Ez a cikk a Microsoft Defender for Identity szolgáltatással kapcsolatos gyakori kérdések és válaszok listáját tartalmazza az alábbi kategóriákba osztva:
Mi az a Defender for Identity?
Mit észlel a Defender for Identity?
A Defender for Identity észleli az ismert rosszindulatú támadásokat és technikákat, a biztonsági problémákat és a hálózatra vonatkozó kockázatokat. Az identitásészlelésekhez készült Defender teljes listáját lásd : Defender for Identity Security Alerts.
Milyen adatokat gyűjt a Defender for Identity?
A Defender for Identity adatokat gyűjt és tárol a konfigurált kiszolgálókról, például tartományvezérlőkről, tagkiszolgálókról stb. Az adatokat a szolgáltatáshoz tartozó adatbázisban tárolják adminisztrációs, nyomkövetési és jelentéskészítési célokra.
Az összegyűjtött információk a következők:
- Hálózati forgalom a tartományvezérlők felé és onnan, például Kerberos-hitelesítés, NTLM-hitelesítés vagy DNS-lekérdezések.
- Biztonsági naplók, például Windows biztonsági események.
- Active Directory-információk, például struktúra, alhálózatok vagy helyek.
- Entitásadatok, például nevek, e-mail-címek és telefonszámok.
A Microsoft ezeket az adatokat a következő célokra használja:
- Proaktívan azonosítja a szervezet támadási mutatóit.
- Riasztások létrehozása, ha lehetséges támadást észleltek.
- A biztonsági műveletek áttekintésével megtekintheti a hálózat fenyegetésjeleivel kapcsolatos entitásokat, így megvizsgálhatja és felderítheti a hálózati biztonsági fenyegetések jelenlétét.
A Microsoft nem ad ki adatokat reklámozásra vagy más célra, csak a szolgáltatás nyújtására.
Hány Címtárszolgáltatás hitelesítő adatait támogatja a Defender for Identity?
A Defender for Identity jelenleg legfeljebb 30 különböző címtárszolgáltatás hitelesítő adatainak hozzáadását támogatja a nem megbízható erdőkkel rendelkező Active Directory-környezetek támogatásához. Ha több fiókra van szüksége, nyisson meg egy támogatási jegyet.
A Defender for Identity csak az Active Directoryból érkező forgalmat használja?
Az Active Directory-forgalom mély csomagvizsgálati technológiával történő elemzése mellett a Defender for Identity összegyűjti a releváns Windows-eseményeket a tartományvezérlőről, és entitásprofilokat hoz létre Active Directory tartományi szolgáltatások információi alapján. A Defender for Identity emellett támogatja a VPN-naplók RADIUS-nyilvántartásának fogadását különböző gyártóktól (Microsoft, Cisco, F5 és Checkpoint).
A Defender for Identity csak a tartományhoz csatlakoztatott eszközöket figyeli?
Szám A Defender for Identity figyeli a hálózat összes eszközét, amely hitelesítési és engedélyezési kéréseket hajt végre az Active Directoryn, beleértve a nem Windows- és mobileszközöket is.
Figyeli a Defender for Identity a számítógépfiókokat és a felhasználói fiókokat?
Igen. Mivel a számítógépfiókok és más entitások rosszindulatú tevékenységek végrehajtására használhatók, a Defender for Identity figyeli a számítógépfiókok viselkedését és a környezet összes többi entitását.
Mi a különbség az Advanced Threat Analytics (ATA) és a Defender for Identity között?
Az ATA egy különálló helyszíni megoldás több összetevővel, például a dedikált helyszíni hardvert igénylő ATA-központtal.
A Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jeleket használja. A megoldás nagy mértékben méretezhető, és gyakran frissül.
Az ATA végleges kiadása általánosan elérhető. Az ATA 2021. január 12-én megszüntette az általános támogatást. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információkért olvassa el blogunkat.
Az ATA-érzékelővel ellentétben a Defender for Identity-érzékelő olyan adatforrásokat is használ, mint például a Windows eseménykövetése (ETW), amely lehetővé teszi a Defender for Identity számára, hogy további észleléseket biztosítson.
A Defender for Identity gyakori frissítései a következő funkciókat és képességeket tartalmazzák:
Többerdős környezetek támogatása: A szervezetek számára láthatóságot biztosít az AD-erdőkben.
