適用於身分識別的 Microsoft Defender 常見問題

適用於身分識別的 Defender 會偵測已知的惡意攻擊和技術、安全性問題和網路風險。 如需適用於身分識別的 Defender 偵測的完整清單，請參閱 適用於身分識別的 Defender 安全性警示。

適用於身分識別的 Defender 會從您設定的伺服器收集並儲存資訊，例如域控制器、成員伺服器等等。 數據會儲存在服務特定的資料庫中，以供系統管理、追蹤和報告之用。

收集的資訊包括：

• 來自域控制器的網路流量，例如 Kerberos 驗證、NTLM 驗證或 DNS 查詢。
• 安全性記錄，例如 Windows 安全性事件。
• Active Directory 資訊，例如結構、子網或月臺。
• 實體資訊，例如名稱、電子郵件地址和電話號碼。

Microsoft 會使用此數據來：

• 主動識別組織中攻擊的指標。
• 如果偵測到可能的攻擊，請產生警示。
• 為您的安全性作業提供與網路威脅訊號相關的實體檢視，讓您能夠調查及探索網路上是否有安全性威脅。

Microsoft 不會針對廣告或提供服務以外的任何其他用途來挖掘您的數據。

適用於身分識別的 Defender 目前支援新增最多 30 個不同的目錄服務認證，以支援具有不受信任樹系的 Active Directory 環境。 如果您需要更多帳戶，請開啟支援票證。

除了使用深層封包檢查技術分析 Active Directory 流量之外，適用於身分識別的 Defender 也會從域控制器收集相關的 Windows 事件，並根據來自 Active Directory 網域服務 的資訊建立實體配置檔。 適用於身分識別的 Defender 也支援從各種廠商 （Microsoft、Cisco、F5 和 Checkpoint） 接收 VPN 記錄的 RADIUS 帳戶。

否。 適用於身分識別的 Defender 會監視網路中對 Active Directory 執行驗證和授權要求的所有裝置，包括非 Windows 和行動裝置。

是。 由於計算機帳戶和其他實體可用來執行惡意活動，適用於身分識別的 Defender 會監視所有電腦帳戶行為，以及環境中所有其他實體。

ATA 是具有多個元件的獨立內部部署解決方案，例如需要內部部署專用硬體的 ATA 中心。

適用於身分識別的 Defender 是使用您 內部部署的 Active Directory 訊號的雲端式安全性解決方案。 此解決方案可高度擴充且經常更新。

ATA 的最終版本已正式推出。 ATA 於 2021 年 1 月 12 日終止了主流支援。 外延支援會持續到 2026 年 1 月。 如需詳細資訊，請閱讀 我們的部落格。

相較於 ATA 感測器，適用於身分識別的 Defender 感測器也會使用數據源，例如 Windows 事件追蹤 （ETW），讓適用於身分識別的 Defender 提供額外的偵測。

適用於身分識別的 Defender 經常更新包括下列特性和功能：

• 支援多樹系環境：提供跨AD樹系的組織可見度。

• Microsoft 安全分數狀態評估：識別常見的設定錯誤和可利用的元件，並提供補救路徑來減少受攻擊面。

• UEBA 功能：透過使用者調查優先順序評分深入解析個別用戶風險。 分數可協助 SecOps 進行調查，並協助分析師瞭解使用者和組織不尋常的活動。

• 原生整合：與 適用於雲端的 Microsoft Defender Apps 和 Azure AD Identity Protection 整合，提供內部部署和混合式環境中所發生專案的混合式檢視。

• 參與 Microsoft Defender 全面偵測回應：提供警示和威脅數據給 Microsoft Defender 全面偵測回應。 Microsoft Defender 全面偵測回應 使用 Microsoft 365 安全性組合（身分識別、端點、數據和應用程式）來自動分析跨網域威脅數據，並在單一儀錶板中建置每個攻擊的完整畫面。

