Perguntas frequentes sobre o Microsoft Defender para Identidade

O Defender para Identidade detecta ataques e técnicas mal-intencionados conhecidos, problemas de segurança e riscos à sua rede. Para obter a lista completa de detecções do Defender para Identidade, consulte Alertas de segurança do Defender para Identidade.

O Defender para Identidade coleta e armazena informações de seus servidores configurados, como controladores de domínio, servidores membros e assim por diante. Os dados são armazenados em um banco de dados específico do serviço para fins de administração, rastreamento e geração de relatórios.

As informações coletadas incluem:

• O tráfego de rede que entra e sai dos controladores de domínio, como autenticação Kerberos, autenticação NTLM ou consultas DNS.
• Logs de segurança, como eventos de segurança do Windows.
• Informações do Active Directory, como estrutura, sub-redes ou sites.
• As informações de entidade incluem nomes, endereços de email e números de telefone.

A Microsoft usa esses dados para:

• Identificar proativamente indicadores de ataque (IOAs) em sua organização.
• Gerar alertas se um possível ataque for detectado.
• Fornecer às suas operações de segurança uma visão das entidades relacionadas aos sinais de ameaça da sua rede, permitindo que você investigue e explore a presença de ameaças de segurança na rede.

A Microsoft não extrai dados para publicidade nem para outra finalidade que não seja fornecer o serviço.

Atualmente, o Defender para Identidade oferece suporte à adição de até 30 credenciais diferentes do Serviço de Diretório para oferecer suporte a ambientes do Active Directory com florestas não confiáveis. Se você precisar de mais contas, abra um tíquete de suporte.

Além de analisar o tráfego do Active Directory usando a tecnologia de inspeção profunda de pacotes, o Defender para Identidade também coleta Eventos relevantes do Windows do controlador de domínio e cria perfis de entidade com base nas informações dos Active Directory Domain Services. O Defender para Identidade também oferece suporte ao recebimento de contabilização RADIUS de logs de VPN de vários fornecedores (Microsoft, Cisco, F5 e Checkpoint).

Não. O Defender para Identidade monitora todos os dispositivos na rede que executam solicitações de autenticação e autorização no Active Directory, incluindo dispositivos móveis e não Windows.

Sim. Como as contas de computador e outras entidades podem ser usadas para executar atividades mal-intencionadas, o Defender para Identidade monitora todo o comportamento das contas de computador e todas as outras entidades no ambiente.

A ATA é uma solução local autônoma com vários componentes, como o ATA Center, que requer hardware dedicado local.

O Defender para Identidade é uma solução de segurança baseada em nuvem que usa seus sinais do Active Directory local. A solução é altamente escalonável e é atualizada com frequência.

A versão final da ATA está disponível para o público em geral. A ATA encerrou o suporte base em 12 de janeiro de 2021. O suporte estendido continua até janeiro de 2026. Para obter mais informações, leia nosso blog.

Em contraste com o sensor da ATA, o sensor do Defender para Identidade também usa fontes de dados como o ETW (Rastreamento de Eventos para Windows), que permite ao Defender para Identidade fornecer detecções extras.

As atualizações frequentes do Defender para Identidade incluem os seguintes recursos e capacidades:

• Suporte para ambientes de várias florestas: fornece visibilidade das organizações entre florestas do AD.

• Avaliações da postura do Microsoft Secure Score: identifica configurações incorretas comuns e componentes exploráveis e fornece caminhos de correção para reduzir a superfície de ataque.

• Recursos da UEBA: insights sobre o risco do usuário individual por meio da pontuação de prioridade de investigação do usuário. A pontuação pode ajudar a equipe de SecOps nas investigações e ajudar os analistas a entender atividades incomuns para o usuário e a organização.

• Integrações nativas: integra-se ao Microsoft Defender para Aplicativos de Nuvem e ao Azure AD Identity Protection para fornecer uma exibição híbrida do que está ocorrendo em ambientes locais e híbridos.

• Contribui para o Microsoft Defender XDR: contribui com dados de alerta e ameaça para o Microsoft Defender XDR. O Microsoft Defender XDR usa o portfólio de segurança do Microsoft 365 (identidades, pontos de extremidade, dados e aplicativos) para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque em um único painel.

