本文提供關於 適用於身分識別的 Microsoft Defender 分為下列類別的常見問題和解答清單:
什麼是適用於身分識別的Defender?
適用於身分識別的 Defender 可以偵測什麼?
適用於身分識別的 Defender 會偵測已知的惡意攻擊和技術、安全性問題和網路風險。 如需適用於身分識別的 Defender 偵測的完整清單,請參閱 適用於身分識別的 Defender 安全性警示。
適用於身分識別的Defender會收集哪些數據?
適用於身分識別的 Defender 會從您設定的伺服器收集並儲存資訊,例如域控制器、成員伺服器等等。 數據會儲存在服務特定的資料庫中,以供系統管理、追蹤和報告之用。
收集的資訊包括:
- 來自域控制器的網路流量,例如 Kerberos 驗證、NTLM 驗證或 DNS 查詢。
- 安全性記錄,例如 Windows 安全性事件。
- Active Directory 資訊,例如結構、子網或月臺。
- 實體資訊,例如名稱、電子郵件地址和電話號碼。
Microsoft使用此數據來:
- 主動識別組織中攻擊的指標。
- 如果偵測到可能的攻擊,請產生警示。
- 為您的安全性作業提供與網路威脅訊號相關的實體檢視,讓您能夠調查及探索網路上是否有安全性威脅。
Microsoft不會針對廣告或提供服務以外的任何其他用途來挖掘您的數據。
適用於身分識別的 Defender 支援多少個目錄服務認證?
適用於身分識別的 Defender 目前支援新增最多 30 個不同的目錄服務認證,以支援具有不受信任樹系的 Active Directory 環境。 如果您需要更多帳戶,請開啟支援票證。
適用於身分識別的 Defender 是否只使用來自 Active Directory 的流量?
除了使用深層封包檢查技術分析 Active Directory 流量之外,適用於身分識別的 Defender 也會從域控制器收集相關的 Windows 事件,並根據來自 Active Directory 網域服務 的資訊建立實體配置檔。 適用於身分識別的 Defender 也支援從各種廠商接收 VPN 記錄的 RADIUS 帳戶(Microsoft、Cisco、F5 和 Checkpoint)。
適用於身分識別的 Defender 是否只監視已加入網域的裝置?
否。 適用於身分識別的 Defender 會監視網路中對 Active Directory 執行驗證和授權要求的所有裝置,包括非 Windows 和行動裝置。
適用於身分識別的Defender是否監視電腦帳戶和用戶帳戶?
是。 由於計算機帳戶和其他實體可用來執行惡意活動,適用於身分識別的 Defender 會監視所有電腦帳戶行為,以及環境中所有其他實體。
進階威脅分析 (ATA) 和適用於身分識別的Defender有何差異?
ATA 是具有多個元件的獨立內部部署解決方案,例如需要內部部署專用硬體的 ATA 中心。
適用於身分識別的 Defender 是使用您 內部部署的 Active Directory 訊號的雲端式安全性解決方案。 此解決方案可高度擴充且經常更新。
ATA 的最終版本已正式推出。 ATA 於 2021 年 1 月 12 日終止了主流支援。 外延支援會持續到 2026 年 1 月。 如需詳細資訊,請閱讀 我們的部落格。
相較於 ATA 感測器,適用於身分識別的 Defender 感測器也會使用數據源,例如 Windows 事件追蹤 (ETW),讓適用於身分識別的 Defender 提供額外的偵測。
適用於身分識別的 Defender 經常更新包括下列特性和功能:
支援多樹系環境:提供跨AD樹系的組織可見度。
Microsoft安全分數狀態評估:識別常見的設定錯誤和可利用的元件,並提供補救路徑來減少受攻擊面。
UEBA 功能:透過使用者調查優先順序評分深入解析個別用戶風險。 分數可協助 SecOps 進行調查,並協助分析師瞭解使用者和組織不尋常的活動。
原生整合:與 適用於雲端的 Microsoft Defender Apps 和 Azure AD Identity Protection 整合,以提供內部部署和混合式環境中所發生專案的混合式檢視。
參與 Microsoft Defender 全面偵測回應:提供警示和威脅數據給 Microsoft Defender 全面偵測回應。 Microsoft Defender 全面偵測回應 使用Microsoft 365 安全性組合(身分識別、端點、數據和應用程式)來自動分析跨網域威脅數據,並在單一儀錶板中建置每個攻擊的完整畫面。
透過這種廣度和深度的明確性,Defender 可以專注於重大威脅,並尋找複雜的缺口。 Defender 可以信任 Microsoft Defender 全面偵測回應 強大的自動化會停止終止鏈結中的任何位置的攻擊,並將組織回復到安全狀態。
授權和隱私權
我可以在哪裡取得 適用於身分識別的 Microsoft Defender 授權?
