適用於身分識別的 Microsoft Defender 常見問題

適用於身分識別的 Defender 會偵測已知的惡意攻擊和技術、安全性問題，以及您網路的風險。 如需適用於身分識別的 Defender 偵測的完整清單，請參閱 適用於身分識別安全性警示的 Defender。

適用於身分識別的 Defender 會從您設定的伺服器收集並儲存資訊，例如域控制器、成員伺服器等等。 數據會儲存在服務專屬的資料庫中，以供系統管理、追蹤和報告之用。

收集的資訊包括：

• 域控制器的網路流量，例如 Kerberos 驗證、NTLM 驗證或 DNS 查詢。
• 安全性記錄，例如 Windows 安全性事件。
• Active Directory 資訊，例如結構、子網或網站。
• 實體資訊，例如名稱、電子郵件地址和電話號碼。

Microsoft使用此數據來：

• 主動識別組織中) 攻擊 (IOA 的指標。
• 如果偵測到可能的攻擊，則產生警示。
• 為您的安全性作業提供與來自網路的威脅訊號相關實體檢視，讓您能夠調查及探索網路上是否有安全性威脅。

Microsoft不會針對廣告或提供服務以外的任何其他用途來挖掘您的數據。

適用於身分識別的 Defender 目前支援新增最多 30 個不同的目錄服務認證，以支援具有不受信任樹系的 Active Directory 環境。 如果您需要更多帳戶，請開啟支援票證。

除了使用深層封包檢查技術來分析 Active Directory 流量之外，適用於身分識別的 Defender 也會從域控制器收集相關的 Windows 事件，並根據來自 Active Directory 網域服務 的資訊建立實體配置檔。 適用於身分識別的 Defender 也支援從各種廠商接收 VPN 記錄的 RADIUS 計量， (Microsoft、Cisco、F5 和檢查點) 。

不能。 適用於身分識別的 Defender 會監視網路中對 Active Directory 執行驗證和授權要求的所有裝置，包括非 Windows 和行動裝置。

是。 由於計算機帳戶和其他實體可用來執行惡意活動，因此適用於身分識別的 Defender 會監視環境中的所有電腦帳戶行為和所有其他實體。

ATA 是具有多個元件的獨立內部部署解決方案，例如需要內部部署專用硬體的 ATA 中心。

適用於身分識別的 Defender 是雲端式安全性解決方案，使用您的 內部部署的 Active Directory訊號。 解決方案可高度擴充且經常更新。

ATA 的最終版本 已正式推出。 ATA 已於 2021 年 1 月 12 日終止主要支援。 外延支援會持續到 2026 年 1 月。 如需詳細資訊，請參閱 我們的部落格。

相較於 ATA 感測器，適用於身分識別的 Defender 感測器也會使用數據源，例如 Windows 事件追蹤 (ETW) 讓適用於身分識別的 Defender 能夠提供額外的偵測。

適用於身分識別的 Defender 經常更新包含下列功能：

• 支援 多樹系環境：提供組織跨AD樹系的可見度。

• Microsoft安全分數狀態評估：識別常見的錯誤設定和可惡意探索的元件，並提供補救路徑來減少受攻擊面。

• UEBA 功能：透過使用者調查優先順序評分深入瞭解個別用戶風險。 分數可協助 SecOps 進行調查，並協助分析師瞭解使用者和組織的異常活動。

• 原生整合：與 Microsoft Defender for Cloud Apps 和 Microsoft Entra ID Protection 整合，以提供內部部署和混合式環境中所發生情況的混合式檢視。

• 參與 Microsoft Defender 全面偵測回應：為 Microsoft Defender 全面偵測回應 提供警示和威脅數據。 Microsoft Defender 全面偵測回應 會使用Microsoft 365 安全性組合 (身分識別、端點、數據和應用程式) 來自動分析跨網域威脅數據，在單一儀錶板中建立每個攻擊的完整圖片。

  透過這種清晰度和深度，防禦者可以專注於重大威脅，並搜捕複雜的缺口。 防禦者可以信任 Microsoft Defender 全面偵測回應 的強大自動化會在終止鏈中的任何位置停止攻擊，並讓組織回到安全狀態。

