Microsoft Defender for Identity الأسئلة المتداولة

يكتشف Defender for Identity الهجمات والتقنيات الضارة المعروفة ومشكلات الأمان والمخاطر ضد شبكتك. للحصول على القائمة الكاملة لاكتشافات Defender for Identity، راجع Defender for Identity Security Alerts.

يجمع Defender for Identity المعلومات ويخزنها من الخوادم التي تم تكوينها، مثل وحدات التحكم بالمجال وخوادم الأعضاء وما إلى ذلك. يتم تخزين البيانات في قاعدة بيانات خاصة بالخدمة لأغراض الإدارة والتعقب وإعداد التقارير.

تتضمن المعلومات التي تم جمعها ما يلي:

• نسبة استخدام الشبكة من وإلى وحدات التحكم بالمجال، مثل مصادقة Kerberos أو مصادقة NTLM أو استعلامات DNS.
• سجلات الأمان، مثل أحداث أمان Windows.
• معلومات Active Directory، مثل البنية أو الشبكات الفرعية أو المواقع.
• معلومات الكيان، مثل الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف.

تستخدم Microsoft هذه البيانات من أجل:

• تحديد مؤشرات الهجوم بشكل استباقي (IOAs) في مؤسستك.
• إنشاء تنبيهات إذا تم الكشف عن هجوم محتمل.
• قم بتوفير عمليات الأمان الخاصة بك مع عرض في الكيانات المتعلقة بإشارات التهديد من شبكتك، ما يتيح لك التحقيق واستكشاف وجود تهديدات أمنية على الشبكة.

لا تقوم Microsoft بالألغام بياناتك للإعلان أو لأي غرض آخر غير تزويدك بالخدمة.

يدعم Defender for Identity حاليا إضافة ما يصل إلى 30 بيانات اعتماد خدمة دليل مختلفة لدعم بيئات Active Directory مع غابات غير موثوق بها. إذا كنت بحاجة إلى المزيد من الحسابات، فافتح تذكرة دعم.

بالإضافة إلى تحليل حركة مرور Active Directory باستخدام تقنية فحص الحزم العميقة، يجمع Defender for Identity أيضا أحداث Windows ذات الصلة من وحدة تحكم المجال الخاصة بك وينشئ ملفات تعريف الكيان استنادا إلى معلومات من خدمات مجال Active Directory. يدعم Defender for Identity أيضا تلقي محاسبة RADIUS لسجلات VPN من موردين مختلفين (Microsoft وCisco وF5 و Checkpoint).

لا. يراقب Defender for Identity جميع الأجهزة في الشبكة التي تقوم بإجراء طلبات المصادقة والتخويل مقابل Active Directory، بما في ذلك الأجهزة غير التي تعمل بنظام Windows والأجهزة المحمولة.

نعم. نظرا لأنه يمكن استخدام حسابات الكمبيوتر والكيانات الأخرى لتنفيذ أنشطة ضارة، يراقب Defender for Identity جميع سلوك حسابات الكمبيوتر وجميع الكيانات الأخرى في البيئة.

ATA هو حل محلي مستقل مع مكونات متعددة، مثل مركز ATA الذي يتطلب أجهزة مخصصة محليا.

Defender for Identity هو حل أمان مستند إلى السحابة يستخدم إشارات Active Directory محلي. الحل قابل للتطوير بدرجة كبيرة ويتم تحديثه بشكل متكرر.

الإصدار النهائي من ATA متاح بشكل عام. أنهت ATA "الدعم الأساسي" في 12 يناير 2021. يستمر الدعم الموسع حتى يناير 2026. لمزيد من المعلومات، اقرأ مدونتنا.

على النقيض من مستشعر ATA، يستخدم مستشعر Defender for Identity أيضا مصادر بيانات مثل تتبع الأحداث لنظام التشغيل Windows (ETW) لتمكين Defender for Identity من تقديم اكتشافات إضافية.

تتضمن التحديثات المتكررة ل Defender for Identity الميزات والقدرات التالية:

• دعم البيئات متعددة الغابات: يوفر رؤية المؤسسات عبر غابات AD.

• تقييمات وضع Microsoft Secure Score: يحدد التكوينات الخاطئة الشائعة والمكونات القابلة للاستغلال ويوفر مسارات المعالجة لتقليل سطح الهجوم.