適用於身分識別的 Defender 可做為 Enterprise Mobility + Security 5 套件 (EMS E5) 的一部分,以及作為獨立授權。 您可以直接從 Microsoft 365 入口網站或 雲端解決方案合作夥伴 (CSP) 授權模型取得授權。
適用於身分識別的 Defender 只需要單一授權,還是需要我想要保護的每個用戶的授權?
如需適用於身分識別的Defender授權需求的相關信息,請參閱 適用於身分識別的Defender授權指引。
我的數據是否與其他客戶數據隔離?
是,您的數據會透過根據客戶標識碼的存取驗證和邏輯隔離來隔離。 每位客戶只能存取從自己的組織和Microsoft提供的一般數據所收集的數據。
我是否能夠彈性地選取儲存數據的位置?
否。 建立適用於身分識別的 Defender 工作區時,它會自動儲存在最接近您Microsoft Entra 租使用者的地理位置的 Azure 區域中。 建立適用於身分識別的 Defender 工作區之後,就無法將適用於身分識別的 Defender 資料移至不同的區域。
Microsoft如何防止惡意內部活動及濫用高許可權角色?
Microsoft開發人員和系統管理員,根據設計,已獲得足夠的許可權來執行其指派的職責,以操作和發展服務。 Microsoft部署預防性、偵探和反應式控制的組合,包括下列機制,以協助防止未經授權的開發人員和/或系統管理活動:
- 敏感數據的嚴格訪問控制
- 大幅增強惡意活動獨立偵測的控件組合
- 多個層級的監視、記錄和報告
此外,Microsoft會對某些作業人員進行背景驗證檢查,並限制與背景驗證層級比例來存取應用程式、系統和網路基礎結構。 當作業人員必須存取客戶的帳戶或履行職責的相關信息時,作業人員會遵循正式程式。
部署
我需要多少適用於身分識別的Defender感測器?
建議您針對每個域控制器擁有適用於身分識別的 Defender 感測器或獨立感測器。 如需詳細資訊,請參閱 適用於身分識別的Defender感測器大小調整。
適用於身分識別的Defender是否可與加密流量搭配使用?
雖然具有加密流量的網路通訊協定,例如 AtSvc 和 WMI,但不會解密,但感測器仍會分析流量。
適用於身分識別的 Defender 是否可與 Kerberos 防護搭配運作?
適用於身分識別的 Defender 支援 Kerberos 防護,也稱為彈性驗證安全通道 (FAST)。 此支援的例外狀況是哈希偵測的過度傳遞,這不適用於 Kerberos 防護。
如何? 使用適用於身分識別的Defender監視虛擬域控制器?
適用於身分識別的 Defender 感測器可以涵蓋大部分的虛擬域控制器。 如需詳細資訊,請參閱 適用於身分識別容量的Defender規劃。
如果適用於身分識別的 Defender 感測器無法涵蓋虛擬域控制器,請改用虛擬或實體適用於身分識別的 Defender 獨立感測器。 如需詳細資訊,請參閱 設定埠鏡像。
最簡單的方式是讓虛擬 Defender for Identity 獨立感測器位於虛擬域控制器所在的每部主機上。
如果您的虛擬域控制器在主機之間移動,您需要執行下列其中一個步驟:
當虛擬域控制器移至另一部主機時,請在該主機中預先設定適用於身分識別的 Defender 獨立感測器,以接收來自最近行動虛擬域控制器的流量。
請確定您已將適用於身分識別的虛擬 Defender 獨立感測器與虛擬域控制器建立關聯,以便在行動時,適用於身分識別的 Defender 獨立感測器會隨之移動。
有些虛擬交換器可以傳送主機之間的流量。
如何? 當我有 Proxy 時,設定適用於身分識別的 Defender 感測器來與適用於身分識別的 Defender 雲端服務通訊?