適用於身分識別的 Defender 可作為 Enterprise Mobility + Security 5 套件 (EMS E5) 的一部分，並作為獨立授權。 您可以直接從 Microsoft 365 入口網站 或透過雲端解決方案合作夥伴 (CSP) 授權模型取得授權。

如需適用於身分識別的Defender授權需求的相關信息，請參閱 適用於身分識別的Defender授權指引。

是，您的數據會根據客戶標識符，透過存取驗證和邏輯隔離來隔離。 每個客戶只能存取從自己的組織收集的數據，以及Microsoft提供的一般數據。

不能。 建立適用於身分識別的 Defender 工作區時，它會自動儲存在最接近您 Microsoft Entra 租使用者地理位置的 Azure 區域中。 建立適用於身分識別的 Defender 工作區之後，適用於身分識別的 Defender 數據就無法移至不同的區域。

根據設計，Microsoft開發人員和系統管理員已獲得足夠的許可權，以履行其指派的職責來操作及發展服務。 Microsoft部署預防性、偵測和反應性控制措施的組合，包括下列機制，以協助防範未經授權的開發人員和/或系統管理活動：

• 對敏感數據的嚴格訪問控制
• 可大幅增強惡意活動獨立偵測能力的控件組合
• 多個層級的監視、記錄和報告

此外，Microsoft會對特定作業人員進行背景驗證檢查，並將應用程式、系統和網路基礎結構的存取權限制為與背景驗證層級成正比。 當作業人員需要存取客戶的帳戶或其職責效能的相關信息時，請遵循正式程式。

建議您為每個域控制器提供適用於身分識別的 Defender 感測器或獨立感測器。 如需詳細資訊，請參閱 適用於身分識別的Defender感測器大小調整。

雖然未解密具有加密流量的網路協定，例如 AtSvc 和 WMI，但感測器仍會分析流量。

適用於身分識別的 Defender 支援 Kerberos 防護，也稱為彈性驗證安全通道 (FAST) 。 這項支援的例外是哈希偵測的傳遞過度，無法與 Kerberos Armoring 搭配使用。

適用於身分識別的 Defender 感測器可以涵蓋大部分的虛擬域控制器。 如需詳細資訊，請參閱 適用於身分識別容量規劃的Defender。

如果適用於身分識別的 Defender 感測器無法涵蓋虛擬域控制器，請改用適用於身分識別的虛擬或實體 Defender 獨立感測器。 如需詳細資訊， 請參閱設定埠鏡像。

最簡單的方式是在虛擬域控制器所在的每個主機上都有適用於身分識別的虛擬 Defender 獨立感測器。

如果您的虛擬域控制器在主機之間移動，您必須執行下列其中一個步驟：

• 當虛擬域控制器移至另一部主機時，請在該主機中預先設定適用於身分識別的 Defender 獨立感測器，以接收來自最近行動之虛擬域控制器的流量。

• 請確定您將虛擬適用於身分識別的 Defender 獨立感測器與虛擬域控制器建立關聯，以便在行動虛擬域控制器時，適用於身分識別的 Defender 獨立感測器隨之移動。

• 有一些虛擬交換器可以在主機之間傳送流量。

若要讓域控制器與雲端服務通訊，您必須在防火牆/Proxy 中開啟：*.atp.azure.com 埠 443。 如需詳細資訊， 請參閱設定您的 Proxy 或防火牆以啟用與適用於身分識別的 Defender 感測器的通訊。

是，您可以使用適用於身分識別的 Defender 感測器來監視任何 IaaS 解決方案中的域控制器。

適用於身分識別的Defender支援多網域環境和多個樹系。 如需詳細資訊和信任需求，請參閱 多樹系支援。

是，您可以檢視整體部署健康情況，以及與設定、連線能力等相關的任何特定問題。 當這些事件發生適用於身分識別的 Defender 健康情況問題時，您會收到警示。

適用於身分識別的 Microsoft Defender 提供所有 Active Directory 帳戶的安全性值，包括未同步至 Microsoft Entra ID 的帳戶。 同步至 Microsoft Entra ID 的用戶帳戶也會受益於 Microsoft Entra ID (根據授權層級) 和調查優先順序評分所提供的安全性值。

適用於身分識別的 Microsoft Defender 小組建議所有客戶都使用與 WinPcap 驅動程式搭配使用，而不是使用該驅動程式。 從適用於身分識別的 Defender 2.184 版開始，安裝套件會安裝 1.0 OEM，而不是 WinPcap 4.1.3 驅動程式。

