Microsoft Defender для удостоверений часто задаваемые вопросы

В этой статье представлен список часто задаваемых вопросов и ответов о Microsoft Defender для удостоверений разделенных на следующие категории:

Что такое Defender для удостоверений?

Что может обнаруживать Defender для удостоверений?

Defender для удостоверений обнаруживает известные вредоносные атаки и методы, проблемы безопасности и риски для вашей сети. Полный список обнаружения удостоверений Defender для удостоверений см. в разделе Defender для оповещений системы безопасности удостоверений.

Какие данные собирают Defender для удостоверений?

Defender для удостоверений собирает и сохраняет информацию с настроенных серверов, таких как контроллеры домена, серверы-члены и т. д. Данные хранятся в базе данных, относящейся к службе для администрирования, отслеживания и создания отчетов.

Собранные сведения включают:

  • Сетевой трафик к контроллерам домена, таким как проверка подлинности Kerberos, проверка подлинности NTLM или DNS-запросы.
  • Журналы безопасности, такие как события безопасности Windows.
  • Сведения Active Directory, такие как структура, подсети или сайты.
  • Сведения об сущности, такие как имена, адреса электронной почты и номера телефонов.

Корпорация Майкрософт использует эти данные для:

  • Упреждающее определение индикаторов атак (IOA) в организации.
  • Создайте оповещения, если обнаружена возможная атака.
  • Предоставьте операции безопасности с представлением сущностей, связанных с сигналами об угрозах из сети, что позволяет исследовать и изучать наличие угроз безопасности в сети.

Корпорация Майкрософт не минет ваши данные для рекламы или для других целей, кроме предоставления услуг.

Сколько учетных данных службы каталогов поддерживает Defender для удостоверений?

Defender для удостоверений в настоящее время поддерживает добавление до 30 разных учетных данных службы каталогов для поддержки сред Active Directory с недоверенными лесами. Если требуется больше учетных записей, откройте запрос в службу поддержки.

Использует ли Defender для удостоверений только трафик из Active Directory?

Помимо анализа трафика Active Directory с помощью технологии глубокой проверки пакетов Defender для удостоверений, также собирает соответствующие события Windows с контроллера домена и создает профили сущностей на основе сведений из служб домен Active Directory. Defender для удостоверений также поддерживает получение учетных записей RADIUS журналов VPN от различных поставщиков (Майкрософт, Cisco, F5 и контрольных точек).

Отслеживает ли Defender для удостоверений только присоединенные к домену устройства?

№ Defender для удостоверений отслеживает все устройства в сети, выполняя запросы проверки подлинности и авторизации в Active Directory, включая устройства, отличные от Windows и мобильных устройств.

Отслеживает ли Defender для удостоверений учетные записи компьютеров и учетные записи пользователей?

Да. Так как учетные записи компьютеров и другие сущности можно использовать для выполнения вредоносных действий, Defender для удостоверений отслеживает поведение всех учетных записей компьютеров и все остальные сущности в среде.

В чем разница между Advanced Threat Analytics (ATA) и Defender для удостоверений?

ATA — это автономное локальное решение с несколькими компонентами, такими как центр ATA, который требует выделенного оборудования локальной среды.

Defender для удостоверений — это облачное решение для обеспечения безопасности, использующее сигналы локальная служба Active Directory. Решение является высокомасштабируемым и часто обновляется.

Окончательный выпуск ATA общедоступен. ATA завершила основную поддержку 12 января 2021 года. Расширенная поддержка продолжается до января 2026 г. Дополнительные сведения см . в нашем блоге.

В отличие от датчика ATA, датчик Defender для удостоверений также использует такие источники данных, как трассировка событий для Windows (ETW), что позволяет Defender для идентификации предоставлять дополнительные обнаружения.

Частые обновления Defender для удостоверений включают следующие функции и возможности:

  • Поддержка сред с несколькими лесами: обеспечивает видимость организаций в лесах AD.

  • Оценки оценки оценки безопасности Майкрософт: определяет распространенные неправильно настроенные компоненты и компоненты, которые можно использовать, и предоставляет пути исправления для уменьшения области атаки.

  • Возможности UEBA: аналитика отдельных рисков пользователей с помощью оценки приоритета исследования пользователей. Оценка может помочь SecOps в своих расследованиях и помочь аналитикам понять необычные действия для пользователя и организации.

