Microsoft Defender untuk Identitas pertanyaan yang sering diajukan

Defender for Identity mendeteksi serangan dan teknik berbahaya yang diketahui, masalah keamanan, dan risiko terhadap jaringan Anda. Untuk daftar lengkap Deteksi Pertahanan untuk Identitas, lihat Pemberitahuan Keamanan Pertahanan untuk Identitas.

Defender for Identity mengumpulkan dan menyimpan informasi dari server yang dikonfigurasi, seperti pengendali domain, server anggota, dan sebagainya. Data disimpan dalam database khusus untuk layanan untuk tujuan administrasi, pelacakan, dan pelaporan.

Informasi yang dikumpulkan meliputi:

• Lalu lintas jaringan ke dan dari pengendali domain, seperti autentikasi Kerberos, autentikasi NTLM, atau kueri DNS.
• Log keamanan, seperti peristiwa keamanan Windows.
• Informasi Direktori Aktif, seperti struktur, subnet, atau situs.
• Informasi entitas, seperti nama, alamat email, dan nomor telepon.

Microsoft menggunakan data ini untuk:

• Mengidentifikasi indikator serangan (IOA) secara proaktif di organisasi Anda.
• Buat pemberitahuan jika kemungkinan serangan terdeteksi.
• Berikan operasi keamanan Anda dengan tampilan ke entitas yang terkait dengan sinyal ancaman dari jaringan Anda, memungkinkan Anda untuk menyelidiki dan menjelajahi keberadaan ancaman keamanan di jaringan.

Microsoft tidak menambang data Anda untuk iklan atau untuk tujuan lain selain memberi Anda layanan.

Defender for Identity saat ini mendukung penambahan hingga 30 kredensial Layanan Direktori yang berbeda untuk mendukung lingkungan Direktori Aktif dengan forest yang tidak tepercaya. Jika Anda memerlukan lebih banyak akun, buka tiket dukungan.

Selain menganalisis lalu lintas Direktori Aktif menggunakan teknologi inspeksi paket mendalam, Defender for Identity juga mengumpulkan Peristiwa Windows yang relevan dari pengendali domain Anda dan membuat profil entitas berdasarkan informasi dari Active Directory Domain Services. Defender for Identity juga mendukung penerimaan akuntansi RADIUS log VPN dari berbagai vendor (Microsoft, Cisco, F5, dan Checkpoint).

Tidak. Defender for Identity memantau semua perangkat dalam jaringan yang melakukan permintaan autentikasi dan otorisasi terhadap Direktori Aktif, termasuk perangkat non-Windows dan seluler.

Ya. Karena akun komputer, dan entitas lainnya, dapat digunakan untuk melakukan aktivitas berbahaya, Defender untuk Identitas memantau semua perilaku akun komputer dan semua entitas lain di lingkungan.

ATA adalah solusi lokal mandiri dengan beberapa komponen, seperti Pusat ATA yang memerlukan perangkat keras khusus lokal.

Defender for Identity adalah solusi keamanan berbasis cloud yang menggunakan sinyal Active Directory lokal Anda. Solusinya sangat dapat diskalakan dan sering diperbarui.

Rilis akhir ATA umumnya tersedia. ATA mengakhiri Dukungan Mainstream pada 12 Januari 2021. Dukungan yang Diperpanjang berlanjut hingga Januari 2026. Untuk informasi selengkapnya, baca blog kami.

Berbeda dengan sensor ATA, sensor Defender for Identity juga menggunakan sumber data seperti Event Tracing for Windows (ETW) yang memungkinkan Defender for Identity memberikan deteksi ekstra.

Pembaruan defender for Identity yang sering mencakup fitur dan kemampuan berikut:

• Dukungan untuk lingkungan multi-forest: Menyediakan visibilitas organisasi di seluruh forest AD.

• Penilaian postur Skor Aman Microsoft: Mengidentifikasi kesalahan konfigurasi umum dan komponen yang dapat dieksploitasi dan menyediakan jalur remediasi untuk mengurangi permukaan serangan.

• Kemampuan UEBA: Wawasan tentang risiko pengguna individu melalui penilaian prioritas investigasi pengguna. Skor dapat membantu SecOps dalam penyelidikan mereka dan membantu analis memahami aktivitas yang tidak biasa untuk pengguna dan organisasi.

• Integrasi asli: Terintegrasi dengan Microsoft Defender untuk Cloud Apps dan Azure AD Identity Protection untuk memberikan tampilan hibrid tentang apa yang terjadi di lingkungan lokal dan hibrid.

• Berkontribusi pada Pertahanan Microsoft XDR: Memberikan kontribusi peringatan dan data ancaman ke Microsoft Defender XDR. Microsoft Defender XDR menggunakan portofolio keamanan Microsoft 365 (identitas, titik akhir, data, dan aplikasi) untuk menganalisis data ancaman lintas domain secara otomatis, membangun gambaran lengkap setiap serangan dalam satu dasbor.

