezést, társítás jön létre az IP-cím és az egyező számítógép-objektum között.

• Oldalirányú mozgásvonal (LMP) A potenciális LMP-k bizalmas felhasználók számára történő létrehozásához az identitáshoz készült Defendernek szüksége van a helyi rendszergazdákra vonatkozó információkra a számítógépeken. Ebben a forgatókönyvben a Defender for Identity érzékelője SAM-R (TCP 445) használatával kérdezi le a hálózati forgalomban azonosított IP-címet a számítógép helyi rendszergazdáinak meghatározásához. További információ a Defender for Identityről és az SAM-R-ről: Sam-R szükséges engedélyek konfigurálása.

• Az Active Directory lekérdezése LDAP használatával entitásadatokhoz A Defender for Identity érzékelői lekérdezik a tartományvezérlőt attól a tartománytól, amelyhez az entitás tartozik. Ez lehet ugyanaz az érzékelő, vagy egy másik tartományvezérlő az adott tartományból.

Protocol (Protokoll)	Szolgáltatás	Port	Source (Forrás)	Irány
LDAP	TCP és UDP	389	Tartományvezérlők	Kimenő
Biztonságos LDAP (LDAPS)	TCP	636	Tartományvezérlők	Kimenő
LDAP–globális katalógus	TCP	3268	Tartományvezérlők	Kimenő
LDAPS–globális katalógus	TCP	3269	Tartományvezérlők	Kimenő

Miért nem mindig jelennek meg a tevékenységek a forrásfelhasználó és a számítógép között?

A Defender for Identity számos különböző protokollon keresztül rögzíti a tevékenységeket. Bizonyos esetekben a Defender for Identity nem kapja meg a forrásfelhasználó adatait a forgalomban. Az Identitáshoz készült Defender megpróbálja korrelálni a felhasználó munkamenetét a tevékenységgel, és ha a kísérlet sikeres, megjelenik a tevékenység forrásfelhasználója. Ha a felhasználó korrelációs kísérletei sikertelenek, csak a forrásszámítógép jelenik meg.

Miért látok DNS-lekérdezéseket az aatp.dns.detection.local webhelyen?

A Defender for Identity érzékelője dns-hívást indíthat az "aatp.dns.detection.local" felé, válaszul az MDI által figyelt gépre irányuló bizonyos BEJÖVŐ DNS-tevékenységekre.

Személyes adatok kezelése

Frissíthetők a személyes felhasználói adatok a Defender for Identityben?

A Defender for Identity személyes felhasználói adatai a szervezet Active Directoryjában lévő felhasználó objektumából származnak, és nem frissíthetők közvetlenül a Defender for Identityben.

Hogyan exportálhatok személyes adatokat a Defender for Identityből?

Személyes adatokat exportálhat a Defender for Identityből ugyanazzal a módszerrel, mint a biztonsági riasztások adatainak exportálása. További információ: Biztonsági riasztások áttekintése.

Hogyan találhatom meg a Defender for Identityben tárolt személyes adatokat?

A Microsoft Defender portál keresősávjában azonosítható személyes adatokat kereshet, például egy adott felhasználót vagy számítógépet. További információ: Objektumok vizsgálata.

Milyen naplózást futtat a Defender for Identity a személyes adatokon?

A Defender for Identity végrehajtja a személyes adatok módosításainak naplózását, beleértve a személyes adatrekordok törlését és exportálását. A naplók megőrzési ideje 90 nap. A Defender for Identity naplózása egy háttérszolgáltatás, amely nem érhető el az ügyfelek számára.

Mi történik a Defender for Identityben, ha egy felhasználót törölnek a szervezet Active Directoryjából?

Miután törölt egy felhasználót a szervezet Active Directoryjából, a Defender for Identity automatikusan törli a felhasználói profilt és a kapcsolódó hálózati tevékenységeket a Defender for Identity általános adatmegőrzési szabályzatával összhangban, kivéve, ha az adatok aktív incidens részei. Javasoljuk, hogy adjon hozzá írásvédett engedélyeket a Törölt objektumok tárolóhoz . További információ: Szükséges DSA-engedélyek megadása.

Hibaelhárítás

Mi a teendő, ha a Defender for Identity-érzékelő vagy az önálló érzékelő nem indul el?

Tekintse meg a legutóbbi hibát az aktuális hibanaplóban (ahol az Identitáshoz készült Defender telepítve van a "Naplók" mappában).