• قدرات UEBA: نتائج تحليلات حول مخاطر المستخدم الفردية من خلال تسجيل أولوية التحقيق من قبل المستخدم. يمكن أن تساعد النتيجة SecOps في تحقيقاتهم وتساعد المحللين على فهم الأنشطة غير العادية للمستخدم والمؤسسة.

• عمليات التكامل الأصلية: تتكامل مع Microsoft Defender for Cloud Apps Microsoft Entra ID Protection لتوفير عرض مختلط لما يحدث في كل من البيئات المحلية والمختلطة.

• يساهم في Microsoft Defender XDR: يساهم في بيانات التنبيه والتهديد في Microsoft Defender XDR. يستخدم Microsoft Defender XDR محفظة أمان Microsoft 365 (الهويات ونقاط النهاية والبيانات والتطبيقات) لتحليل بيانات التهديد عبر المجالات تلقائيا، وإنشاء صورة كاملة لكل هجوم في لوحة معلومات واحدة.

  مع هذا الاتساع وعمق الوضوح، يمكن للمدافعين التركيز على التهديدات الحرجة والبحث عن الخروقات المتطورة. يمكن أن يثق Defenders في أن أتمتة Microsoft Defender XDR القوية توقف الهجمات في أي مكان في سلسلة القتل وتعيد المؤسسة إلى حالة آمنة.

يتوفر Defender for Identity كجزء من مجموعة Enterprise Mobility + Security 5 (EMS E5)، وكترخيص مستقل. يمكنك الحصول على ترخيص مباشرة من مدخل Microsoft 365 أو من خلال نموذج ترخيص شريك حلول السحابة (CSP).

للحصول على معلومات حول متطلبات ترخيص Defender for Identity، راجع إرشادات ترخيص Defender for Identity.

نعم، يتم عزل بياناتك من خلال مصادقة الوصول والفصل المنطقي استنادا إلى معرفات العملاء. يمكن لكل عميل فقط الوصول إلى البيانات التي تم جمعها من مؤسسته والبيانات العامة التي توفرها Microsoft.

لا. عند إنشاء مساحة عمل Defender for Identity، يتم تخزينها تلقائيا في منطقة Azure الأقرب إلى الموقع الجغرافي للمستأجر Microsoft Entra. بمجرد إنشاء مساحة عمل Defender for Identity، لا يمكن نقل بيانات Defender for Identity إلى منطقة مختلفة.

تم منح مطوري Microsoft ومسؤوليها، حسب التصميم، امتيازات كافية لتنفيذ واجباتهم المعينة لتشغيل الخدمة وتطويرها. تنشر Microsoft مجموعات من عناصر التحكم الوقائية والمخبرية والتفاعلية بما في ذلك الآليات التالية للمساعدة في الحماية من المطور غير المصرح به و/أو النشاط الإداري:

• التحكم المحكم في الوصول إلى البيانات الحساسة
• مجموعات من عناصر التحكم التي تعزز بشكل كبير الكشف المستقل عن النشاط الضار
• مستويات متعددة من المراقبة والتسجيل وإعداد التقارير

بالإضافة إلى ذلك، تجري Microsoft عمليات التحقق من الخلفية على بعض موظفي العمليات، وتحد من الوصول إلى التطبيقات والأنظمة والبنية الأساسية للشبكة بما يتناسب مع مستوى التحقق من الخلفية. يتبع موظفو العمليات عملية رسمية عندما يطلب منهم الوصول إلى حساب العميل أو المعلومات ذات الصلة في أداء واجباتهم.

نوصي بأن يكون لديك مستشعر Defender for Identity أو أداة استشعار مستقلة لكل وحدة من وحدات التحكم بالمجال. لمزيد من المعلومات، راجع تحجيم أداة استشعار Defender for Identity.

بينما لا يتم فك تشفير بروتوكولات الشبكة ذات نسبة استخدام الشبكة المشفرة، مثل AtSvc وWMI، لا تزال أجهزة الاستشعار تحلل نسبة استخدام الشبكة.

يدعم Defender for Identity دروع Kerberos، والمعروفة أيضا باسم النفق الآمن للمصادقة المرنة (FAST). الاستثناء من هذا الدعم هو الإفراط في تمرير الكشف عن التجزئة، والذي لا يعمل مع Kerberos Armoring.

يمكن أن يغطي مستشعر Defender for Identity معظم وحدات التحكم بالمجال الظاهرية. لمزيد من المعلومات، راجع Defender for Identity Capacity Planning.