若要讓域控制器與雲端服務通訊,您必須在防火牆/Proxy 中開啟:*.atp.azure.com 埠 443。 如需詳細資訊,請參閱 設定 Proxy 或防火牆,以啟用與適用於身分識別的 Defender 感測器的通訊。
適用於身分識別的Defender受監視域控制器是否可以在您的IaaS解決方案上虛擬化?
是,您可以使用適用於身分識別的 Defender 感測器來監視任何 IaaS 解決方案中的域控制器。
適用於身分識別的Defender是否支援多網域和多樹系?
適用於身分識別的Defender支援多網域環境和多個樹系。 如需詳細資訊和信任需求,請參閱 多樹系支援。
您是否可以看到部署的整體健康情況?
是,您可以檢視整體部署健康情況,以及與設定、連線能力等相關的任何特定問題。 當適用於身分識別的 Defender 健康情況問題發生時,您就會收到警示。
適用於身分識別的 Microsoft Defender 是否需要將使用者同步至Microsoft Entra 標識符?
適用於身分識別的 Microsoft Defender 為所有Active Directory 帳戶提供安全性值,包括未同步至Microsoft Entra標識符的帳戶。 同步至 Microsoft Entra 識別符的用戶帳戶,也會受益於Microsoft Entra ID 所提供的安全性值(根據授權層級)和調查優先順序評分。
WinPcap 和 Npcap 驅動程式
WinPcap 和 Npcap 驅動程式有哪些建議正在變更?
適用於身分識別的 Microsoft Defender 小組建議所有客戶都使用 Npcap 驅動程式,而不是 WinPcap 驅動程式。 從適用於身分識別的 Defender 2.184 版開始,安裝套件會安裝 Npcap 1.0 OEM,而不是 WinPcap 4.1.3 驅動程式。
為什麼我們要離開 WinPcap?
不再支援 WinPcap,由於不再開發,因此無法再針對適用於身分識別的 Defender 感測器優化驅動程式。 此外,如果 WinPcap 驅動程式未來發生問題,則沒有修正的選項。
為什麼是 Npcap?
支援 Npcap,而 WinPcap 不再是支持的產品。
支援哪個版本的 Npcap?
MDI 感測器需要 Npcap 1.0 或更新版本。 如果未安裝任何其他版本的 Npcap,感測器安裝套件將會安裝 1.0 版。 如果您已安裝 Npcap(因為其他軟體需求或任何其他原因),請務必確定其版本為 1.0 或更新版本,且已隨 MDI 的必要設定一起安裝。
我需要手動移除並重新安裝感測器,還是自動更新服務會在正常更新時處理此作業嗎?
是。 需要手動移除感測器以移除 WinPcap 驅動程式。 使用最新套件重新安裝將會安裝 Npcap 驅動程式。
如何檢查我目前安裝的適用於身分識別的Defender是否使用Npcap或 WinPcap?
您可以看到 'Npcap OEM' 是透過新增/移除程式安裝 (appwiz.cpl),如果發生開啟 的健全狀況問題 ,它就會自動關閉。
我的組織中有超過五個域控制器。 如果我在這些域控制器上使用 Npcap,是否需要購買 Npcap 授權?
否,Npcap 可免除通常五個安裝的限制。 您可以將它安裝在無限制的系統上,其中它只與適用於身分識別的 Defender 感測器搭配使用。
Npcap 是否也與 ATA 相關?
否,只有 適用於身分識別的 Microsoft Defender 感測器支援 Npcap 1.00 版。
我想要編寫 Npcap 部署腳本,我需要購買 OEM 版本嗎?
