Microsoft Defender для удостоверений часто задаваемые вопросы

Defender для удостоверений обнаруживает известные вредоносные атаки и методы, проблемы безопасности и риски для вашей сети. Полный список обнаружения удостоверений Defender для удостоверений см. в разделе Defender для оповещений системы безопасности удостоверений.

Defender для удостоверений собирает и сохраняет информацию с настроенных серверов, таких как контроллеры домена, серверы-члены и т. д. Данные хранятся в базе данных, относящейся к службе для администрирования, отслеживания и создания отчетов.

Собранные сведения включают:

• Сетевой трафик к контроллерам домена, таким как проверка подлинности Kerberos, проверка подлинности NTLM или DNS-запросы.
• Журналы безопасности, такие как события безопасности Windows.
• Сведения Active Directory, такие как структура, подсети или сайты.
• Сведения об сущности, такие как имена, адреса электронной почты и номера телефонов.

Корпорация Майкрософт использует эти данные для:

• Упреждающее определение индикаторов атак (IOA) в организации.
• Создайте оповещения, если обнаружена возможная атака.
• Предоставьте операции безопасности с представлением сущностей, связанных с сигналами об угрозах из сети, что позволяет исследовать и изучать наличие угроз безопасности в сети.

Корпорация Майкрософт не минет ваши данные для рекламы или для других целей, кроме предоставления услуг.

Defender для удостоверений в настоящее время поддерживает добавление до 30 разных учетных данных службы каталогов для поддержки сред Active Directory с недоверенными лесами. Если требуется больше учетных записей, откройте запрос в службу поддержки.

Помимо анализа трафика Active Directory с помощью технологии глубокой проверки пакетов Defender для удостоверений, также собирает соответствующие события Windows с контроллера домена и создает профили сущностей на основе сведений из служб домен Active Directory. Defender для удостоверений также поддерживает получение учетных записей RADIUS журналов VPN от различных поставщиков (Майкрософт, Cisco, F5 и контрольных точек).

№ Defender для удостоверений отслеживает все устройства в сети, выполняя запросы проверки подлинности и авторизации в Active Directory, включая устройства, отличные от Windows и мобильных устройств.

Да. Так как учетные записи компьютеров и другие сущности можно использовать для выполнения вредоносных действий, Defender для удостоверений отслеживает поведение всех учетных записей компьютеров и все остальные сущности в среде.

ATA — это автономное локальное решение с несколькими компонентами, такими как центр ATA, который требует выделенного оборудования локальной среды.

Defender для удостоверений — это облачное решение для обеспечения безопасности, использующее сигналы локальная служба Active Directory. Решение является высокомасштабируемым и часто обновляется.

Окончательный выпуск ATA общедоступен. ATA завершила основную поддержку 12 января 2021 года. Расширенная поддержка продолжается до января 2026 г. Дополнительные сведения см . в нашем блоге.

В отличие от датчика ATA, датчик Defender для удостоверений также использует такие источники данных, как трассировка событий для Windows (ETW), что позволяет Defender для идентификации предоставлять дополнительные обнаружения.

Частые обновления Defender для удостоверений включают следующие функции и возможности:

• Поддержка сред с несколькими лесами: обеспечивает видимость организаций в лесах AD.

• Оценки оценки оценки безопасности Майкрософт: определяет распространенные неправильно настроенные компоненты и компоненты, которые можно использовать, и предоставляет пути исправления для уменьшения области атаки.

• Возможности UEBA: Аналитика в отдельный риск пользователя с помощью оценки приоритета исследования пользователей. Оценка может помочь SecOps в своих расследованиях и помочь аналитикам понять необычные действия для пользователя и организации.

• Собственные интеграции: интегрируется с Microsoft Defender для облака Apps и Azure AD Identity Protection, чтобы обеспечить гибридное представление о том, что происходит как в локальных, так и в гибридных средах.

• Вносит свой вклад в XDR в Microsoft Defender: вносит в microsoft Defender XDR оповещение и данные об угрозах. XDR в Microsoft Defender использует портфель безопасности Microsoft 365 (удостоверения, конечные точки, данные и приложения) для автоматического анализа данных угроз между доменами, создания полной картины каждой атаки на одной панели мониторинга.