  Dengan luas dan kejelasan ini, Defender dapat fokus pada ancaman penting dan berburu pelanggaran canggih. Pertahanan dapat mempercayai bahwa otomatisasi kuat Microsoft Defender XDR menghentikan serangan di mana saja dalam rantai pembunuhan dan mengembalikan organisasi ke keadaan aman.

Defender for Identity tersedia sebagai bagian dari enterprise Mobility + Security 5 suite (EMS E5), dan sebagai lisensi mandiri. Anda dapat memperoleh lisensi langsung dari portal Microsoft 365 atau melalui model lisensi Mitra Solusi Cloud (CSP).

Untuk informasi tentang persyaratan lisensi Defender for Identity, lihat Panduan lisensi Defender for Identity.

Ya, data Anda diisolasi melalui autentikasi akses dan pemisahan logis berdasarkan pengidentifikasi pelanggan. Setiap pelanggan hanya dapat mengakses data yang dikumpulkan dari organisasi mereka sendiri dan data generik yang disediakan Microsoft.

Tidak. Saat ruang kerja Defender for Identity Anda dibuat, ruang kerja tersebut disimpan secara otomatis di wilayah Azure yang paling dekat dengan lokasi geografis penyewa Microsoft Entra Anda. Setelah ruang kerja Defender for Identity Anda dibuat, data Defender for Identity tidak dapat dipindahkan ke wilayah lain.

Pengembang dan administrator Microsoft, secara desain, diberi hak istimewa yang memadai untuk menjalankan tugas yang ditetapkan untuk mengoperasikan dan mengembangkan layanan. Microsoft menyebarkan kombinasi kontrol pencegahan, detektif, dan reaktif termasuk mekanisme berikut untuk membantu melindungi dari pengembang dan/atau aktivitas administratif yang tidak sah:

• Kontrol akses yang ketat ke data sensitif
• Kombinasi kontrol yang sangat meningkatkan deteksi independen aktivitas berbahaya
• Beberapa tingkat pemantauan, pengelogan, dan pelaporan

Selain itu, Microsoft melakukan pemeriksaan verifikasi latar belakang pada personel operasi tertentu, dan membatasi akses ke aplikasi, sistem, dan infrastruktur jaringan sebanding dengan tingkat verifikasi latar belakang. Personel operasi mengikuti proses formal ketika mereka diharuskan untuk mengakses akun pelanggan atau informasi terkait dalam pelaksanaan tugas mereka.

Sebaiknya Anda memiliki sensor Defender for Identity atau sensor mandiri untuk masing-masing pengontrol domain Anda. Untuk informasi selengkapnya, lihat Ukuran sensor Defender for Identity.

Meskipun protokol jaringan dengan lalu lintas terenkripsi, seperti AtSvc dan WMI, tidak didekripsi, sensor masih menganalisis lalu lintas.

Defender for Identity mendukung Kerberos Armoring, juga dikenal sebagai Flexible Authentication Secure Tunneling (FAST). Pengecualian untuk dukungan ini adalah deteksi hash yang berlebihan, yang tidak berfungsi dengan Kerberos Armoring.

Sensor Defender for Identity dapat mencakup sebagian besar pengontrol domain virtual. Untuk informasi selengkapnya, lihat Perencanaan Kapasitas Pertahanan untuk Identitas.

Jika sensor Defender for Identity tidak dapat mencakup pengontrol domain virtual, gunakan sensor mandiri Pertahanan virtual atau fisik untuk Identitas sebagai gantinya. Untuk informasi selengkapnya, lihat Mengonfigurasi pencerminan port.

Cara term mudah adalah dengan memiliki sensor mandiri Defender for Identity virtual pada setiap host tempat pengontrol domain virtual ada.

Jika pengontrol domain virtual Anda berpindah antar host, Anda perlu melakukan salah satu langkah berikut:

• Ketika pengontrol domain virtual pindah ke host lain, prakonfigurasi sensor mandiri Defender for Identity di host tersebut untuk menerima lalu lintas dari pengontrol domain virtual yang baru saja dipindahkan.

• Pastikan Anda memafiliasi sensor mandiri Defender for Identity virtual dengan pengontrol domain virtual sehingga jika dipindahkan, sensor mandiri Defender for Identity akan bergerak bersamanya.

• Ada beberapa sakelar virtual yang dapat mengirim lalu lintas antar host.

Agar pengendali domain Anda berkomunikasi dengan layanan awan, Anda harus membuka: *.atp.azure.com port 443 di firewall/proksi Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi proksi atau firewall Anda untuk mengaktifkan komunikasi dengan sensor Defender for Identity.

