Perguntas frequentes sobre o Microsoft Defender para Identidade

Este artigo fornece uma lista de perguntas frequentes e respostas sobre o Microsoft Defender para Identidade dividido nas seguintes categorias:

O que é o Defender para Identidade?

O que o Defender para Identidade pode detectar?

O Defender para Identidade detecta ataques e técnicas mal-intencionados conhecidos, problemas de segurança e riscos à sua rede. Para obter a lista completa de detecções do Defender para Identidade, consulte Alertas de segurança do Defender para Identidade.

Quais dados o Defender para Identidade coleta?

O Defender para Identidade coleta e armazena informações de seus servidores configurados, como controladores de domínio, servidores membros e assim por diante. Os dados são armazenados em um banco de dados específico do serviço para fins de administração, rastreamento e geração de relatórios.

As informações coletadas incluem:

  • O tráfego de rede que entra e sai dos controladores de domínio, como autenticação Kerberos, autenticação NTLM ou consultas DNS.
  • Logs de segurança, como eventos de segurança do Windows.
  • Informações do Active Directory, como estrutura, sub-redes ou sites.
  • As informações de entidade incluem nomes, endereços de email e números de telefone.

A Microsoft usa esses dados para:

  • Identificar proativamente indicadores de ataque (IOAs) em sua organização.
  • Gerar alertas se um possível ataque for detectado.
  • Fornecer às suas operações de segurança uma visão das entidades relacionadas aos sinais de ameaça da sua rede, permitindo que você investigue e explore a presença de ameaças de segurança na rede.

A Microsoft não extrai dados para publicidade nem para outra finalidade que não seja fornecer o serviço.

Quantas credenciais do Serviço de Diretório são compatíveis com o Defender para Identidade?

Atualmente, o Defender para Identidade oferece suporte à adição de até 30 credenciais diferentes do Serviço de Diretório para oferecer suporte a ambientes do Active Directory com florestas não confiáveis. Se você precisar de mais contas, abra um tíquete de suporte.

O Defender para Identidade usa apenas o tráfego do Active Directory?

Além de analisar o tráfego do Active Directory usando a tecnologia de inspeção profunda de pacotes, o Defender para Identidade também coleta Eventos relevantes do Windows do controlador de domínio e cria perfis de entidade com base nas informações dos Active Directory Domain Services. O Defender para Identidade também oferece suporte ao recebimento de contabilização RADIUS de logs de VPN de vários fornecedores (Microsoft, Cisco, F5 e Checkpoint).

O Defender para Identidade monitora apenas dispositivos conectados ao domínio?

Não. O Defender para Identidade monitora todos os dispositivos na rede que executam solicitações de autenticação e autorização no Active Directory, incluindo dispositivos móveis e não Windows.

O Defender para Identidade monitora contas de computador e contas de usuário?

Sim. Como as contas de computador e outras entidades podem ser usadas para executar atividades mal-intencionadas, o Defender para Identidade monitora todo o comportamento das contas de computador e todas as outras entidades no ambiente.

Qual é a diferença entre a ATA (Análise Avançada de Ameaças) e o Defender para Identidade?

A ATA é uma solução local autônoma com vários componentes, como o ATA Center, que requer hardware dedicado local.

O Defender para Identidade é uma solução de segurança baseada em nuvem que usa seus sinais do Active Directory local. A solução é altamente escalonável e é atualizada com frequência.

A versão final da ATA está disponível para o público em geral. A ATA encerrou o suporte base em 12 de janeiro de 2021. O suporte estendido continua até janeiro de 2026. Para obter mais informações, leia nosso blog.

Em contraste com o sensor da ATA, o sensor do Defender para Identidade também usa fontes de dados como o ETW (Rastreamento de Eventos para Windows), que permite ao Defender para Identidade fornecer detecções extras.

As atualizações frequentes do Defender para Identidade incluem os seguintes recursos e capacidades:

  • Suporte para ambientes de várias florestas: fornece visibilidade das organizações entre florestas do AD.

  • Avaliações da postura do Microsoft Secure Score: identifica configurações incorretas comuns e componentes exploráveis e fornece caminhos de correção para reduzir a superfície de ataque.

  • Recursos da UEBA: insights sobre o risco do usuário individual por meio da pontuação de prioridade de investigação do usuário. A pontuação pode ajudar a equipe de SecOps nas investigações e ajudar os analistas a entender atividades incomuns para o usuário e a organização.

