Microsoft Defender para Identidade perguntas frequentes

Este artigo fornece uma lista de perguntas frequentes e respostas sobre Microsoft Defender para Identidade divididos nas seguintes categorias:

O que é o Defender para Identidade?

O que o Defender para Identidade pode detectar?

O Defender para Identidade detecta ataques mal-intencionados conhecidos e técnicas, problemas de segurança e riscos em sua rede. Para obter a lista completa de detecções do Defender para Identidade, consulte Alertas de Segurança do Defender para Identidade.

Quais dados o Defender para Identidade coleta?

O Defender para Identidade coleta e armazena informações de seus servidores configurados (controladores de domínio, servidores membros etc.) em um banco de dados específico para o serviço para fins de administração, acompanhamento e relatório. As informações coletadas incluem o tráfego de rede dos controladores de domínio (como autenticação Kerberos, autenticação NTLM, consultas DNS), logs de segurança (como eventos de segurança do Windows), informações do Active Directory (estrutura, sub-redes, sites) e informações de entidade (como nomes, endereços de email e números de telefone).

A Microsoft usa esses dados para:

  • Identificar proativamente IOAs (indicadores de ataque) em sua organização
  • Gerar alertas se um possível ataque for detectado
  • Forneça a suas operações de segurança uma visão das entidades relacionadas aos sinais de ameaça de sua rede, permitindo que você investigue e explore a presença de ameaças à segurança na rede.

A Microsoft não explora seus dados para fornecer anúncios ou para qualquer outra finalidade que não seja fornecer o serviço.

Quantas credenciais do Serviço de Diretório o Defender para Identidade dá suporte?

Atualmente, o Defender para Identidade dá suporte à adição de 30 credenciais diferentes do Serviço de Diretório para dar suporte a ambientes do Active Directory com florestas não confiáveis. Se você precisar de mais contas, abra um tíquete de suporte.

O Defender para Identidade aproveita apenas o tráfego do Active Directory?

Além de analisar o tráfego do Active Directory usando uma tecnologia de inspeção de pacotes profunda, o Defender para Identidade também coleta eventos relevantes do Windows do controlador de domínio e cria perfis de entidade com base em informações de Active Directory Domain Services. O Defender para Identidade também dá suporte ao recebimento de contabilidade RADIUS de logs de VPN de vários fornecedores (Microsoft, Cisco, F5 e Checkpoint).

O Defender para Identidade monitora apenas dispositivos ingressados no domínio?

Não. O Defender para Identidade monitora todos os dispositivos na rede executando solicitações de autenticação e autorização no Active Directory, incluindo dispositivos não Windows e móveis.

O Defender para Identidade monitora contas de computador, bem como contas de usuário?

Sim. Como contas de computador (assim como qualquer outra entidade) podem ser usadas para executar atividades mal-intencionadas, o Defender para Identidade monitora todo o comportamento de contas de computador e todas as outras entidades no ambiente.

Qual é a diferença entre a Análise Avançada de Ameaças (ATA) e o Defender para Identidade?

O ATA é uma solução local autônoma com vários componentes, como o ATA Center que requer hardware dedicado local.

O Defender para Identidade é uma solução de segurança baseada em nuvem que aproveita seus sinais de Active Directory local. A solução é altamente escalonável e é atualizada frequentemente.

A versão final do ATA está geralmente disponível. O ATA encerrou o Suporte Mainstream em 12 de janeiro de 2021. O Suporte Estendido continuará até janeiro de 2026. Para obter mais informações, leia nosso blog.

Em contraste com o sensor do ATA, o sensor do Defender para Identidade também usa fontes de dados, como o ETW (Rastreamento de Eventos para Windows), permitindo que o Defender para Identidade forneça detecções adicionais.

As atualizações frequentes do Defender para Identidade incluem os seguintes recursos e recursos:

  • Suporte para ambientes de várias florestas : fornece visibilidade às organizações nas florestas do AD.

  • Avaliações de postura do Microsoft Secure Score: identifica configurações incorretas comuns e componentes exploráveis, bem como fornece caminhos de correção para reduzir a superfície de ataque.

  • Funcionalidades do UEBA : insights sobre o risco do usuário individual por meio da pontuação de prioridade de investigação do usuário. A pontuação pode auxiliar a SecOps nas investigações dela e ajudar analistas a entenderem atividades incomuns do usuário e da organização.

  • Integrações nativas: integra-se ao Microsoft Defender para Aplicativos de Nuvem e Azure AD Identity Protection para fornecer uma visão híbrida do que está ocorrendo em ambientes locais e híbridos.