  • Собственные интеграции: интегрируется с Microsoft Defender для облака Apps и Azure AD Identity Protection, чтобы обеспечить гибридное представление о том, что происходит как в локальных, так и в гибридных средах.

  • Вносит свой вклад в XDR в Microsoft Defender: вносит в microsoft Defender XDR оповещение и данные об угрозах. XDR в Microsoft Defender использует портфель безопасности Microsoft 365 (удостоверения, конечные точки, данные и приложения) для автоматического анализа данных угроз между доменами, создания полной картины каждой атаки на одной панели мониторинга.

    С этой широтой и глубиной ясности Защитники могут сосредоточиться на критических угрозах и охотиться на сложные нарушения. Защитники могут доверять тому, что мощная автоматизация XDR в Microsoft Defender останавливает атаки в любой точке цепочки убийств и возвращает организацию в безопасное состояние.

Лицензирование и конфиденциальность

Где можно получить лицензию на Microsoft Defender для удостоверений?

Defender для удостоверений доступен как часть набора Enterprise Mobility + Security 5 (EMS E5) и как автономная лицензия. Вы можете получить лицензию непосредственно на портале Microsoft 365 или с помощью модели лицензирования Cloud Solution Partner (CSP).

Требуется ли Defender для удостоверений только одна лицензия или требуется ли лицензия для каждого пользователя, которого требуется защитить?

Дополнительные сведения о требованиях к лицензированию удостоверений Defender для удостоверений см . в руководстве по лицензированию Defender для удостоверений.

Изолированы ли мои данные от других данных клиента?

Да, данные изолированы через проверку подлинности доступа и логическую сегрегацию на основе идентификаторов клиентов. Каждый клиент может получить доступ только к данным, собранным из собственной организации, и универсальным данным, которые предоставляет Корпорация Майкрософт.

У меня есть гибкость, чтобы выбрать место хранения данных?

№ При создании рабочей области Defender для удостоверений она сохраняется автоматически в регионе Azure, который ближе всего к географическому расположению клиента Microsoft Entra. После создания рабочей области Defender для удостоверений не удается переместить данные Defender для удостоверений в другой регион.

Как корпорация Майкрософт предотвращает вредоносные действия и злоупотребление ролями с высокими привилегиями?

Разработчики и администраторы Майкрософт имеют достаточные привилегии для выполнения назначенных им обязанностей по работе и развитию службы. Корпорация Майкрософт развертывает сочетания профилактических, детективных и реактивных элементов управления, включая следующие механизмы для защиты от несанкционированного разработчика и (или) административной деятельности:

  • Жесткое управление доступом к конфиденциальным данным
  • Сочетания элементов управления, которые значительно улучшают независимое обнаружение вредоносных действий
  • Несколько уровней мониторинга, ведения журнала и отчетов

Кроме того, корпорация Майкрософт проводит проверку фоновой проверки для определенных сотрудников операций и ограничивает доступ к приложениям, системам и сетевой инфраструктуре в зависимости от уровня фоновой проверки. Сотрудники операций выполняют формальный процесс, когда они необходимы для доступа к учетной записи клиента или связанной информации в ходе выполнения своих обязанностей.

Развертывание

Сколько датчиков Defender для удостоверений нужно?

Рекомендуется использовать датчик Defender для удостоверений или автономный датчик для каждого контроллера домена. Дополнительные сведения см. в разделе Defender для датчика удостоверений.

Работает ли Defender для удостоверений с зашифрованным трафиком?

Хотя сетевые протоколы с зашифрованным трафиком, например AtSvc и WMI, не расшифровываются, датчики по-прежнему анализируют трафик.

Работает ли Defender для удостоверений с защитой Kerberos?

Defender для удостоверений поддерживает защиту Kerberos, также называемую гибкой проверкой подлинности Secure Tunneling (FAST). Исключением из этой поддержки является перепродажа обнаружение хэша, которое не работает с Защита Kerberos.

Разделы справки отслеживать виртуальный контроллер домена с помощью Defender для удостоверений?

Датчик Defender для удостоверений может охватывать большинство виртуальных контроллеров домена. Дополнительные сведения см. в разделе Defender для планирования емкости удостоверений.

Если датчик Defender для удостоверений не может охватывать виртуальный контроллер домена, используйте вместо этого виртуальный или физический датчик Defender для удостоверений. Дополнительные сведения см. в разделе "Настройка зеркального отображения портов".

Самый простой способ — иметь автономный датчик Virtual Defender для удостоверений на каждом узле, где существует виртуальный контроллер домена.