  • Integrações nativas: integra-se ao Microsoft Defender para Aplicativos de Nuvem e ao Azure AD Identity Protection para fornecer uma exibição híbrida do que está ocorrendo em ambientes locais e híbridos.

  • Contribui para o Microsoft Defender XDR: contribui com dados de alerta e ameaça para o Microsoft Defender XDR. O Microsoft Defender XDR usa o portfólio de segurança do Microsoft 365 (identidades, pontos de extremidade, dados e aplicativos) para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque em um único painel.

    Com essa amplitude e profundidade de clareza, os defensores podem se concentrar em ameaças críticas e caçar violações sofisticadas. Os defensores podem confiar que a poderosa automação do Microsoft Defender XDR interrompe os ataques em qualquer lugar da cadeia de eliminação e retorna a organização a um estado seguro.

Licenciamento e privacidade

Onde posso obter uma licença para o Microsoft Defender para Identidade?

O Defender para Identidade está disponível como parte do EMS E5 (pacote Enterprise Mobility + Security 5) e uma licença autônoma. Você pode adquirir uma licença diretamente pelo portal do Microsoft 365 ou por meio do modelo de licenciamento CSP (Parceiro de Soluções na Nuvem).

O Defender para Identidade precisa apenas de uma única licença ou requer uma licença para cada usuário que quero proteger?

Para obter informações sobre os requisitos de licenciamento do Defender para Identidade, consulte Diretrizes de licenciamento do Defender para Identidade.

Meus dados estão isolados de outros dados de clientes?

Sim, seus dados são isolados por meio de autenticação de acesso e segregação lógica com base em identificadores de clientes. Cada cliente só pode acessar dados coletados de sua própria organização e dados genéricos fornecidos pela Microsoft.

Tenho flexibilidade para selecionar onde armazenar meus dados?

Não. Quando seu espaço de trabalho do Defender para Identidade é criado, ele é armazenado automaticamente na região do Azure mais próxima da localização geográfica do locatário do Microsoft Entra. Depois que o espaço de trabalho do Defender para Identidade for criado, os dados do Defender para Identidade não poderão ser movidos para uma região diferente.

Como a Microsoft evita atividades internas maliciosas e abuso de funções de alto privilégio?

Os desenvolvedores e administradores da Microsoft receberam, por design, privilégios suficientes para executar suas funções atribuídas para operar e evoluir o serviço. A Microsoft implanta combinações de controles preventivos, detectivos e reativos, incluindo os mecanismos abaixo, para ajudar a proteger contra atividades administrativas e/ou do desenvolvedor não autorizadas:

  • Controle de acesso rigoroso a dados confidenciais
  • Combinações de controles que melhoram bastante a detecção independente de atividades mal-intencionadas
  • Vários níveis de monitoramento, logs e relatórios

Além disso, a Microsoft realiza verificações de antecedentes em determinadas operações e limita o acesso a aplicativos, sistemas e infraestrutura de rede proporcionalmente ao nível de verificação em segundo plano. A equipe de operações segue um processo formal quando é necessário acessar a conta de um cliente ou informações relacionadas no desempenho de suas funções.

Implantação

De quantos sensores Defender para Identidade eu preciso?

Recomendamos que você tenha um sensor do Defender para Identidade ou um sensor autônomo para cada um dos controladores de domínio. Para obter mais informações, consulte Dimensionamento do sensor do Defender para Identidade.

O Defender para Identidade funciona com tráfego criptografado?

Embora os protocolos de rede com tráfego criptografado, como AtSvc e WMI, não sejam descriptografados, os sensores ainda analisam o tráfego.

O Defender para Identidade funciona com o Kerberos Armoring?

O Defender para Identidade oferece suporte ao Kerberos Armoring, também conhecido como Flexible Authentication Secure Tunneling (FAST). A exceção a esse suporte é a superação da detecção de hash, que não funciona com o Kerberos Armoring.

Como faço para monitorar um controlador de domínio virtual usando o Defender para Identidade?

O sensor do Defender para Identidade abrange a maioria dos controladores de domínio virtual. Para obter mais informações, confira Planejamento de capacidade do Defender para Identidade.

Se o sensor do Defender para Identidade não puder cobrir um controlador de domínio virtual, use um sensor autônomo virtual ou físico do Defender para Identidade. Para obter mais informações, consulte Configurar o espelhamento de porta.