  • Contribui para Microsoft 365 Defender: contribui com dados de alerta e ameaças para Microsoft 365 Defender. Microsoft 365 Defender aproveita o portfólio de segurança do Microsoft 365 (identidades, pontos de extremidade, dados e aplicativos) para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque em um único painel. Com essa amplitude e profundidade de clareza, os defensores podem se concentrar em ameaças críticas e procurar violações sofisticadas, confiando que a poderosa automação do Microsoft 365 Defender interrompe ataques em qualquer lugar da cadeia de kill e retorna a organização para um estado seguro.

Licenciamento e privacidade

Onde posso obter uma licença para Microsoft Defender para Identidade?

O Defender para Identidade está disponível como parte do Enterprise Mobility + Security 5 suite (EMS E5) e como uma licença autônoma. Você pode adquirir uma licença diretamente no Portal do Microsoft 365 ou por meio do CSP (Parceiro de Soluções na Nuvem).

O Defender para Identidade precisa apenas de uma única licença ou requer uma licença para cada usuário que quero proteger?

Para obter informações sobre os requisitos de licenciamento do Defender para Identidade, consulte as diretrizes de licenciamento do Defender para Identidade.

Meus dados são isolados de outros dados do cliente?

Sim, seus dados são isolados por meio da autenticação de acesso e da diferenciação lógica com base nos identificadores do cliente. Cada cliente pode acessar somente dados coletados de sua própria organização e dados genéricos fornecidos pela Microsoft.

É tenho flexibilidade para selecionar onde armazenar meus dados?

Não. Quando a instância do Defender para Identidade é criada, ela é armazenada automaticamente na região do Azure mais próxima da localização geográfica do locatário do Azure Active Directory. Depois que a instância do Defender para Identidade for criada, os dados do Defender para Identidade não poderão ser movidos para uma região diferente.

Como a Microsoft impede atividades internas mal-intencionadas e abuso de funções de alto privilégio?

Os administradores e desenvolvedores da Microsoft, por design, recebem privilégios suficientes para realizar as tarefas atribuídas a eles para operar e desenvolver o serviço. A Microsoft implanta combinações de controles preventivos, investigativos e reativos, incluindo os seguintes mecanismos para ajudar a proteger contra atividades administrativas e/ou de desenvolvedor não autorizadas:

  • Controle de acesso total a dados confidenciais
  • Combinações de controles que melhoram muito a detecção independente de atividades mal-intencionadas
  • Vários níveis de monitoramento, registro em log e relatórios

Além disso, a Microsoft realiza verificações de histórico de determinados funcionários de operações e limita o acesso a aplicativos, sistemas e infraestrutura de rede proporcionalmente ao nível da verificação de histórico. A equipe de operações segue um processo formal quando precisa acessar a conta de um cliente ou informações relacionadas ao desempenho de suas tarefas.

Implantação

Quantos sensores do Defender para Identidade preciso?

Todos os controladores de domínio no ambiente devem ser cobertos por um sensor do Defender para Identidade ou sensor autônomo. Para obter mais informações, consulte o dimensionamento do sensor do Defender para Identidade.

O Defender para Identidade funciona com tráfego criptografado?

Os protocolos de rede com tráfego criptografado (por exemplo, AtSvc e WMI) não são descriptografados, mas são analisados pelos sensores.

O Defender para Identidade funciona com o Kerberos Armoring?

Habilitar o Kerberos Armoring, também conhecido como FAST (Túnel Seguro de Autenticação Flexível), é compatível com o Defender para Identidade, com exceção da detecção de hash excessiva, que não funciona com o Kerberos Armoring.

Como fazer monitorar um controlador de domínio virtual usando o Defender para Identidade?

A maioria dos controladores de domínio virtual pode ser coberta pelo sensor do Defender para Identidade, para determinar se o sensor do Defender para Identidade é apropriado para seu ambiente, consulte o Defender para Planejamento de Capacidade de Identidade.

Se um controlador de domínio virtual não puder ser coberto pelo sensor do Defender para Identidade, você poderá ter um sensor autônomo virtual ou físico do Defender para Identidade, conforme descrito em Configurar espelhamento de porta. A maneira mais fácil é ter um sensor autônomo do Defender para Identidade virtual em cada host em que um controlador de domínio virtual existe. Se os controladores de domínio virtuais se movimentarem entre os hosts, será necessário executar uma destas etapas:

  • Quando o controlador de domínio virtual se move para outro host, pré-configure o sensor autônomo do Defender para Identidade nesse host para receber o tráfego do controlador de domínio virtual movido recentemente.
  • Certifique-se de associar o sensor autônomo do Defender para Identidade virtual com o controlador de domínio virtual para que, se ele for movido, o sensor autônomo do Defender para Identidade se mova com ele.
  • Há alguns comutadores virtuais que podem enviar o tráfego entre os hosts.

Como fazer configurar os sensores do Defender para Identidade para se comunicar com o serviço de nuvem do Defender para Identidade quando eu tiver um proxy?