  С этой широтой и глубиной ясности Защитники могут сосредоточиться на критических угрозах и охотиться на сложные нарушения. Защитники могут доверять тому, что мощная автоматизация XDR в Microsoft Defender останавливает атаки в любой точке цепочки убийств и возвращает организацию в безопасное состояние.

Defender для удостоверений доступен как часть набора Enterprise Mobility + Security 5 (EMS E5) и как автономная лицензия. Вы можете получить лицензию непосредственно на портале Microsoft 365 или с помощью модели лицензирования Cloud Solution Partner (CSP).

Дополнительные сведения о требованиях к лицензированию удостоверений Defender для удостоверений см . в руководстве по лицензированию Defender для удостоверений.

Да, данные изолированы через проверку подлинности доступа и логическую сегрегацию на основе идентификаторов клиентов. Каждый клиент может получить доступ только к данным, собранным из собственной организации, и универсальным данным, которые предоставляет Корпорация Майкрософт.

№ При создании рабочей области Defender для удостоверений она сохраняется автоматически в регионе Azure, который ближе всего к географическому расположению клиента Microsoft Entra. После создания рабочей области Defender для удостоверений не удается переместить данные Defender для удостоверений в другой регион.

Разработчики и администраторы Майкрософт имеют достаточные привилегии для выполнения назначенных им обязанностей по работе и развитию службы. Корпорация Майкрософт развертывает сочетания профилактических, детективных и реактивных элементов управления, включая следующие механизмы для защиты от несанкционированного разработчика и (или) административной деятельности:

• Жесткое управление доступом к конфиденциальным данным
• Сочетания элементов управления, которые значительно улучшают независимое обнаружение вредоносных действий
• Несколько уровней мониторинга, ведения журнала и отчетов

Кроме того, корпорация Майкрософт проводит фоновую проверку проверка для определенных сотрудников операций и ограничивает доступ к приложениям, системам и сетевой инфраструктуре в пропорции к уровню фоновой проверки. Сотрудники операций выполняют формальный процесс, когда они необходимы для доступа к учетной записи клиента или связанной информации в ходе выполнения своих обязанностей.

Рекомендуется использовать датчик Defender для удостоверений или автономный датчик для каждого контроллера домена. Дополнительные сведения см. в разделе Defender для датчика удостоверений.

Хотя сетевые протоколы с зашифрованным трафиком, например AtSvc и WMI, не расшифровываются, датчики по-прежнему анализируют трафик.

Defender для удостоверений поддерживает защиту Kerberos, также называемую гибкой проверкой подлинности Secure Tunneling (FAST). Исключением из этой поддержки является перепродажа обнаружение хэша, которое не работает с Защита Kerberos.

Датчик Defender для удостоверений может охватывать большинство виртуальных контроллеров домена. Дополнительные сведения см. в разделе Defender для планирования емкости удостоверений.

Если датчик Defender для удостоверений не может охватывать виртуальный контроллер домена, используйте вместо этого виртуальный или физический датчик Defender для удостоверений. Дополнительные сведения см. в разделе "Настройка зеркало порта".

Самый простой способ — иметь автономный датчик Virtual Defender для удостоверений на каждом узле, где существует виртуальный контроллер домена.

Если виртуальные контроллеры домена перемещаются между узлами, необходимо выполнить одно из следующих действий:

• При переходе виртуального контроллера домена на другой узел предварительно настройте автономный датчик Defender для удостоверений, чтобы получить трафик от недавно перемещенного виртуального контроллера домена.

• Убедитесь, что вы присоединитесь к виртуальному датчику Defender для удостоверений с виртуальным контроллером домена, чтобы, если он перемещен, автономный датчик Defender для удостоверений перемещается вместе с ним.

• Существуют некоторые виртуальные коммутаторы, которые могут отправлять трафик между узлами.

Чтобы контроллеры домена взаимодействовали с облачной службой, необходимо открыть : *.atp.azure.com порт 443 в брандмауэре или прокси-сервере. Дополнительные сведения см. в статье "Настройка прокси-сервера или брандмауэра для включения связи с датчиками Defender для удостоверений".

Да, датчик Defender для удостоверений можно использовать для мониторинга контроллеров домена, которые находятся в любом решении IaaS.