A maneira mais fácil é ter um sensor autônomo virtual do Defender para Identidade em cada host onde existe um controlador de domínio virtual.

Se os controladores de domínio virtual se moverem entre hosts, você precisará executar uma das seguintes etapas:

  • Quando o controlador de domínio virtual se move para outro host, pré-configure o sensor autônomo do Defender para Identidade nesse host para receber o tráfego do controlador de domínio virtual movido recentemente.

  • Certifique-se de afiliar o sensor autônomo virtual do Defender para Identidade ao controlador de domínio virtual para que, se ele for movido, o sensor autônomo do Defender para Identidade se mova com ele.

  • Existem alguns comutadores virtuais que podem enviar tráfego entre hosts.

Como devo configurar os sensores do Defender para Identidade para que se comuniquem com o serviço de nuvem do Defender para Identidade quando tenho um proxy?

Para que os controladores de domínio se comuniquem com o serviço de nuvem, você deve abrir: *.atp.azure.com porta 443 no firewall/proxy. Para obter mais informações, consulte Configurar seu proxy ou firewall para habilitar a comunicação com os sensores do Defender para Identidade.

Os controladores de domínio monitorados do Defender para Identidade podem ser virtualizados em sua solução IaaS?

Sim, você pode usar o sensor do Defender para Identidade para monitorar controladores de domínio que estejam em uma solução IaaS.

O Defender para Identidade oferece suporte a vários domínios e várias florestas?

O Defender para Identidade oferece suporte a ambientes de vários domínios e várias florestas. Para obter mais informações e requisitos de confiança, consulte Suporte a várias florestas.

É possível ver a integridade geral da implantação?

Sim, você pode exibir a integridade geral da implantação e os problemas específicos relacionados à configuração, conectividade, e assim por diante. Você receberá um alerta quando esses eventos ocorrerem com problemas de integridade do Defender para Identidade.

O Microsoft Defender para Identidade requer a sincronização de usuários com o Microsoft Entra ID?

O Microsoft Defender para Identidade fornece valor de segurança para todas as contas do Active Directory, incluindo aquelas que não são sincronizadas com o Microsoft Entra ID. As contas de usuário sincronizadas com o Microsoft Entra ID também se beneficiarão do valor de segurança fornecido pelo Microsoft Entra ID (com base no nível de licença) e da Pontuação de Prioridade de Investigação.

Drivers WinPcap e Npcap

Quais recomendações sobre drivers WinPcap e Npcap estão mudando?

A equipe do Microsoft Defender para Identidade recomenda que todos os clientes usem o driver Npcap, em vez dos drivers WinPcap. A partir do Defender para Identidade versão 2.184, o pacote de instalação instala o Npcap 1.0 OEM, em vez dos drivers WinPcap 4.1.3.

Por que estamos deixando de usar o WinPcap?

Não há mais suporte para o WinPcap e, como não está mais sendo desenvolvido, o driver não pode mais ser otimizado para o sensor do Defender para Identidade. Além disso, se houver um problema no futuro com o driver WinPcap, não há opções para uma correção.

Por que usar o Npcap?

P Npcap é compatível, já o WinPcap não é mais um produto com suporte.

Qual versão do Npcap é compatível?

O sensor do MDI requer o Npcap 1.0 ou posterior. O pacote de instalação do sensor instalará a versão 1.0 se nenhuma outra versão do Npcap estiver instalada. Se você já tiver o Npcap instalado (devido a outros requisitos de software ou outro motivo), é importante garantir que ele seja a versão 1.0 ou posterior e que ele tenha sido instalado com as configurações necessárias para o MDI.

Preciso remover e reinstalar manualmente o sensor ou o serviço de atualização automática lidará com isso como parte da atualização normal?

Sim. É necessário remover manualmente o sensor para remover os drivers WinPcap. A reinstalação usando o pacote mais recente instalará os drivers Npcap.

Como posso verificar se minha instalação atual do Defender para Identidade usa Npcap ou WinPcap?

Você pode ver que "Npcap OEM" é instalado por meio de Adicionar/Remover programas (appwiz.cpl), e se houve um problema de integridade aberto para isso, ele será fechado automaticamente.

Tenho mais de cinco controladores de domínio na minha organização. Preciso comprar uma licença do Npcap se estiver usando Npcap nesses controladores de domínio?

Não, o Npcap tem uma isenção do limite habitual de cinco instalações. Você pode instalá-lo em sistemas ilimitados onde ele é usado apenas com o sensor do Defender para Identidade.