Если виртуальные контроллеры домена перемещаются между узлами, необходимо выполнить одно из следующих действий:

  • При переходе виртуального контроллера домена на другой узел предварительно настройте автономный датчик Defender для удостоверений, чтобы получить трафик от недавно перемещенного виртуального контроллера домена.

  • Убедитесь, что вы присоединитесь к виртуальному датчику Defender для удостоверений с виртуальным контроллером домена, чтобы, если он перемещен, автономный датчик Defender для удостоверений перемещается вместе с ним.

  • Существуют некоторые виртуальные коммутаторы, которые могут отправлять трафик между узлами.

Разделы справки настроить датчики Defender для удостоверений для взаимодействия с облачной службой Defender для удостоверений при наличии прокси-сервера?

Чтобы контроллеры домена взаимодействовали с облачной службой, необходимо открыть : *.atp.azure.com порт 443 в брандмауэре или прокси-сервере. Дополнительные сведения см. в статье "Настройка прокси-сервера или брандмауэра для включения связи с датчиками Defender для удостоверений".

Можно ли виртуализировать отслеживаемые контроллеры домена Defender для удостоверений в решении IaaS?

Да, датчик Defender для удостоверений можно использовать для мониторинга контроллеров домена, которые находятся в любом решении IaaS.

Может ли Defender для удостоверений поддерживать многодоменные и многодоменные леса?

Defender для удостоверений поддерживает среды с несколькими доменами и несколькими лесами. Дополнительные сведения и требования доверия см. в разделе поддержки с несколькими лесами.

Можно ли увидеть общую работоспособность развертывания?

Да, вы можете просмотреть общую работоспособность развертывания и любые конкретные проблемы, связанные с конфигурацией, подключением и т. д. Вы оповещены, так как эти события происходят с проблемами работоспособности Defender для идентификации.

Требуется ли Microsoft Defender для удостоверений синхронизация пользователей с идентификатором Microsoft Entra?

Microsoft Defender для удостоверений предоставляет значение безопасности для всех учетных записей Active Directory, включая те, которые не синхронизируются с идентификатором Microsoft Entra. Учетные записи пользователей, синхронизированные с идентификатором Microsoft Entra ID, также будут использовать значение безопасности, предоставленное идентификатором Microsoft Entra (на основе уровня лицензии) и оценкой приоритета исследования.

Драйверы WinPcap и Npcap

Какие рекомендации по драйверам WinPcap и Npcap изменяются?

Команда Microsoft Defender для удостоверений рекомендует всем клиентам использовать драйвер Npcap вместо драйверов WinPcap. Начиная с Defender для удостоверений версии 2.184, пакет установки устанавливает Npcap 1.0 OEM вместо драйверов WinPcap 4.1.3.

Почему мы уедем от WinPcap?

WinPcap больше не поддерживается и так как он больше не разрабатывается, драйвер больше не может быть оптимизирован для датчика Defender для удостоверений. Кроме того, если в будущем возникла проблема с драйвером WinPcap, нет вариантов исправления.

Почему Npcap?

Npcap поддерживается, в то время как WinPcap больше не является поддерживаемым продуктом.

Какая версия Npcap поддерживается?

Для датчика MDI требуется Npcap 1.0 или более поздней версии. Пакет установки датчика установит версию 1.0, если другая версия Npcap не установлена. Если у вас уже установлен Npcap (из-за других требований к программному обеспечению или любой другой причине), важно убедиться, что он установлен версии 1.0 или более поздней версии, и что он был установлен с необходимыми параметрами для MDI.

Нужно ли вручную удалить и переустановить датчик или будет ли служба автоматического обновления обрабатывать эту функцию в рамках обычного обновления?

Да. Для удаления драйверов WinPcap необходимо вручную удалить датчик. Переустановка с помощью последнего пакета установит драйверы Npcap.

Как проверить, использует ли текущая установка Defender для удостоверений Npcap или WinPcap?

Вы увидите, что программа Npcap OEM устанавливается с помощью программ "Добавление и удаление" (appwiz.cpl), и если для этого возникла открытая проблема со работоспособностью, она будет автоматически закрыта.

У меня более пяти контроллеров домена в моей организации. Нужно ли приобрести лицензию Npcap, если я использую Npcap на этих контроллерах домена?

Нет, Npcap имеет исключение из обычного ограничения на пять установок. Его можно установить в неограниченных системах, где он используется только с датчиком Defender для удостоверений.