Defender для удостоверений поддерживает среды с несколькими доменами и несколькими лесами. Дополнительные сведения и требования доверия см. в разделе поддержки с несколькими лесами.

Да, вы можете просмотреть общую работоспособность развертывания и любые конкретные проблемы, связанные с конфигурацией, подключением и т. д. Вы оповещены, так как эти события происходят с проблемами работоспособности Defender для идентификации.

Microsoft Defender для удостоверений предоставляет значение безопасности для всех учетных записей Active Directory, включая те, которые не синхронизируются с идентификатором Microsoft Entra. Учетные записи пользователей, синхронизированные с идентификатором Microsoft Entra ID, также будут использовать значение безопасности, предоставленное идентификатором Microsoft Entra (на основе уровня лицензии) и оценкой приоритета исследования.

Команда Microsoft Defender для удостоверений рекомендует всем клиентам использовать драйвер Npcap вместо драйверов WinPcap. Начиная с Defender для удостоверений версии 2.184, пакет установки устанавливает Npcap 1.0 OEM вместо драйверов WinPcap 4.1.3.

WinPcap больше не поддерживается и так как он больше не разрабатывается, драйвер больше не может быть оптимизирован для датчика Defender для удостоверений. Кроме того, если в будущем возникла проблема с драйвером WinPcap, нет вариантов исправления.

Npcap поддерживается, в то время как WinPcap больше не является поддерживаемым продуктом.

Для датчика MDI требуется Npcap 1.0 или более поздней версии. Пакет установки датчика установит версию 1.0, если другая версия Npcap не установлена. Если у вас уже установлен Npcap (из-за других требований к программному обеспечению или любой другой причине), важно убедиться, что он установлен версии 1.0 или более поздней версии, и что он был установлен с необходимыми параметрами для MDI.

Да. Для удаления драйверов WinPcap необходимо вручную удалить датчик. Переустановка с помощью последнего пакета установит драйверы Npcap.

Вы увидите, что программа Npcap OEM устанавливается с помощью программ "Добавление и удаление" (appwiz.cpl), и если для этого возникла открытая проблема со работоспособностью, она будет автоматически закрыта.

Нет, Npcap имеет исключение из обычного ограничения на пять установок. Его можно установить в неограниченных системах, где он используется только с датчиком Defender для удостоверений.

Просмотрите лицензионное соглашение Npcap здесь и найдите Microsoft Defender для удостоверений.

Нет, только датчик Microsoft Defender для удостоверений поддерживает Npcap версии 1.00.

Нет, вам не нужно приобретать версию OEM. Скачайте пакет установки датчика версии 2.156 и выше из консоли Defender для удостоверений, которая включает в себя версию OEM Npcap.

• Исполняемые файлы Npcap можно получить, скачав последний пакет развертывания датчика Defender для удостоверений.

• Если датчик еще не установлен, установите датчик с помощью версии 2.184 или более поздней.

• Если датчик уже установлен с помощью WinPcap и необходимо обновить для использования Npcap:

  1. Удалите датчик. Используйте программы add/Remove из панели управления Windows (appwiz.cpl) или выполните следующую команду удаления:".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. При необходимости удалите WinPcap. Этот шаг имеет значение, только если WinPcap был установлен вручную до установки датчика. В этом случае необходимо вручную удалить WinPcap.

  3. Переустановите датчик с помощью версии 2.184 или более поздней.

• Если вы хотите вручную установить Npcap: установите Npcap со следующими параметрами:

  • Если вы используете установщик графического интерфейса, снимите параметр поддержки loopback и выберите режим WinPcap . Убедитесь, что параметр "Ограничить доступ драйвера Npcap к Администратор istrators" очищается.
  • Если вы используете командную строку, выполните следующую команду: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Если вы хотите вручную обновить Npcap:

  1. Остановите службы датчиков Defender для удостоверений, AATPSensorUpdater и AATPSensor. Выполните Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force.

  2. Удалите Npcap с помощью программ add/Remove на панели управления Windows (appwiz.cpl).

  3. Установите Npcap со следующими параметрами:

     • Если вы используете установщик графического интерфейса, снимите параметр поддержки loopback и выберите режим WinPcap . Убедитесь, что параметр "Ограничить доступ драйвера Npcap к Администратор istrators" очищается.