إذا لم يتمكن مستشعر Defender for Identity من تغطية وحدة تحكم مجال ظاهرية، فاستخدم إما مستشعرا افتراضيا أو ماديا ل Defender for Identity مستقلا بدلا من ذلك. لمزيد من المعلومات، راجع تكوين النسخ المتطابق للمنفذ.

أسهل طريقة هي أن يكون لديك مستشعر افتراضي مستقل ل Defender for Identity على كل مضيف حيث توجد وحدة تحكم مجال ظاهرية.

إذا انتقلت وحدات التحكم بالمجال الظاهري بين المضيفين، فستحتاج إلى تنفيذ إحدى الخطوات التالية:

• عندما تنتقل وحدة التحكم بالمجال الظاهري إلى مضيف آخر، قم بتكوين مستشعر Defender for Identity المستقل مسبقا في هذا المضيف لتلقي نسبة استخدام الشبكة من وحدة تحكم المجال الظاهرية التي تم نقلها مؤخرا.

• تأكد من أن تقوم بتمكين أداة الاستشعار المستقلة ل Defender for Identity الظاهرية باستخدام وحدة التحكم بالمجال الظاهري بحيث إذا تم نقلها، فإن أداة استشعار Defender for Identity المستقلة تتحرك معها.

• هناك بعض المفاتيح الظاهرية التي يمكن أن ترسل نسبة استخدام الشبكة بين المضيفين.

لكي تتواصل وحدات التحكم بالمجال مع الخدمة السحابية، يجب فتح: *.atp.azure.com المنفذ 443 في جدار الحماية/الوكيل. لمزيد من المعلومات، راجع تكوين الوكيل أو جدار الحماية لتمكين الاتصال بأجهزة استشعار Defender for Identity.

نعم، يمكنك استخدام مستشعر Defender for Identity لمراقبة وحدات التحكم بالمجال الموجودة في أي حل IaaS.

يدعم Defender for Identity البيئات متعددة المجالات والغابات المتعددة. لمزيد من المعلومات ومتطلبات الثقة، راجع الدعم متعدد الغابات.

نعم، يمكنك عرض صحة التوزيع الإجمالية وأي مشكلات محددة تتعلق بالتكوين والاتصال وما إلى ذلك. يتم تنبيهك عند حدوث هذه الأحداث مع مشكلات حماية Defender for Identity.

يوفر Microsoft Defender for Identity قيمة أمان لجميع حسابات Active Directory بما في ذلك تلك التي لم تتم مزامنتها مع Microsoft Entra ID. ستستفيد حسابات المستخدمين التي تتم مزامنتها مع Microsoft Entra ID أيضا من قيمة الأمان التي يوفرها Microsoft Entra ID (استنادا إلى مستوى الترخيص) وتسجيل أولوية التحقيق.

يوصي فريق Microsoft Defender for Identity بأن يستخدم جميع العملاء برنامج تشغيل برنامج تشغيل برنامج تشغيل برنامج تشغيل WinPcap بدلا من برامج تشغيل WinPcap. بدءا من Defender for Identity الإصدار 2.184، تقوم حزمة التثبيت بتثبيت الشركة المصنعة للمعدات الأصلية (OEM) من برنامجي التشغيل WinPcap 4.1.3.

لم يعد WinPcap مدعوما ولأنه لم يعد قيد التطوير، لا يمكن تحسين برنامج التشغيل بعد الآن لمستشعر Defender for Identity. بالإضافة إلى ذلك، إذا كانت هناك مشكلة في المستقبل مع برنامج تشغيل WinPcap، فلا توجد خيارات لإصلاحها.

يتم دعم Npcap، بينما لم يعد WinPcap منتجا مدعوما.

يتطلب مستشعر MDI 1.0 أو أحدث من ذلك. ستقوم حزمة تثبيت المستشعر بتثبيت الإصدار 1.0 إذا لم يتم تثبيت أي إصدار آخر من Npcap. إذا كان لديك برنامج Npcap مثبت بالفعل (بسبب متطلبات البرامج الأخرى، أو أي سبب آخر) فمن المهم التأكد من أنه الإصدار 1.0 أو أحدث، وأنه تم تثبيته مع الإعدادات المطلوبة ل MDI.

نعم. مطلوب لإزالة المستشعر يدويا لإزالة برامج تشغيل WinPcap. ستؤدي إعادة التثبيت باستخدام أحدث حزمة إلى تثبيت برامج تشغيل برنامج تشغيل برنامج عمل لغة برمجة التطبيقات.