否,您不需要購買 OEM 版本。 從適用於身分識別的 Defender 控制台下載感測器安裝套件 2.156 版和更新版本,其中包含 OEM 版本的 Npcap。
如何? 下載並安裝或升級 Npcap 驅動程式?
您可以下載適用於身分識別的 Defender 感測器的最新部署套件,以取得 Npcap 可執行檔。
如果您尚未安裝感測器,請使用 2.184 版或更高版本安裝感測器。
如果您已經使用 WinPcap 安裝感測器 ,且需要更新才能使用 Npcap:
卸載感測器。 使用 Windows 控制面板中的 [新增/移除程式] (appwiz.cpl),或執行下列卸載命令:
".\Azure ATP Sensor Setup.exe" /uninstall /quiet
視需要卸載 WinPcap。 只有在感測器安裝之前手動安裝 WinPcap 時,此步驟才相關。 在此情況下,您必須手動移除 WinPcap。
使用 2.184 版或更高版本重新安裝感測器。
如果您要手動安裝 Npcap:使用下列選項安裝 Npcap:
- 如果您使用 GUI 安裝程式,請清除 回送支援 選項,然後選取 [WinPcap 模式]。 請確定 已清除 [限制 Npcap 驅動程式僅 存取系統管理員] 選項。
- 如果您使用命令列,請執行:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
如果您想要手動升級 Npcap:
停止適用於身分識別的 Defender 感測器服務、 AATPSensorUpdater 和 AATPSensor。 執行:
Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
在 Windows 控制面板中使用 [新增/移除程式 ] 移除 Npcap (appwiz.cpl)。
使用下列選項安裝 Npcap:
如果您使用 GUI 安裝程式,請清除 回送支援 選項,然後選取 [WinPcap 模式]。 請確定 已清除 [限制 Npcap 驅動程式僅 存取系統管理員] 選項。
如果您使用命令列,請執行:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
啟動適用於身分識別的 Defender 感測器服務、 AATPSensorUpdater 和 AATPSensor。 執行:
Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor
作業
適用於身分識別的 Defender 與 SIEM 有何整合?
適用於身分識別的 Defender 可以設定為使用 CEF 格式將 Syslog 警示傳送至任何 SIEM 伺服器,以找出健康情況問題,以及偵測到安全性警示時。 如需詳細資訊,請參閱 SIEM 記錄參考。
為什麼某些帳戶被視為敏感性?
當帳戶是指定為敏感性的群組成員時,帳戶會被視為敏感性帳戶(例如:「網域管理員」)。
若要了解帳戶為何敏感,您可以檢閱其群組成員資格,以瞭解其所屬敏感性群組。 它所屬的群組也可能因為另一個群組而敏感,因此應該執行相同的程式,直到您找到最高層級的敏感性群組為止。 或者,手動將 帳戶標記為敏感性。
您是否必須撰寫自己的規則並建立臨界值/基準?
使用適用於身分識別的 Defender,就不需要建立規則、閾值或基準,然後微調。 適用於身分識別的 Defender 會分析使用者、裝置和資源之間的行為,以及彼此的關係,並可快速偵測可疑的活動和已知攻擊。 部署三周后,適用於身分識別的 Defender 會開始偵測行為可疑活動。 另一方面,適用於身分識別的Defender將會在部署後立即開始偵測已知的惡意攻擊和安全性問題。
適用於身分識別的 Defender 會從域控制器在網路中產生哪些流量,以及原因為何?