  透過這種廣度和深度的明確性，Defender 可以專注於重大威脅，並尋找複雜的缺口。 Defender 可以信任 Microsoft Defender 全面偵測回應 強大的自動化會停止在終止鏈結中的任何位置的攻擊，並將組織傳回安全狀態。

適用於身分識別的 Defender 可做為 Enterprise Mobility + Security 5 套件 （EMS E5） 的一部分，以及作為獨立授權。 您可以直接從 Microsoft 365 入口網站或 透過雲端解決方案合作夥伴 （CSP） 授權模型取得授權。

如需適用於身分識別的Defender授權需求的相關信息，請參閱 適用於身分識別的Defender授權指引。

是，您的數據會透過根據客戶標識碼的存取驗證和邏輯隔離來隔離。 每位客戶只能存取從其組織收集的數據，以及 Microsoft 提供的一般數據。

否。 建立適用於身分識別的 Defender 工作區時，它會自動儲存在最接近您 Microsoft Entra 租使用者的地理位置的 Azure 區域中。 建立適用於身分識別的 Defender 工作區之後，就無法將適用於身分識別的 Defender 資料移至不同的區域。

根據設計，Microsoft 開發人員和系統管理員已獲得足夠的許可權來執行其指派的職責，以操作和發展服務。 Microsoft 會部署預防性、偵探和反應式控件的組合，包括下列機制，以協助防範未經授權的開發人員和/或系統管理活動：

• 敏感數據的嚴格訪問控制
• 大幅增強惡意活動獨立偵測的控件組合
• 多個層級的監視、記錄和報告

此外，Microsoft 會針對特定作業人員進行背景驗證檢查，並限制與背景驗證層級成比例的應用程式、系統和網路基礎結構存取。 當作業人員必須存取客戶的帳戶或履行職責的相關信息時，作業人員會遵循正式程式。

建議您針對每個域控制器擁有適用於身分識別的 Defender 感測器或獨立感測器。 如需詳細資訊，請參閱 適用於身分識別的Defender感測器大小調整。

雖然具有加密流量的網路通訊協定，例如 AtSvc 和 WMI，但不會解密，但感測器仍會分析流量。

適用於身分識別的 Defender 支援 Kerberos 防護，也稱為彈性驗證安全通道 （FAST）。 此支援的例外狀況是哈希偵測的過度傳遞，這不適用於 Kerberos 防護。

適用於身分識別的 Defender 感測器可以涵蓋大部分的虛擬域控制器。 如需詳細資訊，請參閱 適用於身分識別容量的Defender規劃。

如果適用於身分識別的 Defender 感測器無法涵蓋虛擬域控制器，請改用虛擬或實體適用於身分識別的 Defender 獨立感測器。 如需詳細資訊，請參閱 設定埠鏡像。

最簡單的方式是讓虛擬 Defender for Identity 獨立感測器位於虛擬域控制器所在的每部主機上。

如果您的虛擬域控制器在主機之間移動，您需要執行下列其中一個步驟：

• 當虛擬域控制器移至另一部主機時，請在該主機中預先設定適用於身分識別的 Defender 獨立感測器，以接收來自最近行動虛擬域控制器的流量。

• 請確定您已將適用於身分識別的虛擬 Defender 獨立感測器與虛擬域控制器建立關聯，以便在行動時，適用於身分識別的 Defender 獨立感測器會隨之移動。

• 有些虛擬交換器可以傳送主機之間的流量。

若要讓域控制器與雲端服務通訊，您必須在防火牆/Proxy 中開啟：*.atp.azure.com 埠 443。 如需詳細資訊，請參閱 設定 Proxy 或防火牆，以啟用與適用於身分識別的 Defender 感測器的通訊。

