Microsoft Defender for Identity häufig gestellte Fragen

Defender for Identity erkennt bekannte böswillige Angriffe und Techniken, Sicherheitsprobleme und Risiken für Ihr Netzwerk. Eine vollständige Liste der Defender for Identity-Erkennungen finden Sie unter Defender for Identity Security-Warnungen.

Defender for Identity sammelt und speichert Informationen von Ihren konfigurierten Servern, z. B. Domänencontrollern, Mitgliedsservern usw. Daten werden zu Verwaltungs-, Nachverfolgungs- und Berichterstellungszwecken in einer dienstspezifischen Datenbank gespeichert.

Gesammelte Informationen umfassen:

• Netzwerkdatenverkehr zu und von Domänencontrollern, z. B. Kerberos-Authentifizierung, NTLM-Authentifizierung oder DNS-Abfragen.
• Sicherheitsprotokolle, z. B. Windows-Sicherheitsereignisse.
• Active Directory-Informationen, z. B. Struktur, Subnetze oder Standorte.
• Entitätsinformationen, z. B. Namen, E-Mail-Adressen und Telefonnummern.

Microsoft verwendet diese Daten für Folgendes:

• Identifizieren Sie proaktiv Indikatoren für Angriffe (IOAs) in Ihrem organization.
• Warnungen generieren, wenn ein möglicher Angriff erkannt wurde.
• Bieten Sie Ihren Sicherheitsvorgängen einen Überblick über Entitäten im Zusammenhang mit Bedrohungssignalen aus Ihrem Netzwerk, sodass Sie das Vorhandensein von Sicherheitsbedrohungen im Netzwerk untersuchen und untersuchen können.

Microsoft verwendet Ihre Daten nicht für Werbung oder für andere Zwecke als die Bereitstellung des Diensts.

Defender for Identity unterstützt derzeit das Hinzufügen von bis zu 30 verschiedenen Verzeichnisdienstanmeldeinformationen, um Active Directory-Umgebungen mit nicht vertrauenswürdigen Gesamtstrukturen zu unterstützen. Wenn Sie weitere Konten benötigen, öffnen Sie ein Supportticket.

Zusätzlich zur Analyse des Active Directory-Datenverkehrs mithilfe der Deep Packet Inspection-Technologie sammelt Defender for Identity auch relevante Windows-Ereignisse von Ihrem Domänencontroller und erstellt Entitätsprofile basierend auf Informationen aus Active Directory Domain Services. Defender for Identity unterstützt auch den Empfang der RADIUS-Kontoführung von VPN-Protokollen von verschiedenen Anbietern (Microsoft, Cisco, F5 und Prüfpunkt).

Nein Defender for Identity überwacht alle Geräte im Netzwerk, die Authentifizierungs- und Autorisierungsanforderungen für Active Directory ausführen, einschließlich nicht windowsbasierter und mobiler Geräte.

Ja. Da Computerkonten und andere Entitäten zum Ausführen schädlicher Aktivitäten verwendet werden können, überwacht Defender for Identity das Verhalten aller Computerkonten und aller anderen Entitäten in der Umgebung.

ATA ist eine eigenständige lokale Lösung mit mehreren Komponenten, z. B. ATA Center, für die lokal dedizierte Hardware erforderlich ist.

Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokales Active Directory Signale verwendet. Die Lösung ist hochgradig skalierbar und wird häufig aktualisiert.

Die endgültige Version von ATA ist allgemein verfügbar. ATA hat den allgemeinen Support am 12. Januar 2021 beendet. Der erweiterte Support wird bis Januar 2026 fortgesetzt. Weitere Informationen finden Sie in unserem Blog.

Im Gegensatz zum ATA-Sensor verwendet der Defender for Identity-Sensor auch Datenquellen wie die Ereignisablaufverfolgung für Windows (ETW), sodass Defender for Identity zusätzliche Erkennungen bereitstellen kann.

