Microsoft Defender untuk Identitas tanya jawab umum

Artikel ini menyediakan daftar pertanyaan dan jawaban yang sering diajukan tentang Microsoft Defender untuk Identitas dibagi menjadi kategori berikut:

Apa itu Defender for Identity?

Apa yang dapat dideteksi oleh Defender for Identity?

Defender for Identity mendeteksi serangan dan teknik berbahaya yang diketahui, masalah keamanan, dan risiko terhadap jaringan Anda. Untuk daftar lengkap deteksi Pertahanan untuk Identitas, lihat Pemberitahuan Keamanan Pertahanan untuk Identitas.

Data apa yang dikumpulkan Defender for Identity?

Defender for Identity mengumpulkan dan menyimpan informasi dari server yang dikonfigurasi (pengontrol domain, server anggota, dll.) dalam database khusus untuk layanan untuk tujuan administrasi, pelacakan, dan pelaporan. Informasi yang dikumpulkan mencakup lalu lintas jaringan ke dan dari pengendali domain (seperti autentikasi Kerberos, autentikasi NTLM, kueri DNS), log keamanan (seperti peristiwa keamanan Windows), informasi Direktori Aktif (struktur, subnet, situs), dan informasi entitas (seperti nama, alamat email, dan nomor telepon).

Microsoft menggunakan data ini untuk:

  • Mengidentifikasi indikator serangan (IOA) secara proaktif di organisasi Anda
  • Hasilkan pemberitahuan jika kemungkinan serangan terdeteksi
  • Berikan tampilan kepada operasi keamanan Anda ke entitas yang terkait dengan sinyal ancaman dari jaringan Anda, memungkinkan Anda menyelidiki dan menjelajahi keberadaan ancaman keamanan di jaringan.

Microsoft tidak menambang data Anda untuk iklan atau untuk tujuan lain selain menyediakan layanan kepada Anda.

Berapa banyak kredensial Layanan Direktori yang didukung Defender for Identity?

Defender for Identity saat ini mendukung penambahan hingga 30 kredensial Layanan Direktori yang berbeda untuk mendukung lingkungan Direktori Aktif dengan forest yang tidak tepercaya. Jika Anda memerlukan lebih banyak akun, buka tiket dukungan.

Apakah Defender for Identity hanya memanfaatkan lalu lintas dari Direktori Aktif?

Selain menganalisis lalu lintas Direktori Aktif menggunakan teknologi inspeksi paket mendalam, Defender for Identity juga mengumpulkan Peristiwa Windows yang relevan dari pengendali domain Anda dan membuat profil entitas berdasarkan informasi dari Active Directory Domain Services. Defender for Identity juga mendukung penerimaan akuntansi RADIUS log VPN dari berbagai vendor (Microsoft, Cisco, F5, dan Checkpoint).

Apakah Defender for Identity hanya memantau perangkat yang bergabung dengan domain?

Nomor. Defender for Identity memantau semua perangkat dalam jaringan yang melakukan permintaan autentikasi dan otorisasi terhadap Direktori Aktif, termasuk perangkat non-Windows dan seluler.

Apakah Defender for Identity memantau akun komputer serta akun pengguna?

Ya. Karena akun komputer (serta entitas lain) dapat digunakan untuk melakukan aktivitas berbahaya, Pertahanan untuk Identitas memantau semua perilaku akun komputer dan semua entitas lain di lingkungan.

Apa perbedaan antara Advanced Threat Analytics (ATA) dan Defender for Identity?

ATA adalah solusi lokal mandiri dengan beberapa komponen, seperti Pusat ATA yang memerlukan perangkat keras khusus lokal.

Defender for Identity adalah solusi keamanan berbasis cloud yang memanfaatkan sinyal Active Directory lokal Anda. Solusinya sangat dapat diskalakan dan sering diperbarui.

Rilis akhir ATA umumnya tersedia. ATA mengakhiri Dukungan Mainstream pada 12 Januari 2021. Dukungan yang Diperpanjang akan berlanjut hingga Januari 2026. Untuk informasi lebih lanjut, baca blog kami.

Berbeda dengan sensor ATA, sensor Defender for Identity juga menggunakan sumber data seperti Event Tracing for Windows (ETW) yang memungkinkan Defender for Identity untuk memberikan deteksi tambahan.