已不再支援 WinPcap，而且因為不再開發，所以無法再針對適用於身分識別的 Defender 感測器將驅動程序優化。 此外，如果 WinPcap 驅動程式未來發生問題，則沒有任何修正選項。

雖然 WinPcap 不再是支持的產品，但支援使用 1000 種功能。

MDI 感測器需要有 1.0 版或更新版本的 1.0 版或更新版本。 如果沒有安裝其他版本的要安裝的，感測器安裝套件將會安裝1.0版。 如果您因為其他軟體需求或任何其他原因而已安裝 (，) 請務必確定其版本為 1.0 或更新版本，且已使用 MDI 的必要設定進行安裝。

是。 必須手動移除感測器，才能移除 WinPcap 驅動程式。 使用最新套件的重新安裝將會安裝「布建」驅動程式。

您可以透過新增/移除程式 (appwiz.cpl) 來看到已安裝 '體ap OEM'，如果發生此問題的開啟 健康情況問題 ，則會自動關閉。

否，在一般五次安裝的限制下，有一個豁免。 您可以將它安裝在無限制的系統上，其中它只會與適用於身分識別的 Defender 感測器搭配使用。

請參閱這裡的使用者許可協定，並搜尋 適用於身分識別的 Microsoft Defender。

否，只有 適用於身分識別的 Microsoft Defender 感測器支援 1.00 版的 1.00 版。

否，您不需要購買 OEM 版本。 從適用於身分識別的 Defender 控制台下載感測器安裝套件 2.156 版和更新版本，其中包含 OEM 版的 Privilegedap。

• 您可以藉由下載適用於身分識別的 Defender 感測器的最新部署套件，來取得體集可執行檔。

• 如果您尚未安裝感測器，請使用 2.184 版或更新版本安裝感測器。

• 如果您已安裝 具有 WinPcap 的感測器，且需要更新才能使用 12000 年 12 月：

  1. 卸載感測器。 從 Windows 控制面板使用 [新增/移除程式 ] (appwiz.cpl) ，或執行下列 卸載命令： ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. 視需要卸載 WinPcap。 只有在安裝感測器之前手動安裝 WinPcap 時，此步驟才相關。 在此情況下，您必須手動移除 WinPcap。

  3. 使用 2.184 版或更新版本重新安裝感測器。

• 如果您要使用下列選項手動安裝[布建應用程式：安裝接著安裝]：

  • 如果您使用 GUI 安裝程式，請清除 回送支援 選項，然後選取 [WinPcap 模式]。 請確定已清除 [ 僅限限制 RestrictAp 驅動程式對系統管理員的存取] 選項。
  • 如果您使用命令列，請執行： npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• 如果您想要手動升級 Analyticap：

  1. 停止適用於身分識別的 Defender 感測器服務、 AATPSensorUpdater 和 AATPSensor。 跑： Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. 在 Windows 控制面板中使用 [新增/移除程式 ] 來移除[appwiz.cpl) (。

  3. 安裝具有下列選項的消費者：

     • 如果您使用 GUI 安裝程式，請清除 回送支援 選項，然後選取 [WinPcap 模式]。 請確定已清除 [ 僅限限制 RestrictAp 驅動程式對系統管理員的存取] 選項。

     • 如果您使用命令列，請執行： npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. 啟動適用於身分識別的 Defender 感測器服務 、AATPSensorUpdater 和 AATPSensor。 跑： Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

適用於身分識別的 Defender 可以設定為使用 CEF 格式將 Syslog 警示傳送至任何 SIEM 伺服器，以解決健康情況問題，以及偵測到安全性警示時。 如需詳細資訊，請參閱 SIEM 記錄參考。

當帳戶是指定為敏感性 (群組的成員時，帳戶會被視為敏感 (例如：“Domain Admins”) 。

若要了解帳戶為何敏感，您可以檢閱其群組成員資格，以瞭解其所屬的敏感性群組。 它所屬的群組也可能因為另一個群組而具有敏感性，因此應該執行相同的程式，直到您找到最高層級的敏感性群組為止。 或者，手動 將帳戶標記為敏感性。