Die häufigen Updates von Defender for Identity umfassen die folgenden Features und Funktionen:

• Unterstützung für Umgebungen mit mehreren Gesamtstrukturen: Bietet Organisationen Sichtbarkeit in AD-Gesamtstrukturen.

• Bewertungen des Microsoft Secure Score-Status: Identifiziert häufige Fehlkonfigurationen und ausnutzbare Komponenten und stellt Korrekturpfade bereit, um die Angriffsfläche zu verringern.

• UEBA-Funktionen: Einblicke in das Risiko einzelner Benutzer durch Bewertung der Priorität der Benutzeruntersuchung. Die Bewertung kann SecOps bei seinen Untersuchungen unterstützen und Analysten dabei helfen, ungewöhnliche Aktivitäten für den Benutzer und die organization zu verstehen.

• Native Integrationen: Lässt sich in Microsoft Defender for Cloud Apps und Microsoft Entra ID Protection integrieren, um eine Hybridansicht der Vorgänge in lokalen und hybriden Umgebungen bereitzustellen.

• Trägt zur Microsoft Defender XDR bei: Trägt Warnungs- und Bedrohungsdaten zu Microsoft Defender XDR bei. Microsoft Defender XDR verwendet das Microsoft 365-Sicherheitsportfolio (Identitäten, Endpunkte, Daten und Anwendungen), um domänenübergreifende Bedrohungsdaten automatisch zu analysieren und ein vollständiges Bild von jedem Angriff in einem einzigen Dashboard zu erstellen.

  Mit dieser Breite und Tiefe der Klarheit können sich Defenders auf kritische Bedrohungen konzentrieren und nach komplexen Sicherheitsverletzungen suchen. Defenders können darauf vertrauen, dass die leistungsstarke Automatisierung von Microsoft Defender XDR Angriffe überall in der Kill Chain stoppt und die organization in einen sicheren Zustand zurückgibt.

Defender for Identity ist als Teil der Enterprise Mobility + Security 5-Suite (EMS E5) und als eigenständige Lizenz verfügbar. Sie können eine Lizenz direkt über das Microsoft 365-Portal oder über das CSP-Lizenzierungsmodell (Cloud Solution Partner) erwerben.

Informationen zu den Lizenzierungsanforderungen für Defender for Identity finden Sie unter Defender for Identity-Lizenzierungsleitfaden.

Ja, Ihre Daten werden durch Zugriffsauthentifizierung und logische Trennung basierend auf Kundenbezeichnern isoliert. Jeder Kunde kann nur auf Daten zugreifen, die von seinen eigenen organization und generischen Daten gesammelt werden, die Von Microsoft bereitgestellt werden.

Nein Wenn Ihr Defender for Identity-Arbeitsbereich erstellt wird, wird er automatisch in der Azure-Region gespeichert, die dem geografischen Standort Ihres Microsoft Entra Mandanten am nächsten liegt. Nachdem Ihr Defender for Identity-Arbeitsbereich erstellt wurde, können Defender for Identity-Daten nicht in eine andere Region verschoben werden.

Microsoft-Entwickler und -Administratoren haben standardmäßig ausreichende Berechtigungen erhalten, um ihre zugewiesenen Aufgaben für den Betrieb und die Weiterentwicklung des Diensts zu erfüllen. Microsoft stellt Kombinationen aus präventiven, detektiven und reaktiven Kontrollen bereit, einschließlich der folgenden Mechanismen zum Schutz vor nicht autorisierten Entwickler- und/oder Verwaltungsaktivitäten:

• Strenge Zugriffssteuerung auf vertrauliche Daten
• Kombinationen von Steuerelementen, die die unabhängige Erkennung schädlicher Aktivitäten erheblich verbessern
• Mehrere Ebenen der Überwachung, Protokollierung und Berichterstellung

Darüber hinaus führt Microsoft Hintergrundüberprüfungen für bestimmte Betriebsmitarbeiter durch und beschränkt den Zugriff auf Anwendungen, Systeme und Netzwerkinfrastrukturen im Verhältnis zur Ebene der Hintergrundüberprüfung. Betriebsmitarbeiter befolgen einen formalen Prozess, wenn sie bei der Erfüllung ihrer Aufgaben auf das Konto eines Kunden oder zugehörige Informationen zugreifen müssen.