Kapcsolódó tartalom

• A Defender for Identity kapacitástervezése
• Eseménygyűjtés konfigurálása
• Windows-eseménytovábbítás konfigurálása
• Hibaelhárítás
• Tekintse meg a Defender for Identity fórumot!

Ez a cikk a Microsoft Defender for Identity kapcsolatos gyakori kérdéseket és válaszokat sorolja fel az alábbi kategóriákba:

A Defender for Identity észleli az ismert rosszindulatú támadásokat és technikákat, a biztonsági problémákat és a hálózattal kapcsolatos kockázatokat. A Defender for Identity észlelésének teljes listáját lásd: Defender for Identity Security-riasztások.

A Defender for Identity adatokat gyűjt és tárol a konfigurált kiszolgálókról, például tartományvezérlőkről, tagkiszolgálókról stb. Az adatok tárolása a szolgáltatáshoz tartozó adatbázisban történik adminisztrációs, nyomon követési és jelentéskészítési célból.

Az összegyűjtött információk közé tartoznak a következők:

• Hálózati forgalom a tartományvezérlőkre, például Kerberos-hitelesítésre, NTLM-hitelesítésre vagy DNS-lekérdezésekre.
• Biztonsági naplók, például Windows biztonsági események.
• Active Directory-információk, például struktúra, alhálózatok vagy helyek.
• Entitásadatok, például nevek, e-mail-címek és telefonszámok.

A Microsoft ezeket az adatokat a következő célokra használja fel:

• Proaktívan azonosíthatja a szervezeten belüli támadások (IOA-k) mutatóit.
• Riasztások létrehozása, ha lehetséges támadást észleltek.
• A biztonsági műveletek áttekintésével megtekintheti a hálózatról érkező fenyegetésjelekkel kapcsolatos entitásokat, így megvizsgálhatja és felderítheti a biztonsági fenyegetések jelenlétét a hálózaton.

A Microsoft a szolgáltatás nyújtásán kívül semmilyen más célra nem felhasználja az Ön adatait hirdetésekre vagy egyéb célokra.

A Defender for Identity jelenleg legfeljebb 30 különböző címtárszolgáltatásbeli hitelesítő adat hozzáadását támogatja a nem megbízható erdőkkel rendelkező Active Directory-környezetek támogatásához. Ha több fiókra van szüksége, hozzon létre egy támogatási jegyet.

Az Active Directory-forgalom mély csomagvizsgálati technológiával történő elemzése mellett a Defender for Identity összegyűjti a releváns Windows-eseményeket a tartományvezérlőről, és entitásprofilokat hoz létre Active Directory tartományi szolgáltatások információi alapján. A Defender for Identity támogatja a KÜLÖNBÖZŐ szállítók (Microsoft, Cisco, F5 és Checkpoint) VPN-naplóinak RADIUS-elszámolását is.

Nem. Az Identitáshoz készült Defender a hálózat összes eszközét figyeli, amely hitelesítési és engedélyezési kéréseket hajt végre az Active Directoryn, beleértve a nem Windows- és mobileszközöket is.

Igen, Mivel a számítógépfiókok és más entitások rosszindulatú tevékenységek végrehajtására is használhatók, a Defender for Identity figyeli a számítógépfiókok viselkedését és a környezet összes többi entitását.

Az ATA egy különálló helyszíni megoldás több összetevővel, például az ATA-központtal, amely dedikált hardvert igényel a helyszínen.

A Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jeleket használja. A megoldás nagy mértékben skálázható, és gyakran frissül.

Az ATA végleges kiadása általánosan elérhető. Az ATA 2021. január 12-én megszüntette az alapvető technikai támogatást. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információért olvassa el blogunkat.

Az ATA-érzékelővel ellentétben a Defender for Identity-érzékelő olyan adatforrásokat is használ, mint például a Windows esemény-nyomkövetése (ETW), amely lehetővé teszi a Defender for Identity számára, hogy további észleléseket biztosítson.

A Defender for Identity gyakori frissítései a következő funkciókat és képességeket tartalmazzák:

• Többerdős környezetek támogatása: Láthatóságot biztosít a szervezetek számára az AD-erdőkben.

• A Microsoft biztonsági pontszámának állapotértékelései: Azonosítja a gyakori helytelen konfigurációkat és a kihasználható összetevőket, és javítási útvonalakat biztosít a támadási felület csökkentése érdekében.

• Natív integrációk: Integrálható a Microsoft Defender for Cloud Apps és a Microsoft Entra ID Protection szolgáltatással, hogy hibrid képet nyújtson a helyszíni és a hibrid környezetekről.