使用適用於身分識別的 Defender 時，不需要建立規則、閾值或基準，然後進行微調。 適用於身分識別的 Defender 會分析使用者、裝置和資源之間的行為，以及其彼此之間的關聯性，並可快速偵測可疑的活動和已知攻擊。 部署三周之後，適用於身分識別的Defender會開始偵測行為可疑活動。 另一方面，適用於身分識別的Defender會在部署後立即開始偵測已知的惡意攻擊和安全性問題。

適用於身分識別的 Defender 會在下列三種案例之一中，產生從域控制器到組織中計算機的流量：

• 網路名稱解析 適用於身分識別的Defender會擷取流量和事件、學習和分析網路中的使用者和計算機活動。 若要根據組織中的計算機來學習及分析活動，適用於身分識別的Defender必須將IP解析為計算機帳戶。 若要將IP解析為計算機名稱適用於身分識別的Defender感測器，請要求IP位址 後方 電腦名稱的IP位址。

  要求是使用下列四種方法之一來提出：

  • 透過 RPC (TCP 連接埠 135 的 NTLM)
  • NetBIOS (UDP 連接埠 137)
  • RDP (TCP 連接埠 3389)
  • 使用 UDP 53 (IP 位址的反向 DNS 查閱來查詢 DNS 伺服器)

  取得計算機名稱之後，適用於身分識別的 Defender 感測器會交叉檢查 Active Directory 中的詳細數據，以查看是否有具有相同電腦名稱的相互關聯計算機物件。 如果找到相符專案，則會在IP位址與相符的計算機對象之間建立關聯。

• LMP (橫向動作路徑) 若要為敏感性使用者建置潛在的 LMP，適用於身分識別的 Defender 需要電腦上本機系統管理員的相關信息。 在此案例中，適用於身分識別的Defender感測器會使用SAM-R (TCP 445) 來查詢網路流量中識別的IP位址，以判斷電腦的本機系統管理員。 若要深入瞭解適用於身分識別的Defender和SAM-R，請 參閱設定SAM-R必要許可權。

• 針對實體數據使用LDAP查詢Active Directory適用於身分識別的Defender感測器會從實體所屬的網域查詢域控制器。 它可以是相同的感測器，或來自該網域的另一個域控制器。

適用於身分識別的Defender會透過許多不同的通訊協定擷取活動。 在某些情況下，適用於身分識別的 Defender 不會接收流量中來源用戶的數據。 適用於身分識別的 Defender 會嘗試將使用者的會話與活動相互關聯，當嘗試成功時，就會顯示活動的來源使用者。 當使用者相互關聯嘗試失敗時，只會顯示來源計算機。

適用於身分識別的 Defender 感測器可能會觸發對 “aatp.dns.detection.local” 的 DNS 呼叫，以回應 MDI 監視機器的特定傳入 DNS 活動。

適用於身分識別的 Defender 中的個人用戶數據衍生自組織 Active Directory 中用戶的物件，而且無法直接在適用於身分識別的 Defender 中更新。

您可以使用與導出安全性警示資訊相同的方法，從適用於身分識別的 Defender 導出個人資料。 如需詳細資訊，請 參閱檢閱安全性警示。

使用 Microsoft Defender 入口網站搜尋列來搜尋可識別的個人資料，例如特定使用者或計算機。 如需詳細資訊，請 參閱調查資產。

適用於身分識別的 Defender 會實作個人資料變更的稽核，包括刪除和匯出個人資料記錄。 稽核記錄保留時間為90天。 適用於身分識別的 Defender 中的稽核是後端功能，客戶無法存取。

從組織的 Active Directory 刪除使用者之後，適用於身分識別的 Defender 會自動刪除使用者配置檔和任何相關的網路活動，以符合適用於身分識別的 Defender 的 一般數據保留原則，除非數據屬於作用中事件的一部分。 建議您在 [刪除的物件] 容器上新增唯讀許可權。 如需詳細資訊，請 參閱授與必要的 DSA 許可權。

查看目前錯誤 記錄 檔中的最新錯誤 (適用於身分識別的 Defender 安裝在 [記錄] 資料夾) 下的位置。

相關內容

• 適用於身分識別的Defender必要條件
• 適用於身分識別的Defender容量規劃
• 設定事件集合
• 設定 Windows 事件轉送
• 疑難排解
• 請參閱適用於身分識別的Defender論壇！