Pembaruan defender for Identity yang sering mencakup fitur dan kemampuan berikut:

  • Dukungan untuk lingkungan multi-forest: Memberikan visibilitas organisasi di seluruh forest AD.

  • Penilaian postur Skor Aman Microsoft: Mengidentifikasi kesalahan konfigurasi umum dan komponen yang dapat dieksploitasi, serta, menyediakan jalur remediasi untuk mengurangi permukaan serangan.

  • Kemampuan UEBA: Wawasan tentang risiko pengguna individu melalui penilaian prioritas investigasi pengguna. Skor dapat membantu SecOps dalam penyelidikan mereka dan membantu analis memahami aktivitas yang tidak biasa untuk pengguna dan organisasi.

  • Integrasi asli: Terintegrasi dengan Microsoft Defender for Cloud Apps dan Azure AD Identity Protection untuk memberikan tampilan hibrid tentang apa yang terjadi di lingkungan lokal dan hibrid.

  • Berkontribusi pada Microsoft 365 Defender: Berkontribusi data peringatan dan ancaman untuk Microsoft 365 Defender. Microsoft 365 Defender memanfaatkan portofolio keamanan Microsoft 365 (identitas, titik akhir, data, dan aplikasi) untuk menganalisis data ancaman lintas domain secara otomatis, membangun gambaran lengkap setiap serangan dalam satu dasbor. Dengan luas dan kedalaman kejelasan ini, pertahanan dapat fokus pada ancaman penting dan memburu pelanggaran canggih, mempercayai bahwa otomatisasi Microsoft 365 Defender yang kuat menghentikan serangan di mana saja dalam rantai pembunuhan dan mengembalikan organisasi ke keadaan yang aman.

Lisensi dan privasi

Di mana saya bisa mendapatkan lisensi untuk Microsoft Defender untuk Identitas?

Defender for Identity tersedia sebagai bagian dari enterprise Mobility + Security 5 suite (EMS E5), dan sebagai lisensi mandiri. Anda dapat memperoleh lisensi langsung dari portal Microsoft 365 atau melalui model lisensi Mitra Solusi Cloud (CSP).

Apakah Defender for Identity hanya memerlukan satu lisensi atau memerlukan lisensi untuk setiap pengguna yang ingin saya lindungi?

Untuk informasi tentang persyaratan lisensi Defender for Identity, lihat Panduan lisensi Defender for Identity.

Apakah data saya terisolasi dari data pelanggan lain?

Ya, data Anda diisolasi melalui autentikasi akses dan pemisahan logis berdasarkan pengidentifikasi pelanggan. Setiap pelanggan hanya dapat mengakses data yang dikumpulkan dari organisasi mereka sendiri dan data generik yang disediakan Microsoft.

Apakah saya memiliki fleksibilitas untuk memilih tempat menyimpan data saya?

Nomor. Saat instans Defender for Identity Anda dibuat, instans tersebut disimpan secara otomatis di wilayah Azure yang paling dekat dengan lokasi geografis penyewa Azure Active Directory Anda. Setelah instans Defender for Identity Anda dibuat, data Defender for Identity tidak dapat dipindahkan ke wilayah lain.

Bagaimana Microsoft mencegah aktivitas orang dalam berbahaya dan penyalahgunaan peran hak istimewa tinggi?

Pengembang dan administrator Microsoft, secara desain, diberi hak istimewa yang memadai untuk menjalankan tugas yang ditugaskan untuk mengoperasikan dan mengembangkan layanan. Microsoft menyebarkan kombinasi kontrol pencegahan, detektif, dan reaktif termasuk mekanisme berikut untuk membantu melindungi dari pengembang dan/atau aktivitas administratif yang tidak sah:

  • Kontrol akses ketat ke data sensitif
  • Kombinasi kontrol yang sangat meningkatkan deteksi independen aktivitas berbahaya
  • Beberapa tingkat pemantauan, pengelogan, dan pelaporan

Selain itu, Microsoft melakukan pemeriksaan verifikasi latar belakang pada personel operasi tertentu, dan membatasi akses ke aplikasi, sistem, dan infrastruktur jaringan sebanding dengan tingkat verifikasi latar belakang. Personel operasi mengikuti proses formal ketika mereka diharuskan untuk mengakses akun pelanggan atau informasi terkait dalam pelaksanaan tugas mereka.

Penyebaran

Berapa banyak sensor Defender for Identity yang saya butuhkan?