     • Если вы используете командную строку, выполните следующую команду: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Запустите службы датчиков Defender для удостоверений, AATPSensorUpdater и AATPSensor. Выполните Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor.

Defender для удостоверений можно настроить для отправки оповещения системного журнала на любой сервер SIEM с использованием формата CEF для проблем со работоспособностью и при обнаружении оповещения системы безопасности. Дополнительные сведения см. в справочнике по журналу SIEM.

Учетные записи считаются конфиденциальными, если учетная запись является членом групп, которые считаются конфиденциальными (например, "Доменные Администратор").

Чтобы понять, почему учетная запись учитывается, можно просмотреть ее членство в группе, чтобы понять, к каким конфиденциальным группам она принадлежит. Группа, к которой она принадлежит, также может быть конфиденциальной из-за другой группы, поэтому тот же процесс должен выполняться до тех пор, пока не найдите наиболее высокий уровень конфиденциальной группы. Кроме того, вручную помечайте учетные записи как конфиденциальные.

При использовании Defender для удостоверений нет необходимости создавать правила, пороговые значения или базовые показатели, а затем точно настраивать. Defender для удостоверений анализирует поведение пользователей, устройств и ресурсов, а также их связь друг с другом и может быстро обнаруживать подозрительные действия и известные атаки. Через три недели после развертывания Defender для удостоверений начинает обнаруживать подозрительные действия поведения. С другой стороны, Defender для удостоверений начнет обнаруживать известные вредоносные атаки и проблемы безопасности сразу после развертывания.

Defender для удостоверений создает трафик от контроллеров домена к компьютерам в организации в одном из трех сценариев:

• Защитник разрешения сетевых имен для удостоверений записывает трафик и события, обучение и профилирование пользователей и действия компьютера в сети. Чтобы узнать и профилировать действия в соответствии с компьютерами в организации, Defender для удостоверений необходимо разрешить IP-адреса учетным записям компьютеров. Чтобы разрешить IP-адреса для датчиков Defender для удостоверений, запросите IP-адрес для имени компьютера за IP-адресом.

  Запросы выполняются с помощью одного из четырех методов:

  • NTLM через RPC (TCP-порт 135)
  • NetBIOS (порт UDP 137)
  • RDP (TCP-порт 3389)
  • Запрос DNS-сервера с помощью обратного поиска DNS-адреса (UDP 53)

  После получения имени компьютера датчики Defender для удостоверений пересекаются проверка сведения в Active Directory, чтобы узнать, есть ли сопоставленный объект компьютера с тем же именем компьютера. Если совпадение найдено, связь выполняется между IP-адресом и соответствующим объектом компьютера.

• Путь бокового перемещения (LMP) для создания потенциальных LMPs для конфиденциальных пользователей, Defender для удостоверений требует сведения о локальных администраторах на компьютерах. В этом сценарии датчик Defender для удостоверений использует SAM-R (TCP 445) для запроса IP-адреса, определенного в сетевом трафике, для определения локальных администраторов компьютера. Дополнительные сведения о Defender для удостоверений и SAM-R см. в разделе "Настройка необходимых разрешений SAM-R".

• Запрос Active Directory с помощью LDAP для датчиков данных сущности defender для удостоверений запрашивает контроллер домена из домена, в котором принадлежит сущность. Это может быть тот же датчик или другой контроллер домена из этого домена.

Defender для удостоверений фиксирует действия по нескольким разным протоколам. В некоторых случаях Defender для удостоверений не получает данные исходного пользователя в трафике. Defender для удостоверений пытается сопоставить сеанс пользователя с действием, и при успешной попытке отображается исходный пользователь действия. При неудачных попытках корреляции пользователей отображается только исходный компьютер.

Просмотрите последнюю ошибку в текущем журнале ошибок (где Defender для удостоверений установлен в папке Logs).

Связанный контент

• Предварительные требования Defender для удостоверений
• Планирование ресурсов Defender для удостоверений
• Настройка коллекции событий
• Настройка пересылки событий Windows
• Устранение неполадок
• Ознакомьтесь с форумом по Defender для удостоверений.