Microsoft Secure Score-helyzetértékelések: Azonosítja a gyakori helytelen konfigurációkat és a kihasználható összetevőket, és szervizelési útvonalakat biztosít a támadási felület csökkentéséhez.
UEBA-képességek: Elemzések az egyes felhasználói kockázatokról a felhasználói vizsgálat prioritási pontozásán keresztül. A pontszám segíthet a SecOpsnak a vizsgálatokban, és segíthet az elemzőknek megérteni a felhasználó és a szervezet szokatlan tevékenységeit.
Natív integrációk: Integrálható a Felhőhöz készült Microsoft Defender Apps és az Azure AD Identity Protection szolgáltatással, hogy hibrid képet nyújtson a helyszíni és a hibrid környezetekben zajló eseményekről.
Hozzájárul a Microsoft Defender XDR-hez: Riasztási és fenyegetési adatokat ad hozzá a Microsoft Defender XDR-hez. A Microsoft Defender XDR a Microsoft 365 biztonsági portfolióját (identitásokat, végpontokat, adatokat és alkalmazásokat) használja a tartományok közötti veszélyforrások adatainak automatikus elemzéséhez, és teljes képet készít az egyes támadásokról egyetlen irányítópulton.
Ezzel a szélességével és mélységével a defenderek a kritikus fenyegetésekre összpontosíthatnak, és kifinomult incidensekre vadászhatnak. A Defenderek megbízhatnak abban, hogy a Microsoft Defender XDR hatékony automatizálása leállítja a támadásokat bárhol a gyilkossági láncban, és biztonságos állapotba állítja vissza a szervezetet.
Licencelés és adatvédelem
Hol szerezhetem be a Microsoft Defender for Identity licencét?
A Defender for Identity az Enterprise Mobility + Security 5 csomag (EMS E5) részeként és önálló licencként érhető el. Licencet közvetlenül a Microsoft 365 portálról vagy a felhőmegoldás-partner (CSP) licencmodellből szerezhet be.
A Defender for Identity-nek csak egyetlen licencre van szüksége, vagy licencre van szüksége minden védeni kívánt felhasználóhoz?
A Defender for Identity licencelési követelményeiről a Defender for Identity licencelési útmutatója nyújt tájékoztatást.
Az adataim el vannak különítve más ügyféladatoktól?
Igen, az adatok hozzáférés-hitelesítéssel és logikai elkülönítéssel lesznek elkülönítve az ügyfélazonosítók alapján. Minden ügyfél csak a saját szervezetéből gyűjtött adatokat és a Microsoft által biztosított általános adatokat érheti el.
Rugalmasan választhatom ki az adataim tárolásának helyét?
Szám A Defender for Identity-munkaterület létrehozásakor a rendszer automatikusan a Microsoft Entra-bérlő földrajzi helyéhez legközelebbi Azure-régióban tárolja. Miután létrehozta a Defender for Identity-munkaterületet, a Defender for Identity adatai nem helyezhetők át másik régióba.
Hogyan akadályozza meg a Microsoft a rosszindulatú bennfentes tevékenységeket és a magas jogosultsági szintű szerepkörök visszaélését?
A Microsoft fejlesztői és rendszergazdái a kialakításuknak megfelelően megfelelő jogosultságokkal rendelkeznek a szolgáltatás működtetéséhez és továbbfejlesztéséhez rendelt feladataik elvégzéséhez. A Microsoft megelőző, nyomozó és reaktív vezérlők kombinációját helyezi üzembe, beleértve az alábbi mechanizmusokat a jogosulatlan fejlesztő és/vagy rendszergazdai tevékenység elleni védelem érdekében:
- Szigorú hozzáférés-vezérlés bizalmas adatokhoz
- Olyan vezérlők kombinációi, amelyek jelentősen növelik a rosszindulatú tevékenységek független észlelését
- Több szintű monitorozás, naplózás és jelentéskészítés
Emellett a Microsoft háttérellenőrzési ellenőrzéseket végez bizonyos üzemeltetési személyzeten, és a háttérellenőrzés szintjének arányában korlátozza az alkalmazásokhoz, rendszerekhez és hálózati infrastruktúrához való hozzáférést. Az operatív személyzet hivatalos eljárást követ, amikor az ügyfél fiókjához vagy a kapcsolódó információkhoz való hozzáférésre van szükség feladataik ellátása során.
