Microsoft Defender para Identidade perguntas mais frequentes

O Defender para Identidade deteta técnicas e ataques maliciosos conhecidos, problemas de segurança e riscos contra a sua rede. Para obter a lista completa de deteções do Defender para Identidade, veja Alertas de Segurança do Defender para Identidade.

O Defender para Identidade recolhe e armazena informações dos servidores configurados (controladores de domínio, servidores membros, etc.) numa base de dados específica do serviço para fins de administração, controlo e relatórios. As informações recolhidas incluem tráfego de rede de e para controladores de domínio (como autenticação Kerberos, autenticação NTLM, consultas DNS), registos de segurança (como eventos de segurança do Windows), informações do Active Directory (estrutura, sub-redes, sites) e informações de entidade (como nomes, endereços de e-mail e números de telefone).

A Microsoft utiliza estes dados para:

• Identificar proativamente indicadores de ataque (IOAs) na sua organização
• Gerar alertas se for detetado um possível ataque
• Forneça às suas operações de segurança uma vista sobre entidades relacionadas com sinais de ameaças da sua rede, permitindo-lhe investigar e explorar a presença de ameaças de segurança na rede.

A Microsoft não extrai os seus dados para fins publicitários ou para qualquer outra finalidade que não seja fornecer-lhe o serviço.

Atualmente, o Defender para Identidade suporta a adição de até 30 credenciais diferentes do Serviço de Diretório para suportar ambientes do Active Directory com florestas não fidedignas. Se precisar de mais contas, abra um pedido de suporte.

Além de analisar o tráfego do Active Directory com a tecnologia de inspeção de pacotes avançada, o Defender para Identidade também recolhe Eventos do Windows relevantes do controlador de domínio e cria perfis de entidade com base em informações de Active Directory Domain Services. O Defender para Identidade também suporta a receção de contas RADIUS de registos VPN de vários fornecedores (Microsoft, Cisco, F5 e Ponto de Verificação).

N.º O Defender para Identidade monitoriza todos os dispositivos na rede que efetuam pedidos de autenticação e autorização no Active Directory, incluindo dispositivos móveis e não Windows.

Sim. Uma vez que as contas de computador (bem como outras entidades) podem ser utilizadas para realizar atividades maliciosas, o Defender para Identidade monitoriza o comportamento de todas as contas de computador e todas as outras entidades no ambiente.

O ATA é uma solução autónoma no local com vários componentes, como o ATA Center que requer hardware dedicado no local.

O Defender para Identidade é uma solução de segurança baseada na cloud que tira partido dos sinais de Active Directory no local. A solução é altamente dimensionável e é frequentemente atualizada.

A versão final do ATA está geralmente disponível. O ATA terminou o Suporte Base a 12 de janeiro de 2021. O Suporte Alargado continuará até janeiro de 2026. Para obter mais informações, leia o nosso blogue.

Ao contrário do sensor do ATA, o sensor do Defender para Identidade também utiliza origens de dados, como o Rastreio de Eventos para Windows (ETW), permitindo que o Defender para Identidade forneça deteções adicionais.

As atualizações frequentes do Defender para Identidade incluem as seguintes funcionalidades e capacidades:

• Suporte para ambientes de várias florestas: fornece visibilidade às organizações nas florestas do AD.

• Avaliações da postura de Classificação de Segurança da Microsoft: identifica configurações incorretas comuns e componentes exploráveis, bem como fornece caminhos de remediação para reduzir a superfície de ataque.

• Capacidades da UEBA: informações sobre o risco de utilizador individual através da classificação de prioridade de investigação do utilizador. A classificação pode ajudar o SecOps nas suas investigações e ajudar os analistas a compreender atividades invulgares para o utilizador e a organização.

• Integrações nativas: integra-se com o Microsoft Defender for Cloud Apps e o Azure AD Identity Protection para fornecer uma vista híbrida do que está a ocorrer em ambientes no local e híbridos.

