Microsoft Defender per identità domande frequenti

Defender per identità rileva tecniche e attacchi dannosi noti, problemi di sicurezza e rischi per la rete. Per l'elenco completo dei rilevamenti di Defender per identità, vedere Defender per gli avvisi di sicurezza delle identità.

Defender per identità raccoglie e archivia informazioni dai server configurati, ad esempio controller di dominio, server membri e così via. I dati vengono archiviati in un database specifico del servizio a scopo di amministrazione, rilevamento e creazione di report.

Le informazioni raccolte includono:

• Traffico di rete da e verso controller di dominio, ad esempio autenticazione Kerberos, autenticazione NTLM o query DNS.
• Log di sicurezza, ad esempio eventi di sicurezza di Windows.
• Informazioni di Active Directory, ad esempio struttura, subnet o siti.
• Informazioni sull'entità, ad esempio nomi, indirizzi di posta elettronica e numeri di telefono.

Microsoft usa questi dati per:

• Identificare in modo proattivo gli indicatori di attacco (I/O) nell'organizzazione.
• Generare avvisi se è stato rilevato un possibile attacco.
• Fornire alle operazioni di sicurezza una visualizzazione delle entità correlate ai segnali di minaccia provenienti dalla rete, consentendo di analizzare ed esplorare la presenza di minacce alla sicurezza nella rete.

Microsoft non esemina i dati per la pubblicità o per altri scopi oltre a fornire il servizio.

Defender per identità supporta attualmente l'aggiunta di fino a 30 credenziali del servizio directory diverse per supportare gli ambienti Active Directory con foreste non attendibili. Se sono necessari altri account, aprire un ticket di supporto.

Oltre ad analizzare il traffico di Active Directory usando la tecnologia di ispezione avanzata dei pacchetti, Defender per identità raccoglie anche gli eventi di Windows pertinenti dal controller di dominio e crea profili di entità in base alle informazioni provenienti da Active Directory Domain Services. Defender per identità supporta anche la ricezione della contabilità RADIUS dei log VPN da vari fornitori (Microsoft, Cisco, F5 e Checkpoint).

No. Defender per identità monitora tutti i dispositivi nella rete che eseguono richieste di autenticazione e autorizzazione su Active Directory, inclusi i dispositivi non Windows e mobili.

Sì. Poiché gli account computer e altre entità possono essere usati per eseguire attività dannose, Defender per identità monitora tutti i comportamenti degli account computer e tutte le altre entità nell'ambiente.

ATA è una soluzione locale autonoma con più componenti, ad esempio ATA Center che richiede hardware dedicato in locale.

Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali di Active Directory locale. La soluzione è altamente scalabile e viene aggiornata di frequente.

La versione finale di ATA è disponibile a livello generale. ATA ha terminato il supporto Mainstream il 12 gennaio 2021. Il supporto esteso continua fino a gennaio 2026. Per altre informazioni, leggere il blog.

A differenza del sensore ATA, il sensore Defender per identità usa anche origini dati, ad esempio Event Tracing for Windows (ETW) che consentono a Defender for Identity di fornire rilevamenti aggiuntivi.

Gli aggiornamenti frequenti di Defender per identità includono le funzionalità e le funzionalità seguenti:

• Supporto per ambienti con più foreste: offre visibilità alle organizzazioni tra foreste di Active Directory.

• Valutazioni della postura di Microsoft Secure Score: identifica le configurazioni non corrette e i componenti sfruttabili comuni e fornisce percorsi di correzione per ridurre la superficie di attacco.

• Funzionalità UEBA: informazioni dettagliate sul rischio singolo utente tramite il punteggio di priorità dell'indagine utente. Il punteggio può aiutare SecOps nelle indagini e aiutare gli analisti a comprendere le attività insolite per l'utente e l'organizzazione.

• Integrazioni native: si integra con Microsoft Defender for Cloud Apps e Microsoft Entra ID Protection per offrire una visione ibrida di ciò che avviene in ambienti sia locali che ibridi.

• Contribuisce alla Microsoft Defender XDR: fornisce i dati di avviso e di minaccia ai Microsoft Defender XDR. Microsoft Defender XDR usa il portfolio di sicurezza di Microsoft 365 (identità, endpoint, dati e applicazioni) per analizzare automaticamente i dati sulle minacce tra domini, creando un quadro completo di ogni attacco in un unico dashboard.

  Con questa ampiezza e profondità di chiarezza, Defenders può concentrarsi sulle minacce critiche e cercare violazioni sofisticate. I difensori possono considerare attendibile che la potente automazione di Microsoft Defender XDR arresta gli attacchi in qualsiasi punto della kill chain e restituisce l'organizzazione a uno stato sicuro.