是，您可以使用適用於身分識別的 Defender 感測器來監視任何 IaaS 解決方案中的域控制器。

適用於身分識別的Defender支援多網域環境和多個樹系。 如需詳細資訊和信任需求，請參閱 多樹系支援。

是，您可以檢視整體部署健康情況，以及與設定、連線能力等相關的任何特定問題。 當適用於身分識別的 Defender 健康情況問題發生時，您就會收到警示。

適用於身分識別的 Microsoft Defender 為所有 Active Directory 帳戶提供安全性值，包括未同步至 Microsoft Entra 識別符的帳戶。 同步處理至 Microsoft Entra ID 的用戶帳戶，也會受益於 Microsoft Entra ID 所提供的安全性值（根據授權等級）和調查優先順序評分。

適用於身分識別的 Microsoft Defender 小組建議所有客戶都使用 Npcap 驅動程式，而不是 WinPcap 驅動程式。 從適用於身分識別的 Defender 2.184 版開始，安裝套件會安裝 Npcap 1.0 OEM，而不是 WinPcap 4.1.3 驅動程式。

不再支援 WinPcap，由於不再開發，因此無法再針對適用於身分識別的 Defender 感測器優化驅動程式。 此外，如果 WinPcap 驅動程式未來發生問題，則沒有修正的選項。

支援 Npcap，而 WinPcap 不再是支持的產品。

MDI 感測器需要 Npcap 1.0 或更新版本。 如果未安裝任何其他版本的 Npcap，感測器安裝套件將會安裝 1.0 版。 如果您已安裝 Npcap（因為其他軟體需求或任何其他原因），請務必確定其版本為 1.0 或更新版本，且已隨 MDI 的必要設定一起安裝。

是。 需要手動移除感測器以移除 WinPcap 驅動程式。 使用最新套件重新安裝將會安裝 Npcap 驅動程式。

您可以看到 'Npcap OEM' 是透過新增/移除程式安裝 （appwiz.cpl），如果發生開啟 的健全狀況問題 ，它就會自動關閉。

否，Npcap 可免除通常五個安裝的限制。 您可以將它安裝在無限制的系統上，其中它只與適用於身分識別的 Defender 感測器搭配使用。

請參閱這裡的 Npcap 許可協定，並搜尋 適用於身分識別的 Microsoft Defender。

否，只有 適用於身分識別的 Microsoft Defender 感測器支援 Npcap 1.00 版。

否，您不需要購買 OEM 版本。 從適用於身分識別的 Defender 控制台下載感測器安裝套件 2.156 版和更新版本，其中包含 OEM 版本的 Npcap。

• 您可以下載適用於身分識別的 Defender 感測器的最新部署套件，以取得 Npcap 可執行檔。

• 如果您尚未安裝感測器，請使用 2.184 版或更高版本安裝感測器。

• 如果您已經使用 WinPcap 安裝感測器 ，且需要更新才能使用 Npcap：

  1. 卸載感測器。 使用 Windows 控制面板中的 [新增/移除程式] （appwiz.cpl），或執行下列卸載命令：".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. 視需要卸載 WinPcap。 只有在感測器安裝之前手動安裝 WinPcap 時，此步驟才相關。 在此情況下，您必須手動移除 WinPcap。

  3. 使用 2.184 版或更高版本重新安裝感測器。

• 如果您要手動安裝 Npcap：使用下列選項安裝 Npcap：

  • 如果您使用 GUI 安裝程式，請清除 回送支援 選項，然後選取 [WinPcap 模式]。 請確定已清除 [限制 Npcap 驅動程式只能存取 管理員 istrators] 選項。
  • 如果您使用命令列，請執行： npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• 如果您想要手動升級 Npcap：

  1. 停止適用於身分識別的 Defender 感測器服務、 AATPSensorUpdater 和 AATPSensor。 執行：Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. 在 Windows 控制面板中使用 [新增/移除程式 ] 移除 Npcap （appwiz.cpl）。

  3. 使用下列選項安裝 Npcap：

     • 如果您使用 GUI 安裝程式，請清除 回送支援 選項，然後選取 [WinPcap 模式]。 請確定已清除 [限制 Npcap 驅動程式只能存取 管理員 istrators] 選項。