Para seus controladores de domínio se comunicarem com o serviço de nuvem, você deve abrir: *. atp.azure.com porta 443 em seu firewall/proxy. Para obter instruções sobre como fazer isso, consulte Configurar seu proxy ou firewall para habilitar a comunicação com sensores do Defender para Identidade.

Os controladores de domínio monitorados pelo Defender para Identidade podem ser virtualizados em sua solução IaaS?

Sim, você pode usar o sensor defender para identidade para monitorar controladores de domínio que estão em qualquer solução IaaS.

O Defender para Identidade pode dar suporte a vários domínios e várias florestas?

O Defender para Identidade dá suporte a ambientes de vários domínios e várias florestas. Confira mais informações e requisitos de confiança em Suporte a várias florestas.

Você pode ver a integridade geral da implantação?

Sim, você pode exibir a integridade geral da implantação, bem como problemas específicos relacionados à configuração, conectividade etc., e você é alertado conforme eles ocorrem com alertas de integridade do Defender para Identidade.

Drivers WinPcap e Npcap

Quais recomendações sobre drivers WinPcap e Npcap estão mudando?

A equipe de Microsoft Defender para Identidade recomenda que todos os clientes usem o driver Npcap em vez dos drivers WinPcap. A partir do Defender para Identidade versão 2.184, o pacote de instalação instalará o OEM do Npcap 1.0 em vez dos drivers WinPcap 4.1.3.

Por que estamos nos afastando do WinPcap?

O WinPcap não tem mais suporte e, como ele não está mais sendo desenvolvido, o driver não pode mais ser otimizado para o sensor do Defender para Identidade. Além disso, se houver um problema no futuro com o driver WinPcap, não haverá opções para uma correção.

Por que npcap?

Há suporte para o Npcap, enquanto o WinPcap não é mais um produto com suporte.

Qual versão do Npcap tem suporte?

A versão recomendada e com suporte oficial do Npcap é a versão 1.0. Você pode instalar uma versão mais recente do Npcap, mas observe que, para solução de problemas, o suporte solicitará que você faça downgrade da versão do Npcap para validar se o problema não está relacionado à versão mais recente instalada.

Tenho mais de 5 controladores de domínio na minha organização. Preciso comprar uma licença do Npcap se estiver usando o Npcap nesses controladores de domínio?

Não, o Npcap tem uma isenção para o limite habitual de 5 instalações. Você pode instalá-lo em sistemas ilimitados em que ele só é usado com o sensor do Defender para Identidade.

Consulte o contrato de licença do Npcap aqui e pesquise Microsoft Defender para Identidade.

O Npcap também é relevante para o ATA?

Não, apenas o sensor Microsoft Defender para Identidade dá suporte ao Npcap versão 1.00.

Gostaria de criar um script para a implantação do Npcap, preciso comprar a versão do OEM?

Não, você não precisa comprar a versão do OEM. Baixe o pacote de instalação do sensor versão 2.156 e superior do console do Defender para Identidade, que inclui a versão OEM do Npcap.

Como fazer baixar e instalar ou atualizar o driver Npcap?

  • Você pode obter os executáveis do Npcap baixando o pacote de implantação mais recente do sensor do Defender para Identidade.

  • Se você ainda não tiver instalado o sensor:

    1. Instale o sensor (com um pacote de instalação da versão 2.184 ou superior).
  • Se você já instalou o sensor com o WinPcap e precisa atualizar para usar o Npcap:

    1. Desinstale o sensor.
      • Use adicionar/remover programas no painel de controle (appwiz.cpl) ou executando o seguinte comando de desinstalação:
        ".\Azure ATP Sensor Setup.exe" /uninstall /quiet
    2. Desinstale o WinPcap.
      • Observação: isso é aplicável somente se o WinPcap foi instalado manualmente antes da instalação do sensor. Nesse caso, você precisaria remover manualmente o WinPcap.
    3. Reinstale o sensor (com um pacote de instalação da versão 2.184 ou superior).
  • Se você quiser instalar manualmente o Npcap:

    1. Instale o Npcap com as seguintes opções:
    • Se estiver usando o instalador de GUI, desmarque suporte de loopback e marque o modo WinPcap. Certifique-se de que a opção Restringir o acesso do driver Npcap aos Administradores seja desmarcada.
    • Se estiver usando a linha de comando: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  • Se você quiser atualizar manualmente o Npcap:

    1. Parar os serviços de sensor do Defender para Identidade (AATPSensorUpdater e AATPSensor)
      Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
    2. Remover o Npcap usando adicionar/remover programas no painel de controle (appwiz.cpl)
    3. Instale o Npcap com as seguintes opções:
      • Se estiver usando o instalador de GUI, desmarque suporte de loopback e marque o modo WinPcap. Certifique-se de que a opção Restringir o acesso do driver Npcap aos Administradores seja desmarcada.
      • Se estiver usando a linha de comando: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
    4. Inicie os serviços de sensor do Defender para Identidade (AATPSensorUpdater e AATPSensor)
      Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Operação

Que tipo de integração o Defender para Identidade tem com os SIEMs?