Defender per identità è disponibile come parte di Enterprise Mobility + Security 5 suite (EMS E5) e come licenza autonoma. È possibile acquisire una licenza direttamente dal portale di Microsoft 365 o tramite il modello di licenza Cloud Solution Partner (CSP).

Per informazioni sui requisiti di licenza di Defender per identità, vedere Indicazioni sulle licenze di Defender per identità.

Sì, i dati sono isolati tramite l'autenticazione di accesso e la separazione logica in base agli identificatori del cliente. Ogni cliente può accedere solo ai dati raccolti dalla propria organizzazione e ai dati generici forniti da Microsoft.

No. Quando viene creata, l'area di lavoro Defender per identità viene archiviata automaticamente nell'area di Azure più vicina alla posizione geografica del tenant Microsoft Entra. Dopo aver creato l'area di lavoro Defender per identità, i dati di Defender per identità non possono essere spostati in un'area diversa.

Per impostazione predefinita, gli sviluppatori e gli amministratori Microsoft hanno ricevuto privilegi sufficienti per svolgere i compiti assegnati per operare ed evolvere il servizio. Microsoft distribuisce combinazioni di controlli preventivi, detective e reattivi, inclusi i meccanismi seguenti per proteggere da attività amministrative e/o sviluppatori non autorizzati:

• Stretto controllo di accesso ai dati sensibili
• Combinazioni di controlli che migliorano notevolmente il rilevamento indipendente di attività dannose
• Più livelli di monitoraggio, registrazione e creazione di report

Inoltre, Microsoft esegue controlli di verifica in background su determinati membri del personale operativo e limita l'accesso ad applicazioni, sistemi e infrastruttura di rete in proporzione al livello di verifica in background. Il personale operativo segue un processo formale quando è necessario accedere all'account di un cliente o alle informazioni correlate nell'esecuzione dei propri compiti.

È consigliabile avere un sensore Defender per identità o un sensore autonomo per ognuno dei controller di dominio. Per altre informazioni, vedere Ridimensionamento del sensore defender per identità.

Anche se i protocolli di rete con traffico crittografato, ad esempio AtSvc e WMI, non vengono decrittografati, i sensori analizzano comunque il traffico.

Defender per identità supporta la blindatura Kerberos, nota anche come FAST (Flexible Authentication Secure Tunneling). L'eccezione a questo supporto è l'over-pass del rilevamento dell'hash, che non funziona con la blindatura Kerberos.

Il sensore Defender per identità può coprire la maggior parte dei controller di dominio virtuali. Per altre informazioni, vedere Defender for Identity Capacity Planning.

Se il sensore Defender per identità non è in grado di coprire un controller di dominio virtuale, usare invece un sensore autonomo di Defender per identità virtuale o fisico. Per altre informazioni, vedere Configurare il mirroring delle porte.

Il modo più semplice consiste nell'avere un sensore autonomo di Defender per identità virtuale in ogni host in cui esiste un controller di dominio virtuale.

Se i controller di dominio virtuali si spostano tra gli host, è necessario eseguire una delle operazioni seguenti:

• Quando il controller di dominio virtuale si sposta in un altro host, preconfigurare il sensore autonomo Defender per identità in tale host per ricevere il traffico dal controller di dominio virtuale spostato di recente.

• Assicurarsi di associare il sensore autonomo di Defender per identità virtuale al controller di dominio virtuale in modo che, se viene spostato, il sensore autonomo defender per identità si sposti con esso.

• Esistono alcuni commutatori virtuali che possono inviare traffico tra host.

Per consentire ai controller di dominio di comunicare con il servizio cloud, è necessario aprire: *.atp.azure.com porta 443 nel firewall/proxy. Per altre informazioni, vedere Configurare il proxy o il firewall per abilitare la comunicazione con i sensori defender per identità.

Sì, è possibile usare il sensore Defender per identità per monitorare i controller di dominio presenti in qualsiasi soluzione IaaS.

Defender per identità supporta ambienti multidominio e più foreste. Per altre informazioni e requisiti di attendibilità, vedere Supporto di più foreste.

Sì, è possibile visualizzare l'integrità complessiva della distribuzione ed eventuali problemi specifici relativi alla configurazione, alla connettività e così via. Si viene avvisati quando questi eventi si verificano con problemi di integrità di Defender per identità.

Microsoft Defender per identità fornisce il valore di sicurezza per tutti gli account Active Directory, inclusi quelli non sincronizzati con Microsoft Entra ID. Gli account utente sincronizzati con Microsoft Entra ID trarranno vantaggio anche dal valore di sicurezza fornito da Microsoft Entra ID (in base al livello di licenza) e dall'assegnazione dei punteggi della priorità di indagine.