  Com essa amplitude e profundidade de clareza, os defensores podem se concentrar em ameaças críticas e caçar violações sofisticadas. Os defensores podem confiar que a poderosa automação do Microsoft Defender XDR interrompe os ataques em qualquer lugar da cadeia de eliminação e retorna a organização a um estado seguro.

O Defender para Identidade está disponível como parte do EMS E5 (pacote Enterprise Mobility + Security 5) e uma licença autônoma. Você pode adquirir uma licença diretamente pelo portal do Microsoft 365 ou por meio do modelo de licenciamento CSP (Parceiro de Soluções na Nuvem).

Para obter informações sobre os requisitos de licenciamento do Defender para Identidade, consulte Diretrizes de licenciamento do Defender para Identidade.

Sim, seus dados são isolados por meio de autenticação de acesso e segregação lógica com base em identificadores de clientes. Cada cliente só pode acessar dados coletados de sua própria organização e dados genéricos fornecidos pela Microsoft.

Não. Quando seu espaço de trabalho do Defender para Identidade é criado, ele é armazenado automaticamente na região do Azure mais próxima da localização geográfica do locatário do Microsoft Entra. Depois que o espaço de trabalho do Defender para Identidade for criado, os dados do Defender para Identidade não poderão ser movidos para uma região diferente.

Os desenvolvedores e administradores da Microsoft receberam, por design, privilégios suficientes para executar suas funções atribuídas para operar e evoluir o serviço. A Microsoft implanta combinações de controles preventivos, detectivos e reativos, incluindo os mecanismos abaixo, para ajudar a proteger contra atividades administrativas e/ou do desenvolvedor não autorizadas:

• Controle de acesso rigoroso a dados confidenciais
• Combinações de controles que melhoram bastante a detecção independente de atividades mal-intencionadas
• Vários níveis de monitoramento, logs e relatórios

Além disso, a Microsoft realiza verificações de antecedentes em determinadas operações e limita o acesso a aplicativos, sistemas e infraestrutura de rede proporcionalmente ao nível de verificação em segundo plano. A equipe de operações segue um processo formal quando é necessário acessar a conta de um cliente ou informações relacionadas no desempenho de suas funções.

Recomendamos que você tenha um sensor do Defender para Identidade ou um sensor autônomo para cada um dos controladores de domínio. Para obter mais informações, consulte Dimensionamento do sensor do Defender para Identidade.

Embora os protocolos de rede com tráfego criptografado, como AtSvc e WMI, não sejam descriptografados, os sensores ainda analisam o tráfego.

O Defender para Identidade oferece suporte ao Kerberos Armoring, também conhecido como Flexible Authentication Secure Tunneling (FAST). A exceção a esse suporte é a superação da detecção de hash, que não funciona com o Kerberos Armoring.

O sensor do Defender para Identidade abrange a maioria dos controladores de domínio virtual. Para obter mais informações, confira Planejamento de capacidade do Defender para Identidade.

Se o sensor do Defender para Identidade não puder cobrir um controlador de domínio virtual, use um sensor autônomo virtual ou físico do Defender para Identidade. Para obter mais informações, consulte Configurar o espelhamento de porta.

A maneira mais fácil é ter um sensor autônomo virtual do Defender para Identidade em cada host onde existe um controlador de domínio virtual.

Se os controladores de domínio virtual se moverem entre hosts, você precisará executar uma das seguintes etapas:

• Quando o controlador de domínio virtual se move para outro host, pré-configure o sensor autônomo do Defender para Identidade nesse host para receber o tráfego do controlador de domínio virtual movido recentemente.

• Certifique-se de afiliar o sensor autônomo virtual do Defender para Identidade ao controlador de domínio virtual para que, se ele for movido, o sensor autônomo do Defender para Identidade se mova com ele.

• Existem alguns comutadores virtuais que podem enviar tráfego entre hosts.

Para que os controladores de domínio se comuniquem com o serviço de nuvem, você deve abrir: *.atp.azure.com porta 443 no firewall/proxy. Para obter mais informações, consulte Configurar seu proxy ou firewall para habilitar a comunicação com os sensores do Defender para Identidade.

Sim, você pode usar o sensor do Defender para Identidade para monitorar controladores de domínio que estejam em uma solução IaaS.