Telepítés
Hány Defender identitásérzékelőre van szükségem?
Javasoljuk, hogy mindegyik tartományvezérlőhöz rendelkezzen Defender for Identity-érzékelővel vagy önálló érzékelővel. További információ: Defender for Identity sensor méretezése.
Működik a Defender for Identity titkosított forgalommal?
Bár a titkosított forgalmat (például AtSvc és WMI) tartalmazó hálózati protokollok visszafejtése nem történik meg, az érzékelők továbbra is elemzik a forgalmat.
Működik a Defender for Identity a Kerberos Armoring szolgáltatással?
A Defender for Identity támogatja a Kerberos Armoringot, más néven a rugalmas hitelesítés biztonságos bújtatását (FAST). Ez alól a támogatás alól kivételt képez a kivonatészlelés túllépése, amely nem működik a Kerberos Armoring szolgáltatással.
Hogyan monitorozni egy virtuális tartományvezérlőt a Defender for Identity használatával?
A Defender for Identity érzékelő a legtöbb virtuális tartományvezérlőt lefedi. További információ: Defender for Identity Capacity Planning.
Ha a Defender for Identity érzékelő nem tud lefedni egy virtuális tartományvezérlőt, használjon inkább egy virtuális vagy fizikai Defender for Identity különálló érzékelőt. További információ: Porttükrözés konfigurálása.
A legegyszerűbb megoldás, ha minden gazdagépen rendelkezik önálló virtuális Defender for Identity érzékelővel, ahol virtuális tartományvezérlő létezik.
Ha a virtuális tartományvezérlők a gazdagépek között mozognak, az alábbi lépések egyikét kell elvégeznie:
Amikor a virtuális tartományvezérlő egy másik gazdagépre kerül, konfigurálja előre a Defender for Identity önálló érzékelőt a gazdagépen, hogy megkapja a forgalmat a nemrég áthelyezett virtuális tartományvezérlőről.
Győződjön meg arról, hogy a virtuális Defender for Identity különálló érzékelőt a virtuális tartományvezérlőhöz kapcsolta, hogy áthelyezés esetén a Defender for Identity önálló érzékelője vele együtt mozogjon.
Vannak olyan virtuális kapcsolók, amelyek képesek forgalmat küldeni a gazdagépek között.
Hogyan konfigurálja a Defender for Identity érzékelőket a Defender for Identity felhőszolgáltatással való kommunikációra, ha proxyval rendelkezem?
Ahhoz, hogy a tartományvezérlők kommunikálhassanak a felhőszolgáltatással, meg kell nyitnia a következőt: *.atp.azure.com 443-as port a tűzfalon/proxyn. További információ: Proxy vagy tűzfal konfigurálása a Defender for Identity érzékelőivel való kommunikáció engedélyezéséhez.
Virtualizálható a Defender for Identity által figyelt tartományvezérlők az IaaS-megoldáson?
Igen, a Defender for Identity érzékelővel figyelheti a bármely IaaS-megoldásban található tartományvezérlőket.
Támogatja a Defender for Identity a többtartományos és a többerdős környezeteket?
A Defender for Identity támogatja a többtartományos környezeteket és több erdőt. További információ és megbízhatósági követelmények: Többerdős támogatás.
Látja az üzembe helyezés általános állapotát?
Igen, megtekintheti az üzembe helyezés általános állapotát, valamint a konfigurációval, a kapcsolattal stb. kapcsolatos konkrét problémákat. A rendszer riasztást kap, mivel ezek az események a Defender for Identity állapotával kapcsolatos problémák esetén fordulnak elő.
A Microsoft Defender for Identity megköveteli a felhasználók Microsoft Entra-azonosítóval való szinkronizálását?
A Microsoft Defender for Identity biztonsági értéket biztosít az összes Active Directory-fiókhoz, beleértve azokat is, amelyek nincsenek szinkronizálva a Microsoft Entra-azonosítóval. A Microsoft Entra-azonosítóval szinkronizált felhasználói fiókok a Microsoft Entra ID által biztosított biztonsági érték (a licencszint alapján) és a vizsgálati prioritási pontozás előnyeit is élvezhetik.