Просмотрите лицензионное соглашение Npcap здесь и найдите Microsoft Defender для удостоверений.

Npcap также относится к ATA?

Нет, только датчик Microsoft Defender для удостоверений поддерживает Npcap версии 1.00.

Я хотел бы создать скрипт развертывания Npcap, нужно ли приобрести версию OEM?

Нет, вам не нужно приобретать версию OEM. Скачайте пакет установки датчика версии 2.156 и выше из консоли Defender для удостоверений, которая включает в себя версию OEM Npcap.

Разделы справки скачайте и установите или обновите драйвер Npcap?

  • Исполняемые файлы Npcap можно получить, скачав последний пакет развертывания датчика Defender для удостоверений.

  • Если датчик еще не установлен, установите датчик с помощью версии 2.184 или более поздней.

  • Если датчик уже установлен с помощью WinPcap и необходимо обновить для использования Npcap:

    1. Удалите датчик. Используйте программы add/Remove из панели управления Windows (appwiz.cpl) или выполните следующую команду удаления:".\Azure ATP Sensor Setup.exe" /uninstall /quiet

    2. При необходимости удалите WinPcap. Этот шаг имеет значение, только если WinPcap был установлен вручную до установки датчика. В этом случае необходимо вручную удалить WinPcap.

    3. Переустановите датчик с помощью версии 2.184 или более поздней.

  • Если вы хотите вручную установить Npcap: установите Npcap со следующими параметрами:

    • Если вы используете установщик графического интерфейса, снимите параметр поддержки loopback и выберите режим WinPcap . Убедитесь, что параметр "Ограничить доступ драйвера Npcap к администраторам" очищается.
    • Если вы используете командную строку, выполните следующую команду: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  • Если вы хотите вручную обновить Npcap:

    1. Остановите службы датчиков Defender для удостоверений, AATPSensorUpdater и AATPSensor. Выполните Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force.

    2. Удалите Npcap с помощью программ add/Remove на панели управления Windows (appwiz.cpl).

    3. Установите Npcap со следующими параметрами:

      • Если вы используете установщик графического интерфейса, снимите параметр поддержки loopback и выберите режим WinPcap . Убедитесь, что параметр "Ограничить доступ драйвера Npcap к администраторам" очищается.

      • Если вы используете командную строку, выполните следующую команду: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

    4. Запустите службы датчиков Defender для удостоверений, AATPSensorUpdater и AATPSensor. Выполните Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor.

Операция

Какая интеграция Defender для удостоверений имеется с SIEMs?

Defender для удостоверений можно настроить для отправки оповещения системного журнала на любой сервер SIEM с использованием формата CEF для проблем со работоспособностью и при обнаружении оповещения системы безопасности. Дополнительные сведения см. в справочнике по журналу SIEM.

Почему определенные учетные записи считаются конфиденциальными?

Учетные записи считаются конфиденциальными, если учетная запись является членом групп, которые назначаются как конфиденциальные (например, "Администраторы домена").

Чтобы понять, почему учетная запись учитывается, можно просмотреть ее членство в группе, чтобы понять, к каким конфиденциальным группам она принадлежит. Группа, к которой она принадлежит, также может быть конфиденциальной из-за другой группы, поэтому тот же процесс должен выполняться до тех пор, пока не найдите наиболее высокий уровень конфиденциальной группы. Кроме того, вручную помечайте учетные записи как конфиденциальные.

Нужно ли создавать собственные правила и создавать пороговые значения или базовые показатели?

При использовании Defender для удостоверений нет необходимости создавать правила, пороговые значения или базовые показатели, а затем точно настраивать. Defender для удостоверений анализирует поведение пользователей, устройств и ресурсов, а также их связь друг с другом и может быстро обнаруживать подозрительные действия и известные атаки. Через три недели после развертывания Defender для удостоверений начинает обнаруживать подозрительные действия поведения. С другой стороны, Defender для удостоверений начнет обнаруживать известные вредоносные атаки и проблемы безопасности сразу после развертывания.

Какой трафик Defender для удостоверений формируется в сети с контроллеров домена и почему?

Defender для удостоверений создает трафик от контроллеров домена к компьютерам в организации в одном из трех сценариев:

  • Защитник разрешения сетевых имен для удостоверений записывает трафик и события, обучение и профилирование пользователей и действия компьютера в сети. Чтобы узнать и профилировать действия в соответствии с компьютерами в организации, Defender для удостоверений необходимо разрешить IP-адреса учетным записям компьютеров. Чтобы разрешить IP-адреса для датчиков Defender для удостоверений, запросите IP-адрес для имени компьютера за IP-адресом.