• Contribui para Microsoft 365 Defender: contribui com dados de alertas e ameaças para Microsoft 365 Defender. Microsoft 365 Defender tira partido do portefólio de segurança do Microsoft 365 (identidades, pontos finais, dados e aplicações) para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque num único dashboard. Com esta amplitude e profundidade de clareza, os defensores podem focar-se em ameaças críticas e caçar violações sofisticadas, confiando que a poderosa automatização da Microsoft 365 Defender interrompe os ataques em qualquer lugar da cadeia de eliminação e devolve a organização a um estado seguro.

O Defender para Identidade está disponível como parte do conjunto de aplicações Enterprise Mobility + Security 5 (EMS E5) e como uma licença autónoma. Pode adquirir uma licença diretamente a partir do portal do Microsoft 365 ou através do modelo de licenciamento do Parceiro de Solução Cloud (CSP).

Para obter informações sobre os requisitos de licenciamento do Defender para Identidade, veja Orientações de licenciamento do Defender para Identidade.

Sim, os seus dados são isolados através da autenticação de acesso e da segregação lógica com base nos identificadores dos clientes. Cada cliente só pode aceder aos dados recolhidos a partir da sua própria organização e aos dados genéricos fornecidos pela Microsoft.

N.º Quando a instância do Defender para Identidade é criada, é armazenada automaticamente na região do Azure mais próxima da localização geográfica do seu inquilino do Azure Active Directory. Assim que a instância do Defender para Identidade for criada, os dados do Defender para Identidade não podem ser movidos para uma região diferente.

Os programadores e administradores da Microsoft receberam, por predefinição, privilégios suficientes para desempenhar as suas funções atribuídas para operar e desenvolver o serviço. A Microsoft implementa combinações de controlos preventivos, detectives e reativos, incluindo os seguintes mecanismos para ajudar a proteger contra atividades administrativas e/ou programadores não autorizados:

• Controlo de acesso apertado a dados confidenciais
• Combinações de controlos que melhoram consideravelmente a deteção independente de atividade maliciosa
• Vários níveis de monitorização, registo e relatórios

Além disso, a Microsoft realiza verificações em segundo plano em determinados técnicos de operações e limita o acesso a aplicações, sistemas e infraestrutura de rede em proporção ao nível da verificação em segundo plano. O pessoal de operações segue um processo formal quando é necessário aceder à conta de um cliente ou informações relacionadas no desempenho das suas funções.

Todos os controladores de domínio no ambiente devem ser abrangidos por um sensor do Defender para Identidade ou sensor autónomo. Para obter mais informações, veja Dimensionamento do sensor do Defender para Identidade.

Os protocolos de rede com tráfego encriptado (por exemplo, AtSvc e WMI) não são desencriptados, mas são analisados pelos sensores.

A ativação do Kerberos Armoring, também conhecido como Autenticação Flexível Túnel Seguro (FAST), é apoiada pelo Defender for Identity, com exceção da deteção Overpass-the-Hash, que não funciona com o Kerberos Armoring.

A maioria dos controladores de domínio virtual podem ser abrangidos pelo sensor do Defender para Identidade, para determinar se o sensor do Defender para Identidade é adequado para o seu ambiente, veja Planeamento da Capacidade do Defender para Identidade.

Se um controlador de domínio virtual não puder ser abrangido pelo sensor do Defender para Identidade, pode ter um sensor autónomo do Defender para Identidade virtual ou físico, conforme descrito em Configurar espelhamento de porta. A forma mais fácil é ter um sensor autónomo do Defender para Identidade virtual em todos os anfitriões onde existe um controlador de domínio virtual. Se os controladores de domínio virtual se moverem entre anfitriões, terá de efetuar um dos seguintes passos:

• Quando o controlador de domínio virtual se move para outro anfitrião, pré-configurar o sensor autónomo do Defender para Identidade nesse anfitrião para receber o tráfego do controlador de domínio virtual recentemente movido.
• Certifique-se de que associa o sensor autónomo do Defender para Identidade virtual ao controlador de domínio virtual para que, se for movido, o sensor autónomo do Defender para Identidade seja movido com o mesmo.
• Existem alguns comutadores virtuais que podem enviar tráfego entre anfitriões.