• Közreműködik a Microsoft Defender XDR: Riasztási és fenyegetési adatokkal járul hozzá a Microsoft Defender XDR. Microsoft Defender XDR a Microsoft 365 biztonsági portfólióját (identitásokat, végpontokat, adatokat és alkalmazásokat) használja a tartományok közötti fenyegetési adatok automatikus elemzéséhez, és teljes képet készít az egyes támadásokról egyetlen irányítópulton.

  Ezzel a részletességgel és mélységgel a defenderek a kritikus fenyegetésekre összpontosíthatnak, és kifinomult incidensekre vadászhatnak. A defenderek bízhatnak abban, hogy Microsoft Defender XDR hatékony automatizálása leállítja a támadásokat bárhol a leölési láncban, és biztonságos állapotba állítja vissza a szervezetet.

A Defender for Identity a Enterprise Mobility + Security 5 csomag (EMS E5) részeként és önálló licencként érhető el. Licencet közvetlenül a Microsoft 365 portálon vagy a felhőszolgáltatói partner (CSP) licencelési modelljén keresztül szerezhet be.

A Defender for Identity licencelési követelményeiről a Defender for Identity licencelési útmutatója nyújt tájékoztatást.

Igen, az adatok hozzáférés-hitelesítéssel és logikai elkülönítéssel lesznek elkülönítve az ügyfél-azonosítók alapján. Minden ügyfél csak a saját szervezetéből gyűjtött adatokat és a Microsoft által biztosított általános adatokat érheti el.

Nem. A Defender for Identity-munkaterület létrehozásakor a rendszer automatikusan a Microsoft Entra bérlő földrajzi helyéhez legközelebb eső Azure régióban tárolja. A Defender for Identity-munkaterület létrehozása után a Defender for Identity adatai nem helyezhetők át egy másik régióba.

A Microsoft-fejlesztők és -rendszergazdák kialakításuk szerint megfelelő jogosultságokkal rendelkeznek a szolgáltatás működtetéséhez és továbbfejlesztéséhez szükséges feladatok elvégzéséhez. A Microsoft megelőző, nyomozó és reaktív vezérlők kombinációját alkalmazza, beleértve a következő mechanizmusokat a jogosulatlan fejlesztői és/vagy adminisztratív tevékenységek elleni védelem érdekében:

• Bizalmas adatok szigorú hozzáférés-vezérlése
• A kártékony tevékenységek független észlelését jelentősen növelő vezérlők kombinációja
• Többszintű monitorozás, naplózás és jelentéskészítés

Emellett a Microsoft háttérellenőrzést végez bizonyos üzemeltetési munkatársakon, és a háttérellenőrzés szintjéhez viszonyított arányban korlátozza az alkalmazásokhoz, rendszerekhez és hálózati infrastruktúrához való hozzáférést. Az üzemeltetési munkatársak hivatalos eljárást követnek, amikor az ügyfél fiókjához vagy a kapcsolódó információkhoz való hozzáférésre van szükségük feladataik ellátása során.

Javasoljuk, hogy mindegyik tartományvezérlőhöz rendelkezzen Defender for Identity-érzékelővel vagy önálló érzékelővel. További információ: A Defender for Identity érzékelőinek méretezése.

Bár a titkosított forgalmat (például AtSvc és WMI) tartalmazó hálózati protokollok nincsenek visszafejtve, az érzékelők továbbra is elemzik a forgalmat.

A Defender for Identity támogatja a Kerberos Armoringot, más néven a rugalmas hitelesítés biztonságos bújtatását (FAST). Ez alól a támogatás alól kivételt képez a kivonat észlelése, amely nem működik a Kerberos-védelemmel.

A Defender for Identity érzékelő a legtöbb virtuális tartományvezérlőre kiterjedhet. További információ: Defender for Identity Capacity Planning (Identitáshoz készült Defender kapacitástervezése).

Ha a Defender for Identity érzékelője nem tud lefedni egy virtuális tartományvezérlőt, használjon inkább egy virtuális vagy fizikai Defender for Identity önálló érzékelőt. További információ: Porttükrözés konfigurálása.

A legegyszerűbb, ha minden gazdagépen rendelkezik egy önálló virtuális Defender for Identity-érzékelővel, ahol virtuális tartományvezérlő található.