    Запросы выполняются с помощью одного из четырех методов:

    • NTLM через RPC (TCP-порт 135)
    • NetBIOS (порт UDP 137)
    • RDP (TCP-порт 3389)
    • Запрос DNS-сервера с помощью обратного поиска DNS-адреса (UDP 53)

    После получения имени компьютера датчики Defender для удостоверений перекрестно проверьте сведения в Active Directory, чтобы узнать, есть ли сопоставленный объект компьютера с тем же именем компьютера. Если совпадение найдено, связь выполняется между IP-адресом и соответствующим объектом компьютера.

  • Путь бокового перемещения (LMP) для создания потенциальных LMPs для конфиденциальных пользователей, Defender для удостоверений требует сведения о локальных администраторах на компьютерах. В этом сценарии датчик Defender для удостоверений использует SAM-R (TCP 445) для запроса IP-адреса, определенного в сетевом трафике, для определения локальных администраторов компьютера. Дополнительные сведения о Defender для удостоверений и SAM-R см. в разделе "Настройка необходимых разрешений SAM-R".

  • Запрос Active Directory с помощью LDAP для датчиков данных сущности defender для удостоверений запрашивает контроллер домена из домена, в котором принадлежит сущность. Это может быть тот же датчик или другой контроллер домена из этого домена.

Протокол Service Порт Исходный код Направление
LDAP TCP и UDP 389 Контроллеры домена Исходящие
Защищенный протокол LDAP (LDAPS) TCP 636 Контроллеры домена Исходящие
ПРОТОКОЛ LDAP в глобальный каталог TCP 3268 Контроллеры домена Исходящие
LDAPS в глобальный каталог TCP 3269 Контроллеры домена Исходящие

Почему действия не всегда отображают исходного пользователя и компьютера?

Defender для удостоверений фиксирует действия по нескольким разным протоколам. В некоторых случаях Defender для удостоверений не получает данные исходного пользователя в трафике. Defender для удостоверений пытается сопоставить сеанс пользователя с действием, и при успешной попытке отображается исходный пользователь действия. При неудачных попытках корреляции пользователей отображается только исходный компьютер.

Почему в aatp.dns.detection.local отображаются DNS-запросы?

Датчик Defender для удостоверений может активировать DNS-вызов aatp.dns.detection.local в ответ на определенные входящие действия DNS на отслеживаемый компьютер MDI.

Управление персональными данными

Можно ли обновлять персональные данные пользователей в Defender для удостоверений?

Персональные данные пользователей в Defender для удостоверений являются производными от объекта пользователя в Active Directory организации и не могут быть обновлены непосредственно в Defender для удостоверений.

Как экспортировать персональные данные из Defender для удостоверений?

Вы можете экспортировать персональные данные из Defender для удостоверений с помощью того же метода, что и экспорт сведений об оповещении системы безопасности. Дополнительные сведения см. в разделе "Просмотр оповещений системы безопасности".

Как найти персональные данные, хранящиеся в Defender для удостоверений?

Используйте панель поиска на портале Microsoft Defender для поиска личных данных, таких как конкретный пользователь или компьютер. Дополнительные сведения см. в разделе "Исследование ресурсов".

Какой тип аудита выполняется Defender для удостоверений на персональных данных?

Defender для удостоверений реализует аудит изменений персональных данных, включая удаление и экспорт записей персональных данных. Срок хранения тропы аудита составляет 90 дней. Аудит в Defender для удостоверений является внутренней функцией и недоступен для клиентов.

Что происходит в Defender для удостоверений, когда пользователь удаляется из Active Directory организации?

После удаления пользователя из Active Directory организации Defender для удостоверений автоматически удаляет профиль пользователя и все связанные сетевые действия в соответствии с общей политикой хранения данных Defender для удостоверений, если данные не являются частью активного инцидента. Рекомендуется добавить разрешения только для чтения в контейнер удаленных объектов . Дополнительные сведения см. в разделе "Предоставление необходимых разрешений DSA".

Устранение неполадок

Что делать, если датчик Defender для удостоверений или автономный датчик не запускается?

Просмотрите последнюю ошибку в текущем журнале ошибок (где Defender для удостоверений установлен в папке Logs).