Il team Microsoft Defender per identità consiglia a tutti i clienti di usare il driver Npcap anziché i driver WinPcap. A partire da Defender per identità versione 2.184, il pacchetto di installazione installa Npcap 1.0 OEM anziché i driver WinPcap 4.1.3.

WinPcap non è più supportato e poiché non è più in fase di sviluppo, il driver non può più essere ottimizzato per il sensore Defender per identità. Inoltre, se in futuro si verifica un problema con il driver WinPcap, non sono disponibili opzioni per una correzione.

Npcap è supportato, mentre WinPcap non è più un prodotto supportato.

Il sensore MDI richiede Npcap 1.0 o versione successiva. Il pacchetto di installazione sensore installerà la versione 1.0 se non è installata alcuna altra versione di Npcap. Se Npcap è già installato (a causa di altri requisiti software o per qualsiasi altro motivo) è importante assicurarsi che sia versione 1.0 o successiva e che sia stato installato con le impostazioni necessarie per MDI.

Sì. È necessario rimuovere manualmente il sensore per rimuovere i driver WinPcap. La reinstallazione con il pacchetto più recente installerà i driver Npcap.

È possibile notare che "Npcap OEM" è installato tramite i programmi di aggiunta/rimozione (appwiz.cpl) e, se si è verificato un problema di integrità aperto, verrà chiuso automaticamente.

No, Npcap ha un'esenzione dal solito limite di cinque installazioni. È possibile installarlo in sistemi illimitati in cui viene usato solo con il sensore Defender per identità.

Vedere il contratto di licenza Npcap qui e cercare Microsoft Defender per identità.

No, solo il sensore Microsoft Defender per identità supporta Npcap versione 1.00.

No, non è necessario acquistare la versione OEM. Scaricare il pacchetto di installazione del sensore versione 2.156 e successive dalla console di Defender per identità, che include la versione OEM di Npcap.

• È possibile ottenere i file eseguibili di Npcap scaricando il pacchetto di distribuzione più recente del sensore Defender per identità.

• Se il sensore non è ancora stato installato, installare il sensore con la versione 2.184 o successiva.

• Se il sensore è già stato installato con WinPcap ed è necessario eseguire l'aggiornamento per usare Npcap:

  1. Disinstallare il sensore. Usare Aggiungi/Rimuovi programmi dal pannello di controllo di Windows (appwiz.cpl) o eseguire il comando di disinstallazione seguente: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Disinstallare WinPcap, se necessario. Questo passaggio è rilevante solo se WinPcap è stato installato manualmente prima dell'installazione del sensore. In questo caso, è necessario rimuovere manualmente WinPcap.

  3. Reinstallare il sensore usando la versione 2.184 o successiva.

• Se si vuole installare manualmente Npcap: Installare Npcap con le opzioni seguenti:

  • Se si usa il programma di installazione gui, deselezionare l'opzione di supporto del loopback e selezionare la modalità WinPcap . Assicurarsi che l'opzione Limita l'accesso del driver Npcap solo agli amministratori sia deselezionata.
  • Se si usa la riga di comando, eseguire: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Se si vuole aggiornare manualmente Npcap:

  1. Arrestare i servizi del sensore Defender per identità , AATPSensorUpdater e AATPSensor. Correre: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Rimuovere Npcap usando i programmi Add/Remove nel pannello di controllo di Windows (appwiz.cpl).

  3. Installare Npcap con le opzioni seguenti:

     • Se si usa il programma di installazione gui, deselezionare l'opzione di supporto del loopback e selezionare la modalità WinPcap . Assicurarsi che l'opzione Limita l'accesso del driver Npcap solo agli amministratori sia deselezionata.

     • Se si usa la riga di comando, eseguire: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Avviare i servizi del sensore Defender per identità, AATPSensorUpdater e AATPSensor. Correre: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender per identità può essere configurato per inviare un avviso Syslog, a qualsiasi server SIEM usando il formato CEF, per problemi di integrità e quando viene rilevato un avviso di sicurezza. Per altre informazioni, vedere le informazioni di riferimento sui log SIEM.

Gli account vengono considerati sensibili quando un account è membro di gruppi designati come sensibili (ad esempio: "Domain Admins").

Per comprendere il motivo per cui un account è sensibile, è possibile esaminarne l'appartenenza ai gruppi per comprendere a quali gruppi sensibili appartiene. Il gruppo a cui appartiene può anche essere sensibile a causa di un altro gruppo, quindi lo stesso processo deve essere eseguito fino a quando non si individua il gruppo sensibile di livello più alto. In alternativa, contrassegna manualmente gli account come sensibili.