Consulte o contrato de licença Npcap aqui e procure Microsoft Defender para Identidade.

O Npcap também é relevante para a ATA?

Não, apenas o sensor do Microsoft Defender para Identidade oferece suporte ao Npcap versão 1.00.

Gostaria de criar um script para a implantação do Npcap, preciso comprar a versão OEM?

Não, você não precisa comprar a versão OEM. Baixe o pacote de instalação do sensor versão 2.156 e posterior do console do Defender para Identidade, que inclui a versão OEM do Npcap.

Como faço para baixar e instalar ou atualizar o driver Npcap?

  • Você pode obter os executáveis Npcap baixando o pacote de implantação mais recente do sensor do Defender para Identidade.

  • Se você ainda não instalou o sensor, instale o sensor usando a versão 2.184 ou posterior.

  • Se você já instalou o sensor com WinPcap e precisa atualizar para usar o Npcap:

    1. Desinstale o sensor. Use Adicionar/Remover programas do painel de controle do Windows (appwiz.cpl) ou execute o seguinte comando de desinstalação: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

    2. Desinstale o WinPcap, se necessário. Esta etapa é relevante somente se o WinPcap foi instalado manualmente antes da instalação do sensor. Nesse caso, você precisará remover o WinPcap manualmente.

    3. Reinstale o sensor usando a versão 2.184 ou posterior.

  • Se você deseja instalar o Npcap manualmente: instale o Npcap com as seguintes opções:

    • Se você estiver usando o instalador da GUI, desmarque a opção suporte de loopback e selecione o modo WinPcap. Verifique se a opção Restringir o acesso do driver Npcap somente para administradores está desmarcada.
    • Se estiver usando a linha de comando, execute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
  • Para atualizar o Npcap manualmente:

    1. Pare os serviços do sensor do Defender para Identidade, AATPSensorUpdater e AATPSensor. Execute: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

    2. Remova o Npcap usando Adicionar/Remover programas no painel de controle do Windows (appwiz.cpl).

    3. Instale o Npcap usando as seguintes opções:

      • Se você estiver usando o instalador da GUI, desmarque a opção suporte de loopback e selecione o modo WinPcap. Verifique se a opção Restringir o acesso do driver Npcap somente para administradores está desmarcada.

      • Se estiver usando a linha de comando, execute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

    4. Inicie os serviços do sensor do Defender para Identidade, AATPSensorUpdater e AATPSensor. Execute: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Operação

Que tipo de integração o Defender para Identidade tem com os SIEMs?

O Defender para Identidade pode ser configurado para enviar um alerta de Syslog, para qualquer servidor de SIEM usando o formato CEF, para problemas de integridade e quando um alerta de segurança é detectado. Para obter mais informações, confira a Referência de logs de SIEM.

Por que certas contas são consideradas confidenciais?

As contas são consideradas confidenciais quando uma conta é membro de grupos designados como confidenciais (por exemplo: "Administradores de domínio").

Para entender por que uma conta é confidencial, você pode revisar sua associação de grupo para entender a quais grupos confidenciais ela pertence. O grupo ao qual ele pertence também pode ser sensível devido a outro grupo, portanto, o mesmo processo deve ser executado até que você localize o grupo sensível de nível mais alto. Como alternativa, marque manualmente as contas como confidenciais.

É necessário escrever as próprias regras e criar um limite/linha de base?

Com o Defender para Identidade, não há necessidade de criar regras, limites ou linhas de base e, em seguida, ajustar. O Defender para Identidade analisa os comportamentos entre usuários, dispositivos e recursos, bem como sua relação entre si, e pode detectar atividades suspeitas e ataques conhecidos rapidamente. Três semanas após a implantação, o Defender para Identidade começa a detectar atividades comportamentais suspeitas. Por outro lado, o Defender para Identidade começará a detectar ataques mal-intencionados conhecidos e problemas de segurança imediatamente após a implantação.

Qual tráfego o Defender para Identidade gera na rede dos controladores de domínio e por quê?

O Defender para Identidade gera tráfego de controladores de domínio para computadores na organização em um dos três cenários:

  • A Resolução de Nomes de Rede do Defender para Identidade captura tráfego e eventos, aprendendo e traçando o perfil de usuários e atividades do computador na rede. Para aprender e criar o perfil das atividades de acordo com os computadores da organização, o Defender para Identidade precisa resolver IPs para contas de computador. Para resolver IPs para nomes de computador Defender para sensores de identidade, solicite o endereço IP para o nome do computador por trás do endereço IP.