Para que os controladores de domínio comuniquem com o serviço cloud, tem de abrir: *.atp.azure.com porta 443 na firewall/proxy. Para obter instruções sobre como fazê-lo, consulte Configurar o proxy ou a firewall para ativar a comunicação com sensores do Defender para Identidade.

Sim, pode utilizar o sensor do Defender para Identidade para monitorizar controladores de domínio que estejam em qualquer solução IaaS.

O Defender para Identidade suporta ambientes de vários domínios e várias florestas. Para obter mais informações e requisitos de confiança, veja Suporte para várias florestas.

Sim, pode ver o estado de funcionamento geral da implementação, bem como problemas específicos relacionados com a configuração, conectividade, etc., e é alertado à medida que ocorrem com alertas de estado de funcionamento do Defender para Identidade.

A equipa de Microsoft Defender para Identidade recomenda que todos os clientes utilizem o controlador Npcap em vez dos controladores WinPcap. A partir da versão 2.184 do Defender para Identidade, o pacote de instalação irá instalar o OEM Npcap 1.0 em vez dos controladores WinPcap 4.1.3.

O WinPcap já não é suportado e, uma vez que já não está a ser desenvolvido, o controlador já não pode ser otimizado para o sensor do Defender para Identidade. Além disso, se existir um problema no futuro com o controlador WinPcap, não existem opções para uma correção.

O Npcap é suportado, enquanto o WinPcap já não é um produto suportado.

A versão recomendada e oficialmente suportada do Npcap é a versão 1.0. Pode instalar uma versão mais recente do Npcap, mas tenha em atenção que, para resolução de problemas, o suporte irá pedir-lhe para mudar para uma versão anterior do Npcap para confirmar que o problema não está relacionado com a versão mais recente instalada.

Não, o Npcap tem uma isenção para o limite habitual de 5 instalações. Pode instalá-lo em sistemas ilimitados onde só é utilizado com o sensor do Defender para Identidade.

Veja o contrato de licença Npcap aqui e procure Microsoft Defender para Identidade.

Não, apenas o sensor de Microsoft Defender para Identidade suporta a versão Npcap 1.00.

Não, não precisa de comprar a versão OEM. Transfira a versão 2.156 e superior do pacote de instalação do sensor a partir da consola do Defender para Identidade, que inclui a versão OEM do Npcap.

• Pode obter os executáveis Npcap ao transferir o pacote de implementação mais recente do sensor do Defender para Identidade.

• Se ainda não instalou o sensor:

  1. Instale o sensor (com um pacote de instalação da versão 2.184 ou superior).

• Se já tiver instalado o sensor com o WinPcap e precisar de atualizar para utilizar o Npcap:

  1. Desinstale o sensor.
     • Utilize Adicionar/Remover programas no painel de controlo (appwiz.cpl) ou executando o seguinte comando de desinstalação:
       ".\Azure ATP Sensor Setup.exe" /uninstall /quiet
  2. Desinstale o WinPcap.
     • Nota: isto só é aplicável se o WinPcap tiver sido instalado manualmente antes da instalação do sensor. Neste caso, teria de remover manualmente o WinPcap.
  3. Reinstale o sensor (com um pacote de instalação da versão 2.184 ou superior).

• Se quiser instalar manualmente o Npcap:

  1. Instale o Npcap com as seguintes opções:
  • Se utilizar o instalador gui, desselecione o suporte de loopback e selecione Modo WinPcap . Certifique-se de que a opção Restringir o acesso do controlador Npcap aos Administradores só está desmarcada.
  • Se estiver a utilizar a linha de comandos: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Se quiser atualizar manualmente o Npcap:

  1. Parar os serviços de sensor do Defender para Identidade (AATPSensorUpdater e AATPSensor)
     Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
  2. Remover Npcap com Adicionar/Remover programas no painel de controlo (appwiz.cpl)
  3. Instale o Npcap com as seguintes opções:
     • Se utilizar o instalador gui, desselecione o suporte de loopback e selecione Modo WinPcap . Certifique-se de que a opção Restringir o acesso do controlador Npcap aos Administradores só está desmarcada.
     • Se estiver a utilizar a linha de comandos: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  4. Inicie os serviços de sensor do Defender para Identidade (AATPSensorUpdater e AATPSensor)
     Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

O Defender para Identidade pode ser configurado para enviar um alerta do Syslog para qualquer servidor SIEM com o formato CEF, para alertas de estado de funcionamento e quando é detetado um alerta de segurança. Veja a referência do registo SIEM para obter mais informações.