WinPcap és Npcap illesztőprogramok
Milyen javaslatok változnak a WinPcap és az Npcap illesztőprogramokkal kapcsolatban?
A Microsoft Defender for Identity csapata azt javasolja, hogy minden ügyfél használja az Npcap illesztőprogramot a WinPcap illesztőprogramok helyett. A Defender for Identity 2.184-es verziójától kezdve a telepítőcsomag az Npcap 1.0 OEM-et telepíti a WinPcap 4.1.3-illesztők helyett.
Miért távolodunk el a WinPcaptől?
A WinPcap már nem támogatott, és mivel már nem fejlesztik, az illesztőprogram nem optimalizálható többé a Defender for Identity érzékelőhöz. Emellett, ha a WinPcap-illesztővel kapcsolatban a jövőben probléma merül fel, nincs lehetőség a javításra.
Miért az Npcap?
Az Npcap támogatott, míg a WinPcap már nem támogatott termék.
Az Npcap melyik verziója támogatott?
Az MDI-érzékelőhöz Npcap 1.0 vagy újabb verzió szükséges. Az érzékelő telepítőcsomagja az 1.0-s verziót telepíti, ha nincs más Npcap-verzió telepítve. Ha már telepítve van az Npcap (más szoftverkövetelmények vagy egyéb ok miatt), fontos, hogy az 1.0-s vagy újabb verzió legyen telepítve, és hogy az MDI-hez szükséges beállításokkal legyen telepítve.
Manuálisan kell eltávolítani és újratelepíteni az érzékelőt, vagy az automatikus frissítési szolgáltatás kezeli ezt a normál frissítés részeként?
Igen. A WinPcap illesztőprogramok eltávolításához manuálisan kell eltávolítani az érzékelőt. A legújabb csomag használatával végzett újratelepítés telepíti az Npcap illesztőprogramokat.
Hogyan ellenőrizhetim, hogy a Defender for Identity jelenlegi telepítése Npcap vagy WinPcap protokollt használ-e?
Láthatja, hogy az "Npcap OEM" telepítése a Programok hozzáadása/eltávolítása (appwiz.cpl) segítségével történik, és ha nyílt állapotú probléma lépett fel, a program automatikusan bezárja azt.
Több mint öt tartományvezérlő van a szervezetemben. Npcap-licencet kell vásárolnom, ha ezeken a tartományvezérlőkön Npcap-t használok?
Nem, az Npcap kivételt élvez az öt telepítésre vonatkozó szokásos korlát alól. Korlátlan rendszerekre telepítheti, ahol csak a Defender for Identity érzékelővel használható.
Itt találja az Npcap licencszerződést, és keresse meg a Microsoft Defender for Identity szolgáltatást.
Az Npcap az ATA-hoz is releváns?
Nem, csak a Microsoft Defender for Identity érzékelő támogatja az Npcap 1.00-s verzióját.
Az Npcap üzembe helyezését szeretném szkriptként használni, meg kell vásárolnom az OEM-verziót?
Nem, nem kell megvásárolnia az OEM-verziót. Töltse le az érzékelő telepítési csomagjának 2.156-os vagy újabb verzióját a Defender for Identity konzolról, amely tartalmazza az Npcap OEM-verzióját.
Hogyan töltse le és telepítse vagy frissítse az Npcap-illesztőprogramot?
Az Npcap-végrehajtható fájlokat a Defender for Identity érzékelő legújabb üzembehelyezési csomagjának letöltésével szerezheti be.
Ha még nem telepítette az érzékelőt, telepítse az érzékelőt a 2.184-es vagy újabb verzióval.
Ha már telepítette az érzékelőt a WinPcap használatával, és frissítenie kell az Npcap használatához:
Távolítsa el az érzékelőt. Használja a Programok hozzáadása/eltávolítása a Windows vezérlőpultjáról (appwiz.cpl) vagy futtassa a következő eltávolítási parancsot:
".\Azure ATP Sensor Setup.exe" /uninstall /quiet
Szükség esetén távolítsa el a WinPcap eszközt. Ez a lépés csak akkor releváns, ha a WinPcap manuálisan lett telepítve az érzékelő telepítése előtt. Ebben az esetben manuálisan kell eltávolítania a WinPcap-et.
Telepítse újra az érzékelőt a 2.184-es vagy újabb verzióval.