     • 如果您使用命令列，請執行： npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. 啟動適用於身分識別的 Defender 感測器服務、 AATPSensorUpdater 和 AATPSensor。 執行：Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

適用於身分識別的 Defender 可以設定為使用 CEF 格式將 Syslog 警示傳送至任何 SIEM 伺服器，以找出健康情況問題，以及偵測到安全性警示時。 如需詳細資訊，請參閱 SIEM 記錄參考。

當帳戶是指定為敏感性的群組成員時，帳戶會被視為敏感性（例如：「網域 管理員」）。

若要了解帳戶為何敏感，您可以檢閱其群組成員資格，以瞭解其所屬敏感性群組。 它所屬的群組也可能因為另一個群組而敏感，因此應該執行相同的程式，直到您找到最高層級的敏感性群組為止。 或者，手動將 帳戶標記為敏感性。

使用適用於身分識別的 Defender，就不需要建立規則、閾值或基準，然後微調。 適用於身分識別的 Defender 會分析使用者、裝置和資源之間的行為，以及彼此的關係，並可快速偵測可疑的活動和已知攻擊。 部署三周后，適用於身分識別的 Defender 會開始偵測行為可疑活動。 另一方面，適用於身分識別的Defender將會在部署後立即開始偵測已知的惡意攻擊和安全性問題。

適用於身分識別的Defender會在下列三種案例之一中產生從域控制器到組織中的電腦流量：

• 適用於身分識別的網路名稱解析 Defender 會擷取流量和事件、學習和分析網路中的使用者和計算機活動。 若要根據組織中的計算機學習和分析活動，適用於身分識別的 Defender 必須解析計算機帳戶的 IP。 若要將IP解析為適用於身分識別感測器的電腦名稱Defender，請在IP位址後面要求計算機名稱的IP位址。

  要求是使用四種方法之一進行：

  • NTLM over RPC （TCP 連接埠 135）
  • NetBIOS （UDP 連接埠 137）
  • RDP （TCP 連接埠 3389）
  • 使用 IP 位址的反向 DNS 查閱來查詢 DNS 伺服器 （UDP 53）

  取得計算機名稱之後，適用於身分識別的 Defender 感測器會交叉檢查 Active Directory 中的詳細數據，以查看是否有具有相同電腦名稱的相互關聯計算機物件。 如果找到相符專案，則會在IP位址與相符的計算機對象之間建立關聯。

• 橫向動作路徑 （LMP） 若要為敏感性使用者建置潛在的 LMP，適用於身分識別的 Defender 需要電腦上本機系統管理員的相關信息。 在此案例中，適用於身分識別的Defender感測器會使用SAM-R（TCP 445） 來查詢網路流量中識別的IP位址，以判斷電腦的本機系統管理員。 若要深入瞭解適用於身分識別和 SAM-R 的 Defender，請參閱 設定 SAM-R 必要許可權。

• 針對適用於身分識別的 Defender 感測器使用 LDAP 查詢 Active Directory，會從實體所屬的網域查詢域控制器。 它可以是相同的感測器，或來自該網域的另一個域控制器。

適用於身分識別的Defender會透過許多不同的通訊協定來擷取活動。 在某些情況下，適用於身分識別的 Defender 不會在流量中接收來源用戶的數據。 適用於身分識別的 Defender 會嘗試將使用者的工作階段與活動相互關聯，且嘗試成功時，會顯示活動的來源使用者。 當使用者相互關聯嘗試失敗時，只會顯示來源計算機。

查看目前錯誤記錄檔中的最新錯誤（適用於身分識別的 Defender 安裝在 [記錄] 資料夾下）。

相關內容

• 適用於身分識別的Defender必要條件
• 適用於身分識別的Defender容量規劃
• 設定事件集合
• 設定 Windows 事件轉送
• 疑難排解
• 請參閱適用於身分識別的Defender論壇！