Es wird empfohlen, für jeden Ihrer Domänencontroller einen Defender for Identity-Sensor oder einen eigenständigen Sensor zu verwenden. Weitere Informationen finden Sie unter Dimensionierung des Defender for Identity-Sensors.

Während Netzwerkprotokolle mit verschlüsseltem Datenverkehr wie AtSvc und WMI nicht entschlüsselt werden, analysieren Sensoren den Datenverkehr trotzdem.

Defender for Identity unterstützt Kerberos Armoring, auch bekannt als Flexible Authentication Secure Tunneling (FAST). Die Ausnahme von dieser Unterstützung ist die Überlauferkennung der Hasherkennung, die nicht mit Kerberos Armoring funktioniert.

Der Defender for Identity-Sensor kann die meisten virtuellen Domänencontroller abdecken. Weitere Informationen finden Sie unter Defender for Identity Capacity Planning.

Wenn der Defender for Identity-Sensor einen virtuellen Domänencontroller nicht abdecken kann, verwenden Sie stattdessen entweder einen virtuellen oder physischen eigenständigen Defender for Identity-Sensor. Weitere Informationen finden Sie unter Konfigurieren der Portspiegelung.

Die einfachste Möglichkeit besteht darin, auf jedem Host, auf dem ein virtueller Domänencontroller vorhanden ist, einen virtuellen Defender for Identity-Sensor zu verwenden.

Wenn Ihre virtuellen Domänencontroller zwischen Hosts verschoben werden, müssen Sie einen der folgenden Schritte ausführen:

• Wenn der virtuelle Domänencontroller auf einen anderen Host verschoben wird, konfigurieren Sie den eigenständigen Defender for Identity-Sensor auf diesem Host vor, um den Datenverkehr vom kürzlich verschobenen virtuellen Domänencontroller zu empfangen.

• Stellen Sie sicher, dass Sie den virtuellen Eigenständigen Defender for Identity-Sensor mit dem virtuellen Domänencontroller verknüpft haben, damit der eigenständige Defender for Identity-Sensor, wenn er verschoben wird, mit diesem verschoben wird.

• Es gibt einige virtuelle Switches, die Datenverkehr zwischen Hosts senden können.

Damit Ihre Domänencontroller mit dem Clouddienst kommunizieren können, müssen Sie *.atp.azure.com Port 443 in Ihrer Firewall/Ihrem Proxy öffnen. Weitere Informationen finden Sie unter Konfigurieren Ihres Proxys oder Ihrer Firewall zum Aktivieren der Kommunikation mit Defender for Identity-Sensoren.

Ja, Sie können den Defender for Identity-Sensor verwenden, um Domänencontroller zu überwachen, die sich in einer beliebigen IaaS-Lösung befinden.

Defender for Identity unterstützt Umgebungen mit mehreren Domänen und mehrere Gesamtstrukturen. Weitere Informationen und Vertrauensanforderungen finden Sie unter Unterstützung mehrerer Gesamtstrukturen.

Ja, Sie können die allgemeine Bereitstellungsintegrität und alle spezifischen Probleme im Zusammenhang mit Konfiguration, Konnektivität usw. anzeigen. Sie werden benachrichtigt, wenn diese Ereignisse mit Defender for Identity-Integritätsproblemen auftreten.

Microsoft Defender for Identity stellt einen Sicherheitswert für alle Active Directory-Konten bereit, einschließlich der Konten, die nicht mit Microsoft Entra ID synchronisiert werden. Benutzerkonten, die mit Microsoft Entra ID synchronisiert werden, profitieren auch vom Sicherheitswert, der von Microsoft Entra ID (basierend auf der Lizenzebene) und der Bewertung der Untersuchungspriorität bereitgestellt wird.