Ha manuálisan szeretné telepíteni az Npcap-t: Telepítse az Npcap-t a következő beállításokkal:
- Ha a GUI-telepítőt használja, törölje a visszacsatolás támogatási lehetőségét, és válassza a WinPcap módot. Győződjön meg arról, hogy az Npcap-illesztőprogram csak rendszergazdákhoz való hozzáférésének korlátozása beállítás nincs bejelölve.
- Ha a parancssort használja, futtassa a következőt:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Ha manuálisan szeretné frissíteni az Npcap-t:
Állítsa le a Defender for Identity érzékelőszolgáltatásait, az AATPSensorUpdatert és az AATPSensort. Futtassa a következőt:
Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
Az Npcap eltávolítása a Windows vezérlőpultjának Programok hozzáadása/eltávolítása funkciójával (appwiz.cpl).
Telepítse az Npcap-t a következő beállításokkal:
Ha a GUI-telepítőt használja, törölje a visszacsatolás támogatási lehetőségét, és válassza a WinPcap módot. Győződjön meg arról, hogy az Npcap-illesztőprogram csak rendszergazdákhoz való hozzáférésének korlátozása beállítás nincs bejelölve.
Ha a parancssort használja, futtassa a következőt:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Indítsa el a Defender for Identity sensor servicest, az AATPSensorUpdatert és az AATPSensort. Futtassa a következőt:
Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor
Művelet
Milyen integrációval rendelkezik a Defender for Identity az SIEM-ekkel?
A Defender for Identity konfigurálható úgy, hogy syslog-riasztást küldjön bármely CEF formátumú SIEM-kiszolgálóra, állapotproblémák esetén és biztonsági riasztás észlelésekor. További információkért tekintse meg a SIEM-napló referenciáját.
Miért tekinthetők bizalmasnak bizonyos fiókok?
A fiókok akkor minősülnek bizalmasnak, ha egy fiók bizalmasként megjelölt csoportok tagja (például: "Tartományi rendszergazdák").
Annak megértéséhez, hogy egy fiók miért érzékeny, áttekintheti a csoporttagságát, és megtudhatja, hogy melyik bizalmas csoporthoz tartozik. A csoport, amelyhez tartozik, egy másik csoport miatt is bizalmas lehet, ezért ugyanazt a folyamatot kell végrehajtani, amíg meg nem találja a legmagasabb szintű bizalmas csoportot. Másik megoldásként manuálisan címkézze fel a fiókokat bizalmasként.
Meg kell írnia a saját szabályait, és létre kell hoznia egy küszöbértéket/alapkonfigurációt?
A Defender for Identity esetében nincs szükség szabályok, küszöbértékek vagy alapkonfigurációk létrehozására, majd finomhangolására. A Defender for Identity elemzi a felhasználók, eszközök és erőforrások viselkedését, valamint az egymáshoz való viszonyukat, és gyorsan észleli a gyanús tevékenységeket és az ismert támadásokat. Az üzembe helyezés után három héttel a Defender for Identity észlelni kezdi a viselkedésgyanús tevékenységeket. A Defender for Identity azonban közvetlenül az üzembe helyezés után megkezdi az ismert rosszindulatú támadások és biztonsági problémák észlelését.
Milyen forgalmat generál a Defender for Identity a hálózaton a tartományvezérlőktől, és miért?
A Defender for Identity a következő három forgatókönyv egyikében generál forgalmat a tartományvezérlőkről a szervezet számítógépeire:
A Network Name Resolution Defender for Identity rögzíti a forgalmat és eseményeket, a felhasználók és a számítógépes tevékenységek tanulását és profilozását a hálózaton. Ahhoz, hogy a szervezet számítógépeinek megfelelően tanulhassa és profilozza a tevékenységeket, a Defender for Identity-nek fel kell oldania az IP-címeket a számítógépfiókokra. Az IP-címeknek a Defender for Identity-érzékelők számítógépnevekre való feloldásához kérje le az IP-cím mögötti számítógépnév IP-címét.