Ya, Anda dapat menggunakan sensor Defender for Identity untuk memantau pengendali domain yang berada dalam solusi IaaS apa pun.

Defender for Identity mendukung lingkungan multi-domain dan beberapa forest. Untuk informasi selengkapnya dan persyaratan kepercayaan, lihat Dukungan multi-forest.

Ya, Anda dapat melihat kesehatan penyebaran secara keseluruhan dan masalah spesifik apa pun yang terkait dengan konfigurasi, konektivitas, dan sebagainya. Anda diberi tahu saat peristiwa ini terjadi dengan masalah kesehatan Defender for Identity.

Microsoft Defender untuk Identitas menyediakan nilai keamanan untuk semua akun Direktori Aktif termasuk yang tidak disinkronkan ke ID Microsoft Entra. Akun pengguna yang disinkronkan ke ID Microsoft Entra juga akan mendapatkan manfaat dari nilai keamanan yang disediakan oleh ID Microsoft Entra (berdasarkan tingkat lisensi) dan Penilaian Prioritas Investigasi.

Tim Microsoft Defender untuk Identitas merekomendasikan agar semua pelanggan menggunakan driver Npcap alih-alih driver WinPcap. Dimulai dengan Defender untuk Identitas versi 2.184, paket penginstalan menginstal OEM Npcap 1.0 alih-alih driver WinPcap 4.1.3.

WinPcap tidak lagi didukung dan karena tidak lagi dikembangkan, driver tidak dapat dioptimalkan lagi untuk sensor Defender for Identity. Selain itu, jika ada masalah di masa depan dengan driver WinPcap, tidak ada opsi untuk perbaikan.

Npcap didukung, sementara WinPcap bukan lagi produk yang didukung.

Sensor MDI memerlukan Npcap 1.0 atau yang lebih baru. Paket penginstalan Sensor akan menginstal versi 1.0 jika tidak ada versi Npcap lain yang diinstal. Jika Anda telah menginstal Npcap (karena persyaratan perangkat lunak lain, atau alasan lain) penting untuk memastikannya versi 1.0 atau yang lebih baru, dan bahwa Npcap telah diinstal dengan pengaturan yang diperlukan untuk MDI.

Ya. Diperlukan untuk menghapus Sensor secara manual untuk menghapus driver WinPcap. Penginstalan ulang menggunakan paket terbaru akan menginstal driver Npcap.

Anda dapat melihat bahwa 'Npcap OEM' diinstal melalui program Tambahkan/Hapus (appwiz.cpl), dan jika ada masalah kesehatan terbuka untuk ini, itu akan ditutup secara otomatis.

Tidak, Npcap memiliki pengecualian dari batas biasa lima instalasi. Anda dapat menginstalnya pada sistem tak terbatas di mana hanya digunakan dengan sensor Defender for Identity.

Lihat perjanjian lisensi Npcap di sini, dan cari Microsoft Defender untuk Identitas.

Tidak, hanya sensor Microsoft Defender untuk Identitas yang mendukung Npcap versi 1.00.

Tidak, Anda tidak perlu membeli versi OEM. Unduh paket penginstalan sensor versi 2.156 ke atas dari konsol Defender for Identity, yang mencakup Npcap versi OEM.

• Anda dapat memperoleh executable Npcap dengan mengunduh paket penyebaran terbaru sensor Defender for Identity.

• Jika Anda belum menginstal sensor, instal sensor menggunakan versi 2.184 atau yang lebih tinggi.

• Jika Anda sudah menginstal sensor dengan WinPcap dan perlu memperbarui untuk menggunakan Npcap:

  1. Hapus instalan sensor. Gunakan Tambahkan/Hapus program dari panel kontrol Windows (appwiz.cpl), atau jalankan perintah hapus instalan berikut:".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Hapus instalan WinPcap jika diperlukan. Langkah ini hanya relevan jika WinPcap diinstal secara manual sebelum penginstalan sensor. Dalam hal ini, Anda harus menghapus WinPcap secara manual.

  3. Instal ulang sensor menggunakan versi 2.184 atau yang lebih tinggi.

• Jika Anda ingin menginstal Npcap secara manual: Instal Npcap dengan opsi berikut:

  • Jika Anda menggunakan alat penginstal GUI, kosongkan opsi dukungan loopback dan pilih mode WinPcap . Pastikan opsi Batasi akses driver Npcap hanya ke Administrator dikosongkan .
  • Jika Anda menggunakan baris perintah, jalankan: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Jika Anda ingin meningkatkan Npcap secara manual:

  1. Hentikan layanan sensor Defender for Identity, AATPSensorUpdater , dan AATPSensor. Jalankan: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Hapus Npcap menggunakan Tambahkan/Hapus program di panel kontrol Windows (appwiz.cpl).