適用於身分識別的Defender會在下列三種案例之一中產生從域控制器到組織中的電腦流量:
適用於身分識別的網路名稱解析 Defender 會擷取流量和事件、學習和分析網路中的使用者和計算機活動。 若要根據組織中的計算機學習和分析活動,適用於身分識別的 Defender 必須解析計算機帳戶的 IP。 若要將IP解析為適用於身分識別感測器的電腦名稱Defender,請在IP位址後面要求計算機名稱的IP位址。
要求是使用四種方法之一進行:
- NTLM over RPC (TCP 連接埠 135)
- NetBIOS (UDP 連接埠 137)
- RDP (TCP 連接埠 3389)
- 使用 IP 位址的反向 DNS 查閱來查詢 DNS 伺服器 (UDP 53)
取得計算機名稱之後,適用於身分識別的 Defender 感測器會交叉檢查 Active Directory 中的詳細數據,以查看是否有具有相同電腦名稱的相互關聯計算機物件。 如果找到相符專案,則會在IP位址與相符的計算機對象之間建立關聯。
橫向動作路徑 (LMP) 若要為敏感性使用者建置潛在的 LMP,適用於身分識別的 Defender 需要電腦上本機系統管理員的相關信息。 在此案例中,適用於身分識別的Defender感測器會使用SAM-R(TCP 445) 來查詢網路流量中識別的IP位址,以判斷電腦的本機系統管理員。 若要深入瞭解適用於身分識別和 SAM-R 的 Defender,請參閱 設定 SAM-R 必要許可權。
針對適用於身分識別的 Defender 感測器使用 LDAP 查詢 Active Directory,會從實體所屬的網域查詢域控制器。 它可以是相同的感測器,或來自該網域的另一個域控制器。
通訊協定 | 服務 | 連接埠 | 來源 | 方向 |
---|---|---|---|---|
LDAP | TCP 和 UDP | 389 | 網域控制站 | 輸出 |
安全 LDAP (LDAPS) | TCP | 636 | 網域控制站 | 輸出 |
LDAP 至全域編錄 | TCP | 3268 | 網域控制站 | 輸出 |
LDAPS 至全域編錄 | TCP | 3269 | 網域控制站 | 輸出 |
為什麼活動不一定會同時顯示來源用戶和計算機?
適用於身分識別的Defender會透過許多不同的通訊協定來擷取活動。 在某些情況下,適用於身分識別的 Defender 不會在流量中接收來源用戶的數據。 適用於身分識別的 Defender 會嘗試將使用者的工作階段與活動相互關聯,且嘗試成功時,會顯示活動的來源使用者。 當使用者相互關聯嘗試失敗時,只會顯示來源計算機。
為什麼我會看到 aatp.dns.detection.local 的 DNS 查詢?
適用於身分識別的 Defender 感測器可能會觸發對 “aatp.dns.detection.local” 的 DNS 呼叫,以回應 MDI 受監視計算機的特定傳入 DNS 活動。
個人資料管理
可以在適用於身分識別的Defender中更新個人資料嗎?
適用於身分識別的 Defender 中的個人資料衍生自組織 Active Directory 中的用戶物件,且無法直接在適用於身分識別的 Defender 中更新。
如何從適用於身分識別的Defender匯出個人資料?
您可以使用與導出安全性警示資訊相同的方法,從適用於身分識別的 Defender 導出個人資料。 如需詳細資訊,請參閱 檢閱安全性警示。
如何找出儲存在適用於身分識別的Defender中的個人資料?
使用 Microsoft Defender 入口網站搜尋列來搜尋可識別的個人資料,例如特定用戶或計算機。 如需詳細資訊,請參閱 調查資產。
適用於身分識別的 Defender 在個人資料上執行何種稽核?
適用於身分識別的 Defender 會實作個人資料變更的稽核,包括刪除和匯出個人資料記錄。 稽核記錄保留時間為90天。 適用於身分識別的 Defender 中的稽核是後端功能,客戶無法存取。
當使用者從組織的 Active Directory 中刪除使用者時,適用於身分識別的 Defender 會發生什麼事?
從組織的 Active Directory 中刪除用戶之後,除非數據是作用中事件的一部分,否則適用於身分識別的 Defender 會自動刪除使用者配置檔和任何相關的網路活動,以配合適用於身分識別的 Defender 一 般數據保留原則。 建議您在 [已刪除的物件] 容器上新增唯讀許可權。 如需詳細資訊,請參閱 授與必要的 DSA 許可權。
疑難排解
如果適用於身分識別的 Defender 感測器或獨立感測器未啟動,該怎麼辦?
查看目前錯誤記錄檔中的最新錯誤(適用於身分識別的 Defender 安裝在 [記錄] 資料夾下)。