O Defender para Identidade pode ser configurado para enviar um alerta do Syslog para qualquer servidor SIEM usando o formato CEF, para alertas de integridade e quando um alerta de segurança é detectado. Consulte a referência de log do SIEM para obter mais informações.

Por que certas contas são consideradas confidenciais?

Isso ocorre quando uma conta é membro de grupos designados como confidenciais (por exemplo: "Administradores do Domínio").

Para entender por que uma conta é confidencial, você pode examinar sua associação de grupo para entender a quais grupos confidenciais ela pertence (o grupo ao qual ela pertence também pode ser confidencial devido a outro grupo, portanto, o mesmo processo deve ser executado até que você localize o grupo confidencial de nível mais alto). Você também pode marcar contas como confidenciais manualmente.

Você precisa escrever suas próprias regras e criar um limite/linha de base?

Com o Defender para Identidade, não é necessário criar regras, limites ou linhas de base e ajustar. O Defender para Identidade analisa os comportamentos entre usuários, dispositivos e recursos, bem como sua relação entre si e pode detectar atividades suspeitas e ataques conhecidos rapidamente. Três semanas após a implantação, o Defender para Identidade começa a detectar atividades suspeitas comportamentais. Por outro lado, o Defender para Identidade começará a detectar ataques mal-intencionados conhecidos e problemas de segurança imediatamente após a implantação.

Qual tráfego o Defender para Identidade gera na rede a partir de controladores de domínio e por quê?

O Defender para Identidade gera tráfego de controladores de domínio para computadores na organização em um dos três cenários:

  1. Resolução de Nomes de Rede O Defender para Identidade captura o tráfego e eventos, aprendendo e criando perfil de usuários e atividades de computador na rede. Para aprender e criar perfil de atividades de acordo com computadores da organização, o Defender para Identidade precisa resolver IPs para contas de computador. Para resolver IPs para nomes de computador, os sensores do Defender para Identidade solicitam o endereço IP para o nome do computador por trás do endereço IP.

    As solicitações são feitas com um dos quatro métodos a seguir:

    • NTLM sobre RPC (porta TCP 135)
    • NetBIOS (porta UDP 137)
    • RDP (TCP porta 3389)
    • Consulta ao servidor DNS usando a pesquisa de DNS reverso do endereço IP (UDP 53)

    Depois de obter o nome do computador, os sensores do Defender para Identidade cruzam os detalhes no Active Directory para ver se há um objeto de computador correlacionado com o mesmo nome do computador. Se encontrarem a correspondência, é feita uma associação entre o endereço IP e o objeto do computador correspondido.

  2. Caminho de Movimento Lateral (LMP) Para criar LMPs potenciais para usuários confidenciais, o Defender para Identidade requer informações sobre os administradores locais em computadores. Nesse cenário, o sensor do Defender para Identidade usa SAM-R (TCP 445) para consultar o endereço IP identificado no tráfego de rede, a fim de determinar os administradores locais do computador. Para saber mais sobre o Defender para Identidade e SAM-R, consulte Configurar as permissões necessárias para SAM-R.

  3. Consultar o Active Directory usando LDAP para sensores do Defender para Identidade de dados de entidade consulta o controlador de domínio do domínio no qual a entidade pertence. Pode ser no mesmo sensor ou em outro controlador de domínio daquele domínio.

Protocolo Serviço Porta Origem Direção
LDAP TCP e UDP 389 Controladores de domínio Saída
LDAP seguro (LDAPS) TCP 636 Controladores de domínio Saída
LDAP para o Catálogo Global TCP 3268 Controladores de domínio Saída
LDAPS para o Catálogo Global TCP 3269 Controladores de domínio Saída

Por que as atividades sempre mostram o computador e o usuário da origem?

O Defender para Identidade captura atividades em vários protocolos diferentes. Em alguns casos, o Defender para Identidade não recebe os dados do usuário de origem no tráfego. O Defender para Identidade tenta correlacionar a sessão do usuário com a atividade e, quando a tentativa for bem-sucedida, o usuário de origem da atividade será exibido. Caso as tentativas de correlação do usuário falhem, apenas o computador de origem será exibido.

Solução de problemas

O que devo fazer se o sensor do Defender para Identidade ou o sensor autônomo não for iniciado?

Examine o erro mais recente no log de erros atual (onde o Defender para Identidade está instalado na pasta "Logs").