Ha a virtuális tartományvezérlők a gazdagépek között mozognak, az alábbi lépések egyikét kell végrehajtania:

• Amikor a virtuális tartományvezérlő átkerül egy másik gazdagépre, konfigurálja előre az identitáshoz készült Defender önálló érzékelőt a gazdagépen, hogy fogadja a forgalmat a nemrég áthelyezett virtuális tartományvezérlőről.

• Győződjön meg arról, hogy társította a virtuális Defender for Identity önálló érzékelőjét a virtuális tartományvezérlővel, hogy áthelyezés esetén a Defender for Identity önálló érzékelője vele együtt mozogjon.

• Vannak olyan virtuális kapcsolók, amelyek képesek forgalmat küldeni a gazdagépek között.

Ahhoz, hogy a tartományvezérlők kommunikálni tudjanak a felhőszolgáltatással, meg kell nyitnia a *.atp.azure.com 443-at a tűzfalon/proxyn. További információ: Proxy vagy tűzfal konfigurálása a Defender for Identity érzékelőivel való kommunikáció engedélyezéséhez.

Igen, a Defender for Identity érzékelővel figyelheti a bármely IaaS-megoldásban található tartományvezérlőket.

A Defender for Identity támogatja a többtartományos környezeteket és több erdőt. További információ és megbízhatósági követelmények: Többerdős támogatás.

Igen, megtekintheti az üzembe helyezés általános állapotát, valamint a konfigurációval, a kapcsolattal stb. kapcsolatos konkrét problémákat. A rendszer riasztást küld, amikor ezek az események a Defender for Identity állapotával kapcsolatos problémák esetén fordulnak elő.

Microsoft Defender for Identity biztonsági értéket biztosít az összes Active Directory-fiókhoz, beleértve azokat is, amelyek nincsenek szinkronizálva a Microsoft Entra ID. A Microsoft Entra ID szinkronizált felhasználói fiókok a licencszint alapján élvezhetik a Microsoft Entra ID által biztosított biztonsági értéket. További részletekért lásd: Identitásleltár.

A Microsoft Defender for Identity csapata azt javasolja, hogy minden ügyfél használja az Npcap illesztőprogramot a WinPcap illesztőprogramok helyett. A Defender for Identity 2.184-es verziójától kezdve a telepítőcsomag a WinPcap 4.1.3 illesztőprogramok helyett az Npcap 1.0 OEM-et telepíti.

A WinPcap már nem támogatott, és mivel már nem fejlesztik, az illesztőprogram már nem optimalizálható a Defender for Identity érzékelőhöz. Emellett, ha a jövőben probléma merül fel a WinPcap illesztőprogrammal kapcsolatban, nincs lehetőség a javításra.

Az Npcap támogatott, míg a WinPcap már nem támogatott termék.

Az MDI-érzékelőhöz az Npcap 1.0-s vagy újabb verziója szükséges. Az érzékelő telepítőcsomagja az 1.0-s verziót telepíti, ha nincs más Npcap-verzió telepítve. Ha az Npcap már telepítve van (más szoftverkövetelmények vagy egyéb ok miatt), fontos, hogy az 1.0-s vagy újabb verziót biztosítsa, és hogy az MDI-hez szükséges beállításokkal lett telepítve.

Igen, A WinPcap illesztőprogramok eltávolításához manuálisan kell eltávolítani az érzékelőt. A legújabb csomag használatával történő újratelepítés telepíti az Npcap-illesztőprogramokat.

Láthatja, hogy az "Npcap OEM" telepítve van a Programok hozzáadása/eltávolítása (appwiz.cpl) segítségével, és ha nyitott állapottal kapcsolatos probléma merült fel, a program automatikusan bezárja azt.

Nem, az Npcap kivételt élvez az öt telepítésre vonatkozó szokásos korlát alól. Korlátlan rendszerekre telepítheti, ahol csak a Defender for Identity érzékelővel használható.

Tekintse meg itt az Npcap licencszerződést, és keressen rá a Microsoft Defender for Identity.

Nem, csak a Microsoft Defender for Identity érzékelő támogatja az Npcap 1.00-s verzióját.

Nem, nem kell megvásárolnia az OEM-verziót. Töltse le az érzékelőtelepítési csomag 2.156-os vagy újabb verzióját a Defender for Identity konzolról, amely tartalmazza az Npcap OEM-verzióját.

• Az Npcap végrehajtható fájlokat a Defender for Identity érzékelő legújabb üzembehelyezési csomagjának letöltésével szerezheti be.

• Ha még nem telepítette az érzékelőt, telepítse az érzékelőt a 2.184-es vagy újabb verzióval.