O Defender para Identidade oferece suporte a ambientes de vários domínios e várias florestas. Para obter mais informações e requisitos de confiança, consulte Suporte a várias florestas.

Sim, você pode exibir a integridade geral da implantação e os problemas específicos relacionados à configuração, conectividade, e assim por diante. Você receberá um alerta quando esses eventos ocorrerem com problemas de integridade do Defender para Identidade.

O Microsoft Defender para Identidade fornece valor de segurança para todas as contas do Active Directory, incluindo aquelas que não são sincronizadas com o Microsoft Entra ID. As contas de usuário sincronizadas com o Microsoft Entra ID também se beneficiarão do valor de segurança fornecido pelo Microsoft Entra ID (com base no nível de licença) e da Pontuação de Prioridade de Investigação.

A equipe do Microsoft Defender para Identidade recomenda que todos os clientes usem o driver Npcap, em vez dos drivers WinPcap. A partir do Defender para Identidade versão 2.184, o pacote de instalação instala o Npcap 1.0 OEM, em vez dos drivers WinPcap 4.1.3.

Não há mais suporte para o WinPcap e, como não está mais sendo desenvolvido, o driver não pode mais ser otimizado para o sensor do Defender para Identidade. Além disso, se houver um problema no futuro com o driver WinPcap, não há opções para uma correção.

P Npcap é compatível, já o WinPcap não é mais um produto com suporte.

O sensor do MDI requer o Npcap 1.0 ou posterior. O pacote de instalação do sensor instalará a versão 1.0 se nenhuma outra versão do Npcap estiver instalada. Se você já tiver o Npcap instalado (devido a outros requisitos de software ou outro motivo), é importante garantir que ele seja a versão 1.0 ou posterior e que ele tenha sido instalado com as configurações necessárias para o MDI.

Sim. É necessário remover manualmente o sensor para remover os drivers WinPcap. A reinstalação usando o pacote mais recente instalará os drivers Npcap.

Você pode ver que "Npcap OEM" é instalado por meio de Adicionar/Remover programas (appwiz.cpl), e se houve um problema de integridade aberto para isso, ele será fechado automaticamente.

Não, o Npcap tem uma isenção do limite habitual de cinco instalações. Você pode instalá-lo em sistemas ilimitados onde ele é usado apenas com o sensor do Defender para Identidade.

Consulte o contrato de licença Npcap aqui e procure Microsoft Defender para Identidade.

Não, apenas o sensor do Microsoft Defender para Identidade oferece suporte ao Npcap versão 1.00.

Não, você não precisa comprar a versão OEM. Baixe o pacote de instalação do sensor versão 2.156 e posterior do console do Defender para Identidade, que inclui a versão OEM do Npcap.

• Você pode obter os executáveis Npcap baixando o pacote de implantação mais recente do sensor do Defender para Identidade.

• Se você ainda não instalou o sensor, instale o sensor usando a versão 2.184 ou posterior.

• Se você já instalou o sensor com WinPcap e precisa atualizar para usar o Npcap:

  1. Desinstale o sensor. Use Adicionar/Remover programas do painel de controle do Windows (appwiz.cpl) ou execute o seguinte comando de desinstalação: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Desinstale o WinPcap, se necessário. Esta etapa é relevante somente se o WinPcap foi instalado manualmente antes da instalação do sensor. Nesse caso, você precisará remover o WinPcap manualmente.

  3. Reinstale o sensor usando a versão 2.184 ou posterior.

• Se você deseja instalar o Npcap manualmente: instale o Npcap com as seguintes opções:

  • Se você estiver usando o instalador da GUI, desmarque a opção suporte de loopback e selecione o modo WinPcap. Verifique se a opção Restringir o acesso do driver Npcap somente para administradores está desmarcada.
  • Se estiver usando a linha de comando, execute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Para atualizar o Npcap manualmente:

  1. Pare os serviços do sensor do Defender para Identidade, AATPSensorUpdater e AATPSensor. Execute: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Remova o Npcap usando Adicionar/Remover programas no painel de controle do Windows (appwiz.cpl).