Setiap pengendali domain di lingkungan harus dicakup oleh sensor Defender for Identity atau sensor mandiri. Untuk informasi selengkapnya, lihat Ukuran sensor Pertahanan untuk Identitas.

Apakah Defender for Identity berfungsi dengan lalu lintas terenkripsi?

Protokol jaringan dengan lalu lintas terenkripsi (misalnya, AtSvc dan WMI) tidak didekripsi, tetapi dianalisis oleh sensor.

Apakah Defender for Identity berfungsi dengan Kerberos Armoring?

Mengaktifkan Kerberos Armoring, juga dikenal sebagai Flexible Authentication Secure Tunneling (FAST), didukung oleh Defender for Identity, dengan pengecualian over-pass deteksi hash, yang tidak berfungsi dengan Kerberos Armoring.

Bagaimana cara memantau pengendali domain virtual menggunakan Defender for Identity?

Sebagian besar pengontrol domain virtual dapat dicakup oleh sensor Pertahanan untuk Identitas, untuk menentukan apakah sensor Pertahanan untuk Identitas sesuai untuk lingkungan Anda, lihat Defender untuk Perencanaan Kapasitas Identitas.

Jika pengendali domain virtual tidak dapat dicakup oleh sensor Defender for Identity, Anda dapat memiliki sensor mandiri Defender for Identity virtual atau fisik seperti yang dijelaskan dalam Mengonfigurasi pencerminan port. Cara termampu adalah dengan memiliki sensor mandiri Defender for Identity virtual pada setiap host tempat pengendali domain virtual berada. Jika pengontrol domain virtual Anda berpindah antar host, Anda perlu melakukan salah satu langkah berikut:

  • Ketika pengendali domain virtual berpindah ke host lain, konfigurasikan sensor mandiri Defender for Identity di host tersebut untuk menerima lalu lintas dari pengontrol domain virtual yang baru saja dipindahkan.
  • Pastikan Anda memafiliasi sensor mandiri Defender for Identity virtual dengan pengontrol domain virtual sehingga jika dipindahkan, sensor mandiri Defender for Identity bergerak bersamanya.
  • Ada beberapa sakelar virtual yang dapat mengirim lalu lintas antar host.

Bagaimana cara mengonfigurasi sensor Defender for Identity untuk berkomunikasi dengan layanan cloud Defender for Identity saat saya memiliki proksi?

Agar pengendali domain Anda berkomunikasi dengan layanan cloud, Anda harus membuka: *.atp.azure.com port 443 di firewall/proksi Anda. Untuk petunjuk tentang cara melakukannya, lihat Mengonfigurasi proksi atau firewall Anda untuk mengaktifkan komunikasi dengan sensor Defender for Identity.

Dapatkah pengontrol domain yang dipantau Defender untuk Identitas divirtualisasi pada solusi IaaS Anda?

Ya, Anda dapat menggunakan sensor Defender for Identity untuk memantau pengontrol domain yang ada di solusi IaaS apa pun.

Bisakah Defender for Identity mendukung multi-domain dan multi-forest?

Defender for Identity mendukung lingkungan multi-domain dan beberapa forest. Untuk informasi selengkapnya dan persyaratan kepercayaan, lihat Dukungan multi-forest.

Dapatkah Anda melihat kesehatan penyebaran secara keseluruhan?

Ya, Anda dapat melihat kesehatan keseluruhan penyebaran serta masalah spesifik yang terkait dengan konfigurasi, konektivitas, dll., dan Anda diberi tahu saat terjadi dengan pemberitahuan kesehatan Defender for Identity.

Driver WinPcap dan Npcap

Rekomendasi apa tentang driver WinPcap dan Npcap yang berubah?

Tim Microsoft Defender untuk Identitas merekomendasikan agar semua pelanggan menggunakan driver Npcap alih-alih driver WinPcap. Dimulai dengan Defender for Identity versi 2.184, paket penginstalan akan menginstal OEM Npcap 1.0 alih-alih driver WinPcap 4.1.3.

Mengapa kita menjauh dari WinPcap?

WinPcap tidak lagi didukung dan karena tidak lagi dikembangkan, driver tidak dapat dioptimalkan lagi untuk sensor Defender for Identity. Selain itu, jika ada masalah di masa depan dengan driver WinPcap, tidak ada opsi untuk perbaikan.

Mengapa Npcap?