Isto acontece quando uma conta é membro de grupos designados como confidenciais (por exemplo: "Administradores de Domínio").

Para compreender por que motivo uma conta é confidencial, pode consultar a respetiva associação a grupos para compreender a que grupos sensíveis pertence (o grupo a que pertence também pode ser sensível devido a outro grupo, como tal, o mesmo processo deve ser efetuado até localizar o grupo sensível de nível mais alto). Também pode etiquetar manualmente contas como confidenciais.

Com o Defender para Identidade, não é necessário criar regras, limiares ou linhas de base e, em seguida, ajustar. O Defender para Identidade analisa os comportamentos entre utilizadores, dispositivos e recursos, bem como a relação entre si e pode detetar rapidamente atividades suspeitas e ataques conhecidos. Três semanas após a implementação, o Defender para Identidade começa a detetar atividades suspeitas comportamentais. Por outro lado, o Defender para Identidade começará a detetar ataques maliciosos conhecidos e problemas de segurança imediatamente após a implementação.

O Defender para Identidade gera tráfego de controladores de domínio para computadores na organização num dos três cenários:

1. Resolução de Nomes de Rede O Defender para Identidade captura tráfego e eventos, aprendizagem e criação de perfis de utilizadores e atividades de computador na rede. Para aprender e criar perfis de atividades de acordo com computadores na organização, o Defender para Identidade tem de resolver IPs para contas de computador. Para resolver IPs para nomes de computador, os sensores do Defender para Identidade pedem o endereço IP para o nome do computador por trás do endereço IP.

   Os pedidos são feitos com um de quatro métodos:

   • NTLM através de RPC (Porta TCP 135)
   • NetBIOS (Porta UDP 137)
   • RDP (porta TCP 3389)
   • Consultar o servidor DNS com a pesquisa DNS inversa do endereço IP (UDP 53)

   Depois de obter o nome do computador, os sensores do Defender para Identidade cruzam os detalhes no Active Directory para ver se existe um objeto de computador correlacionado com o mesmo nome de computador. Se for encontrada uma correspondência, é feita uma associação entre o endereço IP e o objeto de computador correspondente.

2. Caminho de Movimento Lateral (LMP) Para criar potenciais LMPs para utilizadores confidenciais, o Defender para Identidade requer informações sobre os administradores locais nos computadores. Neste cenário, o sensor do Defender para Identidade utiliza SAM-R (TCP 445) para consultar o endereço IP identificado no tráfego de rede, de modo a determinar os administradores locais do computador. Para saber mais sobre o Defender para Identidade e SAM-R, consulte Configurar as permissões de SAM-R necessárias.

3. Consultar o Active Directory através do LDAP para sensores de dados de entidades do Defender para Identidade consulta o controlador de domínio do domínio em que a entidade pertence. Pode ser o mesmo sensor ou outro controlador de domínio desse domínio.

O Defender para Identidade captura atividades em vários protocolos diferentes. Em alguns casos, o Defender para Identidade não recebe os dados do utilizador de origem no tráfego. O Defender para Identidade tenta correlacionar a sessão do utilizador com a atividade e, quando a tentativa é efetuada com êxito, é apresentado o utilizador de origem da atividade. Quando as tentativas de correlação de utilizadores falham, apenas o computador de origem é apresentado.

Observe o erro mais recente no registo de erros atual (em que o Defender para Identidade está instalado na pasta "Registos").

Consulte também

• Pré-requisitos do Defender para Identidade
• Planeamento da capacidade do Defender para Identidade
• Configurar a recolha de eventos
• Configurar o reencaminhamento de eventos do Windows
• Resolução de problemas
• Veja o fórum do Defender para Identidade!