  3. Instale o Npcap usando as seguintes opções:

     • Se você estiver usando o instalador da GUI, desmarque a opção suporte de loopback e selecione o modo WinPcap. Verifique se a opção Restringir o acesso do driver Npcap somente para administradores está desmarcada.

     • Se estiver usando a linha de comando, execute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Inicie os serviços do sensor do Defender para Identidade, AATPSensorUpdater e AATPSensor. Execute: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

O Defender para Identidade pode ser configurado para enviar um alerta de Syslog, para qualquer servidor de SIEM usando o formato CEF, para problemas de integridade e quando um alerta de segurança é detectado. Para obter mais informações, confira a Referência de logs de SIEM.

As contas são consideradas confidenciais quando uma conta é membro de grupos designados como confidenciais (por exemplo: "Administradores de domínio").

Para entender por que uma conta é confidencial, você pode revisar sua associação de grupo para entender a quais grupos confidenciais ela pertence. O grupo ao qual ele pertence também pode ser sensível devido a outro grupo, portanto, o mesmo processo deve ser executado até que você localize o grupo sensível de nível mais alto. Como alternativa, marque manualmente as contas como confidenciais.

Com o Defender para Identidade, não há necessidade de criar regras, limites ou linhas de base e, em seguida, ajustar. O Defender para Identidade analisa os comportamentos entre usuários, dispositivos e recursos, bem como sua relação entre si, e pode detectar atividades suspeitas e ataques conhecidos rapidamente. Três semanas após a implantação, o Defender para Identidade começa a detectar atividades comportamentais suspeitas. Por outro lado, o Defender para Identidade começará a detectar ataques mal-intencionados conhecidos e problemas de segurança imediatamente após a implantação.

O Defender para Identidade gera tráfego de controladores de domínio para computadores na organização em um dos três cenários:

• A Resolução de Nomes de Rede do Defender para Identidade captura tráfego e eventos, aprendendo e traçando o perfil de usuários e atividades do computador na rede. Para aprender e criar o perfil das atividades de acordo com os computadores da organização, o Defender para Identidade precisa resolver IPs para contas de computador. Para resolver IPs para nomes de computador Defender para sensores de identidade, solicite o endereço IP para o nome do computador por trás do endereço IP.

  As solicitações são feitas usando um dos quatro métodos:

  • NTLM por RPC (porta TCP 135)
  • NetBIOS (porta UDP 137)
  • RDP (porta TCP 3389)
  • Consulte o servidor DNS usando a pesquisa de DNS reverso do endereço IP (UDP 53)

  Depois de obter o nome do computador, os sensores do Defender para Identidade verificam os detalhes no Active Directory para ver se há um objeto de computador correlacionado com o mesmo nome de computador. Se uma correspondência for encontrada, será feita uma associação entre o endereço IP e o objeto de computador correspondente.

• Caminho de Movimentação Lateral (LMP) Para criar possíveis LMPs para usuários confidenciais, o Defender para Identidade requer informações sobre os administradores locais nos computadores. Nesse cenário, o sensor do Defender para Identidade usa SAM-R (TCP 445) para consultar o endereço IP identificado no tráfego de rede, a fim de determinar os administradores locais do computador. Para saber mais sobre o Defender para Identidade e o SAM-R, consulte Configurar as permissões necessárias do SAM-R.

• Ao consultar o Active Directory usando LDAP para dados de entidade, os sensores do Defender para Identidade consultam o controlador de domínio do domínio ao qual a entidade pertence. Pode ser o mesmo sensor ou outro controlador de domínio desse domínio.

O Defender para Identidade captura atividades em vários protocolos diferentes. Em alguns casos, o Defender para Identidade não recebe os dados do usuário de origem no tráfego. O Defender para Identidade tenta correlacionar a sessão do usuário à atividade e, quando a tentativa é bem-sucedida, o usuário de origem da atividade é exibido. Quando as tentativas de correlação do usuário falham, somente o computador de origem é exibido.

Observe o erro mais recente no log de erros atual (o Defender para Identidade está instalado na pasta "Logs").

Conteúdo relacionado

• Pré-requisitos do Defender para Identidade
• Planejamento da capacidade do Defender para Identidade
• Configurar a coleta de eventos
• Configurar o encaminhamento de eventos do Windows
• Solução de problemas
• Consulte o fórum do Defender para Identidade!