Npcap didukung, sementara WinPcap bukan lagi produk yang didukung.

Versi Npcap apa yang didukung?

Versi Npcap yang direkomendasikan dan didukung secara resmi adalah versi 1.0. Anda dapat menginstal versi Npcap yang lebih baru, tetapi perhatikan bahwa untuk pemecahan masalah, dukungan akan meminta Anda untuk menurunkan versi Npcap untuk memvalidasi bahwa masalah tidak terkait dengan versi yang lebih baru yang diinstal.

Saya memiliki lebih dari 5 pengendali domain di organisasi saya. Apakah saya perlu membeli lisensi Npcap jika saya menggunakan Npcap pada pengendali domain ini?

Tidak, Npcap memiliki pengecualian ke batas biasa 5 instalasi. Anda dapat menginstalnya pada sistem tak terbatas di mana hanya digunakan dengan sensor Defender for Identity.

Lihat perjanjian lisensi Npcap di sini, dan cari Microsoft Defender untuk Identitas.

Apakah Npcap juga relevan untuk ATA?

Tidak, hanya sensor Microsoft Defender untuk Identitas yang mendukung Npcap versi 1.00.

Saya ingin membuat skrip penyebaran Npcap, apakah saya perlu membeli versi OEM?

Tidak, Anda tidak perlu membeli versi OEM. Unduh paket penginstalan sensor versi 2.156 ke atas dari konsol Defender for Identity, yang mencakup versi OEM Npcap.

Bagaimana cara mengunduh dan menginstal atau meningkatkan driver Npcap?

  • Anda dapat memperoleh executable Npcap dengan mengunduh paket penyebaran terbaru sensor Defender for Identity.

  • Jika Anda belum menginstal sensor:

    1. Instal sensor (dengan paket penginstalan versi 2.184 atau lebih tinggi).
  • Jika Anda sudah menginstal sensor dengan WinPcap dan perlu memperbarui untuk menggunakan Npcap:

    1. Hapus instalan sensor.
      • Baik menggunakan program Tambah/Hapus di panel kontrol (appwiz.cpl), atau dengan menjalankan perintah hapus instalan berikut:
        ".\Azure ATP Sensor Setup.exe" /uninstall /quiet
    2. Hapus instalan WinPcap.
      • Catatan: Ini hanya berlaku jika WinPcap diinstal secara manual sebelum penginstalan sensor. Dalam hal ini Anda harus menghapus WinPcap secara manual.
    3. Instal ulang sensor (dengan paket penginstalan versi 2.184 atau lebih tinggi).
  • Jika Anda ingin menginstal Npcap secara manual:

    1. Instal Npcap dengan opsi berikut:
    • Jika menggunakan alat penginstal GUI, batalkan pilihan dukungan loopback dan pilih mode WinPcap . Pastikan opsi Batasi akses driver Npcap hanya ke Administrator tidak dipilih.
    • Jika menggunakan baris perintah: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  • Jika Anda ingin meningkatkan Npcap secara manual:

    1. Hentikan layanan sensor Defender for Identity (AATPSensorUpdater dan AATPSensor)
      Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
    2. Hapus Npcap menggunakan Tambahkan/Hapus program di panel kontrol (appwiz.cpl)
    3. Instal Npcap dengan opsi berikut:
      • Jika menggunakan alat penginstal GUI, batalkan pilihan dukungan loopback dan pilih mode WinPcap . Pastikan opsi Batasi akses driver Npcap hanya ke Administrator tidak dipilih.
      • Jika menggunakan baris perintah: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
    4. Mulai layanan sensor Defender for Identity (AATPSensorUpdater dan AATPSensor)
      Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Operasi

Integrasi seperti apa yang dimiliki Defender for Identity dengan SIEM?

Defender for Identity dapat dikonfigurasi untuk mengirim pemberitahuan Syslog, ke server SIEM apa pun menggunakan format CEF, untuk pemberitahuan kesehatan dan kapan pemberitahuan keamanan terdeteksi. Lihat referensi log SIEM untuk informasi selengkapnya .

Mengapa akun tertentu dianggap sensitif?

Ini terjadi ketika akun adalah anggota grup yang ditetapkan sebagai sensitif (misalnya: "Admin Domain").