Das Microsoft Defender for Identity-Team empfiehlt allen Kunden, anstelle der WinPcap-Treiber den Npcap-Treiber zu verwenden. Ab Defender for Identity Version 2.184 installiert das Installationspaket Npcap 1.0 OEM anstelle der WinPcap 4.1.3-Treiber.

WinPcap wird nicht mehr unterstützt, und da es nicht mehr entwickelt wird, kann der Treiber nicht mehr für den Defender for Identity-Sensor optimiert werden. Wenn es in Zukunft ein Problem mit dem WinPcap-Treiber gibt, gibt es außerdem keine Optionen für eine Behebung.

Npcap wird unterstützt, während WinPcap kein unterstütztes Produkt mehr ist.

Der MDI-Sensor erfordert Npcap 1.0 oder höher. Das Sensor-Installationspaket installiert Version 1.0, wenn keine andere Version von Npcap installiert ist. Wenn Sie Npcap bereits installiert haben (aufgrund anderer Softwareanforderungen oder aus einem anderen Grund), ist es wichtig, sicherzustellen, dass es Version 1.0 oder höher und dass es mit den erforderlichen Einstellungen für MDI installiert wurde.

Ja. Es ist erforderlich, den Sensor manuell zu entfernen, um die WinPcap-Treiber zu entfernen. Bei der Neuinstallation mit dem neuesten Paket werden die Npcap-Treiber installiert.

Sie können sehen, dass "Npcap OEM" über die appwiz.cpl (Programme hinzufügen/entfernen) installiert wird, und wenn ein offenes Integritätsproblem dafür aufgetreten ist, wird es automatisch geschlossen.

Nein, Npcap verfügt über eine Ausnahme vom üblichen Grenzwert von fünf Installationen. Sie können es auf unbegrenzten Systemen installieren, auf denen es nur mit dem Defender for Identity-Sensor verwendet wird.

Sehen Sie sich den Npcap-Lizenzvertrag hier an, und suchen Sie nach Microsoft Defender for Identity.

Nein, nur der Microsoft Defender for Identity Sensor unterstützt Npcap Version 1.00.

Nein, Sie müssen die OEM-Version nicht kaufen. Laden Sie das Sensorinstallationspaket Version 2.156 und höher von der Defender for Identity-Konsole herunter, die die OEM-Version von Npcap enthält.

• Sie können die ausführbaren Npcap-Dateien abrufen, indem Sie das neueste Bereitstellungspaket des Defender for Identity-Sensors herunterladen.

• Wenn Sie den Sensor noch nicht installiert haben, installieren Sie den Sensor mit Version 2.184 oder höher.

• Wenn Sie den Sensor bereits mit WinPcap installiert haben und ein Update für die Verwendung von Npcap ausführen müssen:

  1. Deinstallieren Sie den Sensor. Verwenden Sie entweder Software aus der Windows-Systemsteuerung (appwiz.cpl), oder führen Sie den folgenden Deinstallationsbefehl aus: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Deinstallieren Sie Bei Bedarf WinPcap. Dieser Schritt ist nur relevant, wenn WinPcap vor der Sensorinstallation manuell installiert wurde. In diesem Fall müssten Sie WinPcap manuell entfernen.

  3. Installieren Sie den Sensor mit Version 2.184 oder höher neu.

• Wenn Sie Npcap manuell installieren möchten: Installieren Sie Npcap mit den folgenden Optionen:

  • Wenn Sie das GUI-Installationsprogramm verwenden, deaktivieren Sie die Option Loopbackunterstützung , und wählen Sie WinPcap-Modus aus. Stellen Sie sicher, dass die Option Zugriff des Npcap-Treibers nur auf Administratoren beschränken deaktiviert ist.
  • Wenn Sie die Befehlszeile verwenden, führen Sie Folgendes aus: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Wenn Sie Npcap manuell aktualisieren möchten:

  1. Beenden Sie die Defender for Identity-Sensordienste AATPSensorUpdater und AATPSensor. Führen Sie Folgendes aus: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Entfernen Sie Npcap mithilfe von "Programme hinzufügen/entfernen" in der Windows-Systemsteuerung (appwiz.cpl).