A kérelmek a következő négy módszer egyikével kérhetőek:
- NTLM RPC-n keresztül (135-ös TCP-port)
- NetBIOS (UDP-port 137)
- RDP (3389-ös TCP-port)
- A DNS-kiszolgáló lekérdezése az IP-cím fordított DNS-keresésével (UDP 53)
A számítógépnév lekérése után a Defender for Identity érzékelői keresztellenőrzéssel ellenőrzik az Active Directory adatait, hogy van-e azonos számítógépnévvel rendelkező korrelált számítógépobjektum. Ha talál egyezést, társítás jön létre az IP-cím és a megfeleltethető számítógép-objektum között.
Oldalirányú mozgási útvonal (LMP) A potenciális LMP-k bizalmas felhasználók számára történő létrehozásához a Defender for Identity a számítógépek helyi rendszergazdáira vonatkozó információkat igényel. Ebben a forgatókönyvben a Defender for Identity-érzékelő SAM-R (TCP 445) használatával kérdezi le a hálózati forgalomban azonosított IP-címet a számítógép helyi rendszergazdáinak meghatározásához. A Defender for Identity és a SAM-R szolgáltatással kapcsolatos további információkért lásd az SAM-R szükséges engedélyeinek konfigurálását ismertető témakört.
Az Active Directory lekérdezése LDAP használatával az entity data Defender for Identity-érzékelőkhöz lekérdezi a tartományvezérlőt attól a tartománytól, amelyhez az entitás tartozik. Lehet ugyanaz az érzékelő, vagy egy másik tartományvezérlő az adott tartományból.
Protokoll | Szolgáltatás | Kikötő | Forrás | Irány |
---|---|---|---|---|
LDAP | TCP és UDP | 389 | Tartományvezérlők | Kimenő |
Biztonságos LDAP (LDAPS) | TCP | 636 | Tartományvezérlők | Kimenő |
LDAP–globális katalógus | TCP | 3268 | Tartományvezérlők | Kimenő |
LDAPS–globális katalógus | TCP | 3269 | Tartományvezérlők | Kimenő |
Miért nem jelennek meg mindig a tevékenységek a forrásfelhasználó és a számítógép között?
A Defender for Identity számos különböző protokollon keresztül rögzíti a tevékenységeket. Bizonyos esetekben a Defender for Identity nem kapja meg a forrásfelhasználó adatait a forgalomban. A Defender for Identity megpróbálja korrelálni a felhasználó munkamenetét a tevékenységhez, és ha a kísérlet sikeres, megjelenik a tevékenység forrásfelhasználója. Ha a felhasználó korrelációs kísérletei sikertelenek, csak a forrásszámítógép jelenik meg.
Személyes adatok kezelése
Frissíthetők a személyes felhasználói adatok a Defender for Identity szolgáltatásban?
A Defender for Identity személyes felhasználói adatai a szervezet Active Directoryjában lévő felhasználó objektumából származnak, és nem frissíthetők közvetlenül a Defender for Identity szolgáltatásban.
Hogyan exportálhatok személyes adatokat a Defender for Identityből?
Személyes adatokat exportálhat a Defender for Identity szolgáltatásból ugyanazzal a módszerrel, mint a biztonsági riasztások adatainak exportálása. További információ: Biztonsági riasztások áttekintése.
Hogyan kereshetem meg a Defender for Identityben tárolt személyes adatokat?
A Microsoft Defender portál keresősávjának használatával azonosítható személyes adatokat kereshet, például egy adott felhasználót vagy számítógépet. További információ: Objektumok vizsgálata.
Milyen naplózást végez a Defender for Identity a személyes adatokon?
A Defender for Identity végrehajtja a személyes adatok változásainak naplózását, beleértve a személyes adatrekordok törlését és exportálását. A naplók megőrzési ideje 90 nap. A Defender for Identity naplózása egy háttérszolgáltatás, amely nem érhető el az ügyfelek számára.
Mi történik a Defender for Identity szolgáltatásban, ha egy felhasználó törlődik a szervezet Active Directoryjából?
Miután törölt egy felhasználót a szervezet Active Directoryjából, a Defender for Identity automatikusan törli a felhasználói profilt és a kapcsolódó hálózati tevékenységeket a Defender for Identity általános adatmegőrzési szabályzatával összhangban, kivéve, ha az adatok aktív incidens részei. Javasoljuk, hogy csak olvasási engedélyeket adjon hozzá a Törölt objektumok tárolóhoz. További információ: A szükséges DSA-engedélyek megadása.