  3. Instal Npcap dengan opsi berikut:

     • Jika Anda menggunakan alat penginstal GUI, kosongkan opsi dukungan loopback dan pilih mode WinPcap . Pastikan opsi Batasi akses driver Npcap hanya ke Administrator dikosongkan .

     • Jika Anda menggunakan baris perintah, jalankan: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Mulai layanan sensor Defender for Identity, AATPSensorUpdater , dan AATPSensor. Jalankan: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity dapat dikonfigurasi untuk mengirim pemberitahuan Syslog, ke server SIEM apa pun menggunakan format CEF, untuk masalah kesehatan dan kapan pemberitahuan keamanan terdeteksi. Untuk informasi selengkapnya, lihat referensi log SIEM.

Akun dianggap sensitif ketika akun adalah anggota grup yang ditetapkan sebagai sensitif (misalnya: "Admin Domain").

Untuk memahami mengapa akun sensitif, Anda dapat meninjau keanggotaan grupnya untuk memahami grup sensitif miliknya. Grup miliknya juga dapat sensitif karena grup lain, sehingga proses yang sama harus dilakukan sampai Anda menemukan grup sensitif tingkat tertinggi. Secara bergantian, tag akun secara manual sebagai sensitif.

Dengan Defender for Identity, Anda tidak perlu membuat aturan, ambang batas, atau garis besar lalu menyempurnakan. Defender for Identity menganalisis perilaku di antara pengguna, perangkat, dan sumber daya, serta hubungan mereka satu sama lain, dan dapat mendeteksi aktivitas mencurigakan dan serangan yang diketahui dengan cepat. Tiga minggu setelah penyebaran, Defender for Identity mulai mendeteksi aktivitas mencurigakan perilaku. Di sisi lain, Defender for Identity akan mulai mendeteksi serangan berbahaya dan masalah keamanan yang diketahui segera setelah penyebaran.

Defender for Identity menghasilkan lalu lintas dari pengendali domain ke komputer dalam organisasi dalam salah satu dari tiga skenario:

• Resolusi Nama Jaringan Defender for Identity menangkap lalu lintas dan peristiwa, pembelajaran dan pembuatan profil pengguna dan aktivitas komputer di jaringan. Untuk mempelajari dan memprofilkan aktivitas sesuai dengan komputer di organisasi, Defender for Identity perlu menyelesaikan IP ke akun komputer. Untuk mengatasi IP ke nama komputer sensor Defender for Identity, minta alamat IP untuk nama komputer di belakang alamat IP.

  Permintaan dibuat menggunakan salah satu dari empat metode:

  • NTLM melalui RPC (Port TCP 135)
  • NetBIOS (port UDP 137)
  • RDP (port TCP 3389)
  • Mengkueri server DNS menggunakan pencarian REVERSE DNS alamat IP (UDP 53)

  Setelah mendapatkan nama komputer, sensor Defender for Identity memeriksa silang detail di Direktori Aktif untuk melihat apakah ada objek komputer yang berkorelasi dengan nama komputer yang sama. Jika kecocokan ditemukan, asosiasi dibuat antara alamat IP dan objek komputer yang cocok.

• Jalur Gerakan Lateral (LMP) Untuk membangun LMP potensial ke pengguna sensitif, Defender for Identity memerlukan informasi tentang administrator lokal di komputer. Dalam skenario ini, sensor Defender for Identity menggunakan SAM-R (TCP 445) untuk mengkueri alamat IP yang diidentifikasi dalam lalu lintas jaringan, untuk menentukan administrator lokal komputer. Untuk mempelajari selengkapnya tentang Defender for Identity dan SAM-R, lihat Mengonfigurasi izin yang diperlukan SAM-R.

• Mengkueri Direktori Aktif menggunakan LDAP untuk data entitas Sensor Pertahanan untuk Identitas mengkueri pengendali domain dari domain tempat entitas berada. Ini bisa menjadi sensor yang sama, atau pengontrol domain lain dari domain tersebut.

Defender for Identity menangkap aktivitas melalui banyak protokol yang berbeda. Dalam beberapa kasus, Defender for Identity tidak menerima data pengguna sumber dalam lalu lintas. Defender for Identity mencoba menghubungkan sesi pengguna dengan aktivitas, dan ketika upaya berhasil, pengguna sumber aktivitas ditampilkan. Ketika upaya korelasi pengguna gagal, hanya komputer sumber yang ditampilkan.

Lihat kesalahan terbaru dalam log kesalahan saat ini (Di mana Pertahanan untuk Identitas diinstal di bawah folder "Log").

Konten terkait

• Prasyarat Defender for Identity
• Perencanaan kapasitas Defender for Identity
• Mengonfigurasi pengumpulan peristiwa
• Mengonfigurasi penerusan peristiwa Windows
• Pemecahan Masalah
• Lihat forum Defender for Identity!