  3. Installieren Sie Npcap mit den folgenden Optionen:

     • Wenn Sie das GUI-Installationsprogramm verwenden, deaktivieren Sie die Option Loopbackunterstützung , und wählen Sie WinPcap-Modus aus. Stellen Sie sicher, dass die Option Zugriff des Npcap-Treibers nur auf Administratoren beschränken deaktiviert ist.

     • Wenn Sie die Befehlszeile verwenden, führen Sie Folgendes aus: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Starten Sie die Defender for Identity-Sensordienste AATPSensorUpdater und AATPSensor. Führen Sie Folgendes aus: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity kann so konfiguriert werden, dass eine Syslog-Warnung an jeden SIEM-Server im CEF-Format gesendet wird, wenn Integritätsprobleme auftreten und wenn eine Sicherheitswarnung erkannt wird. Weitere Informationen finden Sie in der SIEM-Protokollreferenz.

Konten werden als vertraulich betrachtet, wenn ein Konto Mitglied von Gruppen ist, die als vertraulich gekennzeichnet sind (z. B. "Domänenadministratoren").

Um zu verstehen, warum ein Konto vertraulich ist, können Sie seine Gruppenmitgliedschaft überprüfen, um zu verstehen, zu welchen vertraulichen Gruppen es gehört. Die Gruppe, zu der sie gehört, kann auch aufgrund einer anderen Gruppe vertraulich sein. Daher sollte der gleiche Prozess ausgeführt werden, bis Sie die vertrauliche Gruppe der höchsten Ebene finden. Alternativ können Sie Konten manuell als vertraulich kennzeichnen.

Mit Defender for Identity ist es nicht erforderlich, Regeln, Schwellenwerte oder Baselines zu erstellen und dann zu optimieren. Defender for Identity analysiert das Verhalten von Benutzern, Geräten und Ressourcen sowie deren Beziehung zueinander und kann verdächtige Aktivitäten und bekannte Angriffe schnell erkennen. Drei Wochen nach der Bereitstellung beginnt Defender for Identity mit der Erkennung verdächtiger Verhaltensaktivitäten. Auf der anderen Seite beginnt Defender for Identity sofort nach der Bereitstellung mit der Erkennung bekannter böswilliger Angriffe und Sicherheitsprobleme.

Defender for Identity generiert Datenverkehr von Domänencontrollern zu Computern im organization in einem von drei Szenarien:

• Netzwerknamensauflösung Defender for Identity erfasst Datenverkehr und Ereignisse, um Benutzer und Computeraktivitäten im Netzwerk zu erlernen und zu profilieren. Um Aktivitäten entsprechend den Computern im organization zu erlernen und zu profilieren, muss Defender for Identity IP-Adressen in Computerkonten auflösen.To learn and profile activities according to computers in the organization, Defender for Identity muss IPs in Computerkonten auflösen. Um IP-Adressen in Computernamen von Defender for Identity-Sensoren aufzulösen, fordern Sie die IP-Adresse für den Computernamen hinter der IP-Adresse an.

  Anforderungen werden mit einer von vier Methoden gestellt:

  • NTLM über RPC (TCP-Port 135)
  • NetBIOS (UDP-Port 137)
  • RDP (TCP-Port 3389)
  • Abfragen des DNS-Servers mithilfe der Reverse-DNS-Suche der IP-Adresse (UDP 53)

  Nach dem Abrufen des Computernamens überprüfen Defender for Identity-Sensoren die Details in Active Directory, um festzustellen, ob ein korreliertes Computerobjekt mit demselben Computernamen vorhanden ist. Wenn eine Übereinstimmung gefunden wird, wird eine Zuordnung zwischen der IP-Adresse und dem übereinstimmend zugeordneten Computerobjekt hergestellt.