• Ha már telepítette az érzékelőt a WinPcap használatával, és frissítenie kell az Npcap használatához:

  1. Távolítsa el az érzékelőt. Használja a Programok hozzáadása/eltávolítása parancsot a Windows vezérlőpultjáról (appwiz.cpl), vagy futtassa a következő eltávolítási parancsot: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Szükség esetén távolítsa el a WinPcap eszközt. Ez a lépés csak akkor releváns, ha a WinPcap manuálisan lett telepítve az érzékelő telepítése előtt. Ebben az esetben manuálisan kell eltávolítania a WinPcap-et.

  3. Telepítse újra az érzékelőt a 2.184-es vagy újabb verzióval.

• Ha manuálisan szeretné telepíteni az Npcap-et: Telepítse az Npcap-et a következő beállításokkal:

  • Ha a grafikus felhasználói felület telepítőt használja, törölje a visszacsatolási támogatás lehetőségét, és válassza a WinPcap mód lehetőséget. Győződjön meg arról, hogy az Npcap-illesztőprogram csak rendszergazdákhoz való hozzáférésének korlátozása beállítás nincs bejelölve.
  • Ha a parancssort használja, futtassa a következőt: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Ha manuálisan szeretné frissíteni az Npcap-et:

  1. Állítsa le a Defender for Identity érzékelőszolgáltatásait, az AATPSensorUpdatert és az AATPSensort. Fuss: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Távolítsa el az Npcap elemet a Windows vezérlőpultjának Programok hozzáadása/eltávolítása parancsával (appwiz.cpl).

  3. Telepítse az Npcapet a következő beállításokkal:

     • Ha a grafikus felhasználói felület telepítőt használja, törölje a visszacsatolási támogatás lehetőségét, és válassza a WinPcap mód lehetőséget. Győződjön meg arról, hogy az Npcap-illesztőprogram csak rendszergazdákhoz való hozzáférésének korlátozása beállítás nincs bejelölve.

     • Ha a parancssort használja, futtassa a következőt: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Indítsa el a Defender for Identity érzékelőszolgáltatásait, az AATPSensorUpdatert és az AATPSensort. Fuss: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

A Defender for Identity konfigurálható úgy, hogy syslog-riasztást küldjön bármely SIEM-kiszolgálóra CEF formátumban, állapotproblémák esetén és biztonsági riasztás észlelésekor. További információ: SIEM-naplók referenciája.

A fiókok akkor minősülnek bizalmasnak, ha egy fiók bizalmasként megjelölt csoportok (például "Tartományi rendszergazdák") tagja.

Ha meg szeretné érteni, hogy egy fiók miért bizalmas, tekintse át a csoporttagságát, és ismerje meg, hogy melyik bizalmas csoporthoz tartozik. A csoport, amelyhez tartozik, egy másik csoport miatt is bizalmas lehet, ezért ugyanazt a folyamatot kell végrehajtani, amíg meg nem találja a legmagasabb szintű bizalmas csoportot. Másik megoldásként manuálisan címkézze fel a fiókokat bizalmasként.

Az Identitáshoz készült Defenderben nincs szükség szabályok, küszöbértékek vagy alapkonfigurációk létrehozására, majd a finomhangolásra. A Defender for Identity elemzi a felhasználók, az eszközök és az erőforrások viselkedését, valamint az egymáshoz való viszonyukat, és gyorsan észleli a gyanús tevékenységeket és az ismert támadásokat. Az üzembe helyezés után három héttel a Defender for Identity elkezdi észlelni a viselkedési gyanús tevékenységeket. A Defender for Identity viszont az üzembe helyezés után azonnal észlelni fogja az ismert rosszindulatú támadásokat és biztonsági problémákat.

A Defender for Identity három forgatókönyv egyikében generál forgalmat a tartományvezérlőkről a szervezet számítógépeire:

• Hálózatnév feloldás A Defender for Identity rögzíti a hálózati forgalmat és eseményeket, valamint a felhasználók és a számítógépes tevékenységek tanulását és profilkészítését. Ahhoz, hogy a szervezet számítógépeinek megfelelően tanulhassa és profillal meg tudja adni a tevékenységeket, a Defender for Identitynek számítógépfiókokra kell feloldania az IP-címeket. Ha ip-címeket szeretne feloldani a Defender for Identity érzékelőinek számítógépnevére, kérje le az IP-cím mögötti számítógépnév IP-címét.