Con Defender per identità non è necessario creare regole, soglie o linee di base e quindi ottimizzare. Defender per identità analizza i comportamenti tra utenti, dispositivi e risorse, nonché la relazione tra loro e può rilevare rapidamente attività sospette e attacchi noti. Tre settimane dopo la distribuzione, Defender per identità inizia a rilevare attività sospette comportamentali. D'altra parte, Defender per identità inizierà a rilevare attacchi dannosi noti e problemi di sicurezza immediatamente dopo la distribuzione.

Defender per identità genera traffico dai controller di dominio ai computer dell'organizzazione in uno dei tre scenari seguenti:

• Risoluzione dei nomi di rete Defender per identità acquisisce il traffico e gli eventi, l'apprendimento e la profilatura degli utenti e delle attività del computer nella rete. Per apprendere e profilare le attività in base ai computer dell'organizzazione, Defender for Identity deve risolvere gli indirizzi IP negli account computer. Per risolvere gli indirizzi IP in nomi di computer Defender per i sensori di identità, richiedere l'indirizzo IP per il nome del computer sottostante l'indirizzo IP.

  Le richieste vengono effettuate usando uno dei quattro metodi seguenti:

  • NTLM su RPC (porta TCP 135)
  • NetBIOS (porta UDP 137)
  • RDP (porta TCP 3389)
  • Eseguire query sul server DNS usando la ricerca DNS inversa dell'indirizzo IP (UDP 53)

  Dopo aver ottenuto il nome del computer, i sensori di Defender per identità verificano i dettagli in Active Directory per verificare se è presente un oggetto computer correlato con lo stesso nome del computer. Se viene trovata una corrispondenza, viene creata un'associazione tra l'indirizzo IP e l'oggetto computer corrispondente.

• Percorso di spostamento laterale (LMP) Per creare potenziali indirizzi LMP per utenti sensibili, Defender for Identity richiede informazioni sugli amministratori locali nei computer. In questo scenario, il sensore Defender per identità usa SAM-R (TCP 445) per eseguire query sull'indirizzo IP identificato nel traffico di rete, al fine di determinare gli amministratori locali del computer. Per altre informazioni su Defender per identità e SAM-R, vedere Configurare le autorizzazioni necessarie per SAM-R.

• L'esecuzione di query su Active Directory tramite LDAP per i sensori di Defender per identità di Entità esegue una query sul controller di dominio dal dominio a cui appartiene l'entità. Può essere lo stesso sensore o un altro controller di dominio da tale dominio.

Defender per identità acquisisce le attività su molti protocolli diversi. In alcuni casi, Defender per identità non riceve i dati dell'utente di origine nel traffico. Defender per identità tenta di correlare la sessione dell'utente all'attività e, quando il tentativo ha esito positivo, viene visualizzato l'utente di origine dell'attività. Quando i tentativi di correlazione utente hanno esito negativo, viene visualizzato solo il computer di origine.

Il sensore Defender per identità potrebbe attivare una chiamata DNS a "aatp.dns.detection.local" in risposta a determinate attività DNS in ingresso nel computer monitorato MDI.

I dati utente personali in Defender per identità derivano dall'oggetto dell'utente in Active Directory dell'organizzazione e non possono essere aggiornati direttamente in Defender per identità.

È possibile esportare i dati personali da Defender per identità usando lo stesso metodo usato per esportare le informazioni sugli avvisi di sicurezza. Per altre informazioni, vedere Esaminare gli avvisi di sicurezza.

Usare la barra di ricerca del portale Microsoft Defender per cercare dati personali identificabili, ad esempio un utente o un computer specifico. Per altre informazioni, vedere Analizzare gli asset.

Defender per identità implementa il controllo delle modifiche ai dati personali, inclusa l'eliminazione e l'esportazione dei record dei dati personali. Il tempo di conservazione dell'audit trail è di 90 giorni. Il controllo in Defender per identità è una funzionalità back-end e non accessibile ai clienti.

Dopo l'eliminazione di un utente da Active Directory dell'organizzazione, Defender per identità elimina automaticamente il profilo utente e qualsiasi attività di rete correlata in linea con i criteri generali di conservazione dei dati di Defender per identità, a meno che i dati non siano parte di un evento imprevisto attivo. È consigliabile aggiungere autorizzazioni di sola lettura nel contenitore Oggetti eliminati . Per altre informazioni, vedere Concedere le autorizzazioni DSA necessarie.

Esaminare l'errore più recente nel log degli errori corrente (dove Defender per identità è installato nella cartella "Log").

Contenuto correlato

• Prerequisiti di Defender per identità
• Pianificazione della capacità di Defender per identità
• Configurare la raccolta di eventi
• Configurazione dell'inoltro degli eventi di Windows
• Risoluzione dei problemi
• Consultare il forum di Defender per identità.