Untuk memahami mengapa akun sensitif, Anda dapat meninjau keanggotaan grupnya untuk memahami grup sensitif mana yang dimilikinya (grup miliknya juga dapat sensitif karena grup lain, sehingga proses yang sama harus dilakukan sampai Anda menemukan grup sensitif tingkat tertinggi). Anda juga dapat menandai akun secara manual sebagai sensitif.

Apakah Anda harus menulis aturan Anda sendiri dan membuat ambang/garis besar?

Dengan Defender for Identity, Anda tidak perlu membuat aturan, ambang batas, atau garis besar lalu menyempurnakan. Defender for Identity menganalisis perilaku di antara pengguna, perangkat, dan sumber daya, serta hubungan mereka satu sama lain, dan dapat mendeteksi aktivitas mencurigakan dan serangan yang diketahui dengan cepat. Tiga minggu setelah penyebaran, Defender for Identity mulai mendeteksi aktivitas mencurigakan perilaku. Di sisi lain, Defender for Identity akan mulai mendeteksi serangan berbahaya yang diketahui dan masalah keamanan segera setelah penyebaran.

Lalu lintas mana yang dihasilkan Defender for Identity di jaringan dari pengendali domain, dan mengapa?

Defender for Identity menghasilkan lalu lintas dari pengendali domain ke komputer dalam organisasi dalam salah satu dari tiga skenario:

  1. Resolusi Nama Jaringan Defender for Identity menangkap lalu lintas dan peristiwa, pembelajaran dan pembuatan profil pengguna dan aktivitas komputer di jaringan. Untuk mempelajari dan memprofilkan aktivitas sesuai dengan komputer di organisasi, Defender for Identity perlu menyelesaikan IP ke akun komputer. Untuk mengatasi IP ke nama komputer, sensor Defender for Identity meminta alamat IP untuk nama komputer di belakang alamat IP.

    Permintaan dibuat menggunakan salah satu dari empat metode:

    • NTLM melalui RPC (Port TCP 135)
    • NetBIOS (port UDP 137)
    • RDP (port TCP 3389)
    • Mengkueri server DNS menggunakan pencarian reverse DNS alamat IP (UDP 53)

    Setelah mendapatkan nama komputer, sensor Defender for Identity memeriksa silang detail di Direktori Aktif untuk melihat apakah ada objek komputer yang berkorelasi dengan nama komputer yang sama. Jika kecocokan ditemukan, asosiasi dibuat antara alamat IP dan objek komputer yang cocok.

  2. Jalur Gerakan Lateral (LMP) Untuk membangun LMP potensial ke pengguna sensitif, Defender for Identity memerlukan informasi tentang administrator lokal di komputer. Dalam skenario ini, sensor Defender for Identity menggunakan SAM-R (TCP 445) untuk mengkueri alamat IP yang diidentifikasi dalam lalu lintas jaringan, untuk menentukan administrator lokal komputer. Untuk mempelajari selengkapnya tentang Defender for Identity dan SAM-R, lihat Mengonfigurasi izin yang diperlukan SAM-R.

  3. Mengkueri Direktori Aktif menggunakan LDAP untuk data entitas Sensor Pertahanan untuk Identitas mengkueri pengendali domain dari domain tempat entitas berada. Ini bisa berupa sensor yang sama, atau pengontrol domain lain dari domain tersebut.

Protokol Layanan Port Sumber Arah
LDAP TCP dan UDP 389 Pengendali domain Keluar
LDAP Aman (LDAPS) TCP 636 Pengendali domain Keluar
LDAP ke Katalog Global TCP 3268 Pengendali domain Keluar
LDAPS ke Katalog Global TCP 3269 Pengendali domain Keluar

Mengapa aktivitas tidak selalu menampilkan pengguna sumber dan komputer?

Defender for Identity menangkap aktivitas melalui banyak protokol yang berbeda. Dalam beberapa kasus, Defender for Identity tidak menerima data pengguna sumber dalam lalu lintas. Defender for Identity mencoba menghubungkan sesi pengguna dengan aktivitas, dan ketika upaya berhasil, pengguna sumber aktivitas ditampilkan. Ketika upaya korelasi pengguna gagal, hanya komputer sumber yang ditampilkan.

Pemecahan Masalah

Apa yang harus saya lakukan jika sensor Defender for Identity atau sensor mandiri tidak dimulai?

Lihat kesalahan terbaru dalam log kesalahan saat ini (Di mana Pertahanan untuk Identitas diinstal di bawah folder "Log").