  A kérések a következő négy módszer egyikével jönnek létre:

  • NTLM RPC-n keresztül (135-ös TCP-port)
  • NetBIOS (137-ös UDP-port)
  • RDP (3389-ös TCP-port)
  • A DNS-kiszolgáló lekérdezése az IP-cím fordított DNS-keresésével (UDP 53)

  A számítógép nevének lekérése után a Defender for Identity érzékelői ellenőrzik az Active Directory adatait, és ellenőrzik, hogy van-e azonos számítógépnévvel rendelkező korrelált számítógép-objektum. Ha talál egyezést, társítás jön létre az IP-cím és az egyező számítógép-objektum között.

• Oldalirányú mozgásvonal (LMP) A potenciális LMP-k bizalmas felhasználók számára történő létrehozásához az identitáshoz készült Defendernek szüksége van a helyi rendszergazdákra vonatkozó információkra a számítógépeken. Ebben a forgatókönyvben a Defender for Identity érzékelője SAM-R (TCP 445) használatával kérdezi le a hálózati forgalomban azonosított IP-címet a számítógép helyi rendszergazdáinak meghatározásához. További információ a Defender for Identityről és az SAM-R-ről: Sam-R szükséges engedélyek konfigurálása.

• Az Active Directory lekérdezése LDAP használatával entitásadatokhoz A Defender for Identity érzékelői lekérdezik a tartományvezérlőt attól a tartománytól, amelyhez az entitás tartozik. Ez lehet ugyanaz az érzékelő, vagy egy másik tartományvezérlő az adott tartományból.

Protocol (Protokoll)	Szolgáltatás	Port	Source (Forrás)	Irány
LDAP	TCP és UDP	389	Tartományvezérlők	Kimenő
Biztonságos LDAP (LDAPS)	TCP	636	Tartományvezérlők	Kimenő
LDAP–globális katalógus	TCP	3268	Tartományvezérlők	Kimenő
LDAPS–globális katalógus	TCP	3269	Tartományvezérlők	Kimenő

A Defender for Identity számos különböző protokollon keresztül rögzíti a tevékenységeket. Bizonyos esetekben a Defender for Identity nem kapja meg a forrásfelhasználó adatait a forgalomban. Az Identitáshoz készült Defender megpróbálja korrelálni a felhasználó munkamenetét a tevékenységgel, és ha a kísérlet sikeres, megjelenik a tevékenység forrásfelhasználója. Ha a felhasználó korrelációs kísérletei sikertelenek, csak a forrásszámítógép jelenik meg.

A Defender for Identity érzékelője dns-hívást indíthat az "aatp.dns.detection.local" felé, válaszul az MDI által figyelt gépre irányuló bizonyos BEJÖVŐ DNS-tevékenységekre.

A Defender for Identity személyes felhasználói adatai a szervezet Active Directoryjában lévő felhasználó objektumából származnak, és nem frissíthetők közvetlenül a Defender for Identityben.

Személyes adatokat exportálhat a Defender for Identityből ugyanazzal a módszerrel, mint a biztonsági riasztások adatainak exportálása. További információ: Biztonsági riasztások áttekintése.

A Microsoft Defender portál keresősávjában azonosítható személyes adatokat kereshet, például egy adott felhasználót vagy számítógépet. További információ: Objektumok vizsgálata.

A Defender for Identity végrehajtja a személyes adatok módosításainak naplózását, beleértve a személyes adatrekordok törlését és exportálását. A naplók megőrzési ideje 90 nap. A Defender for Identity naplózása egy háttérszolgáltatás, amely nem érhető el az ügyfelek számára.

Miután törölt egy felhasználót a szervezet Active Directoryjából, a Defender for Identity automatikusan törli a felhasználói profilt és a kapcsolódó hálózati tevékenységeket a Defender for Identity általános adatmegőrzési szabályzatával összhangban, kivéve, ha az adatok aktív incidens részei. Javasoljuk, hogy adjon hozzá írásvédett engedélyeket a Törölt objektumok tárolóhoz . További információ: Szükséges DSA-engedélyek megadása.

Tekintse meg a legutóbbi hibát az aktuális hibanaplóban (ahol az Identitáshoz készült Defender telepítve van a "Naplók" mappában).

Kapcsolódó tartalom

• A Defender for Identity kapacitástervezése
• Eseménygyűjtés konfigurálása
• Windows-eseménytovábbítás konfigurálása
• Hibaelhárítás
• Tekintse meg a Defender for Identity fórumot!