• Lateral Movement Path (LMP) Um potenzielle LMPs für sensible Benutzer zu erstellen, benötigt Defender for Identity Informationen zu den lokalen Administratoren auf Computern. In diesem Szenario verwendet der Defender for Identity-Sensor SAM-R (TCP 445), um die im Netzwerkdatenverkehr identifizierte IP-Adresse abzufragen, um die lokalen Administratoren des Computers zu ermitteln. Weitere Informationen zu Defender for Identity und SAM-R finden Sie unter Konfigurieren der erforderlichen SAM-R-Berechtigungen.

• Abfragen von Active Directory mithilfe von LDAP für Entitätsdaten Defender for Identity-Sensoren fragen den Domänencontroller aus der Domäne ab, zu der die Entität gehört. Es kann sich um denselben Sensor oder einen anderen Domänencontroller aus dieser Domäne handeln.

Defender for Identity erfasst Aktivitäten über viele verschiedene Protokolle. In einigen Fällen empfängt Defender for Identity nicht die Daten des Quellbenutzers im Datenverkehr. Defender for Identity versucht, die Sitzung des Benutzers mit der Aktivität zu korrelieren, und wenn der Versuch erfolgreich ist, wird der Quellbenutzer der Aktivität angezeigt. Wenn die Benutzerkorrelation fehlschlägt, wird nur der Quellcomputer angezeigt.

Der Defender for Identity-Sensor löst möglicherweise einen DNS-Aufruf von "aatp.dns.detection.local" als Reaktion auf bestimmte eingehende DNS-Aktivitäten an den von MDI überwachten Computer aus.

Persönliche Benutzerdaten in Defender for Identity werden vom Objekt des Benutzers im Active Directory des organization abgeleitet und können nicht direkt in Defender for Identity aktualisiert werden.

Sie können personenbezogene Daten aus Defender for Identity mit der gleichen Methode wie das Exportieren von Sicherheitswarnungsinformationen exportieren. Weitere Informationen finden Sie unter Überprüfen von Sicherheitswarnungen.

Verwenden Sie die Suchleiste Microsoft Defender Portals, um nach identifizierbaren personenbezogenen Daten wie einem bestimmten Benutzer oder Computer zu suchen. Weitere Informationen finden Sie unter Untersuchen von Ressourcen.

Defender for Identity implementiert die Überwachung von Änderungen an personenbezogenen Daten, einschließlich des Löschens und Exportierens von persönlichen Datensätzen. Die Aufbewahrungsdauer für Überwachungspfade beträgt 90 Tage. Die Überwachung in Defender for Identity ist ein Back-End-Feature, auf das Kunden nicht zugreifen können.

Nachdem ein Benutzer aus dem Active Directory des organization gelöscht wurde, löscht Defender for Identity automatisch das Benutzerprofil und alle zugehörigen Netzwerkaktivitäten in Übereinstimmung mit der allgemeinen Datenaufbewahrungsrichtlinie von Defender for Identity, es sei denn, die Daten sind Teil eines aktiven Incidents. Es wird empfohlen, schreibgeschützte Berechtigungen für den Container "Gelöschte Objekte " hinzuzufügen. Weitere Informationen finden Sie unter Gewähren erforderlicher DSA-Berechtigungen.

Sehen Sie sich den letzten Fehler im aktuellen Fehlerprotokoll an (wobei Defender for Identity im Ordner "Protokolle" installiert ist).

Verwandte Inhalte

• Voraussetzungen für Defender for Identity
• Defender for Identity-Kapazitätsplanung
• Konfigurieren der Ereignissammlung
• Konfigurieren der Windows-Ereignisweiterleitung
• Problembehandlung
• Sehen Sie sich das Defender for Identity-Forum an!