    As solicitações são feitas usando um dos quatro métodos:

    • NTLM por RPC (porta TCP 135)
    • NetBIOS (porta UDP 137)
    • RDP (porta TCP 3389)
    • Consulte o servidor DNS usando a pesquisa de DNS reverso do endereço IP (UDP 53)

    Depois de obter o nome do computador, os sensores do Defender para Identidade verificam os detalhes no Active Directory para ver se há um objeto de computador correlacionado com o mesmo nome de computador. Se uma correspondência for encontrada, será feita uma associação entre o endereço IP e o objeto de computador correspondente.

  • Caminho de Movimentação Lateral (LMP) Para criar possíveis LMPs para usuários confidenciais, o Defender para Identidade requer informações sobre os administradores locais nos computadores. Nesse cenário, o sensor do Defender para Identidade usa SAM-R (TCP 445) para consultar o endereço IP identificado no tráfego de rede, a fim de determinar os administradores locais do computador. Para saber mais sobre o Defender para Identidade e o SAM-R, consulte Configurar as permissões necessárias do SAM-R.

  • Ao consultar o Active Directory usando LDAP para dados de entidade, os sensores do Defender para Identidade consultam o controlador de domínio do domínio ao qual a entidade pertence. Pode ser o mesmo sensor ou outro controlador de domínio desse domínio.

Protocolo Serviço Porta Origem Direção
LDAP TCP e UDP 389 Controladores de domínio Saída
LDAPS (LDAP Seguro) TCP 636 Controladores de domínio Saída
LDAP para catálogo global TCP 3268 Controladores de domínio Saída
LDAPS para catálogo global TCP 3269 Controladores de domínio Saída

Por que as atividades nem sempre mostram o usuário e o computador de origem?

O Defender para Identidade captura atividades em vários protocolos diferentes. Em alguns casos, o Defender para Identidade não recebe os dados do usuário de origem no tráfego. O Defender para Identidade tenta correlacionar a sessão do usuário à atividade e, quando a tentativa é bem-sucedida, o usuário de origem da atividade é exibido. Quando as tentativas de correlação do usuário falham, somente o computador de origem é exibido.

Por que vejo consultas DNS para aatp.dns.detection.local?

O sensor do Defender para Identidade pode disparar uma chamada DNS para "aatp.dns.detection.local" em resposta a determinadas atividades DNS de entrada no computador monitorado pelo MDI.

Gerenciamento de dados pessoais

Os dados pessoais do usuário podem ser atualizados no Defender para Identidade?

Os dados pessoais do usuário no Defender para Identidade são derivados do objeto do usuário no Active Directory da organização e não podem ser atualizados diretamente no Defender para Identidade.

Como posso exportar os dados pessoais do Defender para Identidade?

Você pode exportar dados pessoais do Defender para Identidade usando o método similar usado para exportar informações de alerta de segurança. Para obter mais informações, confira Analisar os alertas de segurança.

Como posso localizar os dados pessoais armazenados no Defender para Identidade?

Use a barra de pesquisa do portal do Microsoft Defender para pesquisar dados pessoais identificáveis, como um usuário ou computador específico. Para obter mais informações, confira Investigar ativos.

Que tipo de auditoria o Defender para Identidade é feita nos dados pessoais?

O Defender para Identidade implementa a auditoria de alterações em dados pessoais, incluindo a exclusão e exportação de registros de dados pessoais. O período de retenção da trilha de auditoria é de 90 dias. A auditoria no Defender para Identidade é um recurso de back-end e não está acessível aos clientes.

O que acontece no Defender para Identidade quando um usuário é excluído do Active Directory da organização?

Depois que um usuário é excluído do Active Directory da organização, o Defender para Identidade exclui automaticamente o perfil do usuário e qualquer atividade de rede relacionada em alinhamento com a política geral de retenção de dados do Defender for Identity, a menos que os dados façam parte de um incidente ativo. Recomendamos adicionar as permissões Somente leitura no contêiner Objetos Excluídos . Para obter mais informações, confira Conceder as permissões de DSA necessárias.

Solução de problemas

O que devo fazer se o sensor do Defender para Identidade ou o sensor autônomo não iniciar?

Observe o erro mais recente no log de erros atual (o Defender para Identidade está instalado na pasta "Logs").