يمكنك أن ترى أنه تم تثبيت "الشركة المصنعة للمعدات الأصلية للمعدات الأصلية للمجمعات" من خلال إضافة/إزالة البرامج (appwiz.cpl)، وإذا كانت هناك مشكلة صحية مفتوحة لهذا، إغلاقها تلقائيا.

لا، يحتوي المجلس الوطني للمنااب على إعفاء من الحد المعتاد وهو خمسة تثبيتات. يمكنك تثبيته على أنظمة غير محدودة حيث يتم استخدامه فقط مع مستشعر Defender for Identity.

راجع اتفاقية ترخيص Npcap هنا، وابحث عن Microsoft Defender for Identity.

لا، فقط أداة الاستشعار Microsoft Defender for Identity تدعم الإصدار 1.00 من برنامج Npcap.

لا، لا تحتاج إلى شراء إصدار الشركة المصنعة للمعدات الأصلية. قم بتنزيل إصدار حزمة تثبيت المستشعر 2.156 والإصدارات الأحدث من وحدة تحكم Defender for Identity، والتي تتضمن إصدار OEM من Npcap.

• يمكنك الحصول على الملفات التنفيذية ل Npcap عن طريق تنزيل أحدث حزمة توزيع لمستشعر Defender for Identity.

• إذا لم تكن قد قمت بتثبيت أداة الاستشعار بعد، فقم بتثبيت المستشعر باستخدام الإصدار 2.184 أو أعلى.

• إذا قمت بالفعل بتثبيت أداة الاستشعار مع WinPcap وتحتاج إلى التحديث لاستخدام Npcap:

  1. قم بإلغاء تثبيت أداة الاستشعار. استخدم إما إضافة/إزالة برامج من لوحة التحكم في Windows (appwiz.cpl)، أو قم بتشغيل أمر إلغاء التثبيت التالي: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. قم بإلغاء تثبيت WinPcap إذا لزم الأمر. هذه الخطوة ذات صلة فقط إذا تم تثبيت WinPcap يدويا قبل تثبيت أداة الاستشعار. في هذه الحالة، ستحتاج إلى إزالة WinPcap يدويا.

  3. أعد تثبيت أداة الاستشعار باستخدام الإصدار 2.184 أو أعلى.

• إذا كنت ترغب في تثبيت Npcap يدويا: قم بتثبيت Npcap باستخدام الخيارات التالية:

  • إذا كنت تستخدم مثبت واجهة المستخدم الرسومية، فقم بإلغاء تحديد خيار دعم الحفظ مع التحديث وحدد وضع WinPcap . تأكد من إلغاء تحديد خيار تقييد وصول برنامج تشغيل برنامج تشغيل برنامج التشغيل إلى المسؤولين فقط .
  • إذا كنت تستخدم سطر الأوامر، فقم بتشغيل: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• إذا كنت ترغب في ترقية Npcap يدويا:

  1. أوقف خدمات استشعار Defender for Identity و AATPSensorUpdater و AATPSensor. ركض: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. قم بإزالة البرنامج الوطني للمجمع باستخدام إضافة/إزالة البرامج في لوحة التحكم في Windows (appwiz.cpl).

  3. قم بتثبيت Npcap بالخيارات التالية:

     • إذا كنت تستخدم مثبت واجهة المستخدم الرسومية، فقم بإلغاء تحديد خيار دعم الحفظ مع التحديث وحدد وضع WinPcap . تأكد من إلغاء تحديد خيار تقييد وصول برنامج تشغيل برنامج تشغيل برنامج التشغيل إلى المسؤولين فقط .

     • إذا كنت تستخدم سطر الأوامر، فقم بتشغيل: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. ابدأ خدمات استشعار Defender for Identity و AATPSensorUpdater و AATPSensor. ركض: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

يمكن تكوين Defender for Identity لإرسال تنبيه Syslog، إلى أي خادم SIEM باستخدام تنسيق CEF، للمشكلات الصحية وعند اكتشاف تنبيه أمان. لمزيد من المعلومات، راجع مرجع سجل SIEM.

تعتبر الحسابات حساسة عندما يكون الحساب عضوا في مجموعات تم تعيينها على أنها حساسة (على سبيل المثال: "مسؤولو المجال").

لفهم سبب حساسية الحساب، يمكنك مراجعة عضويته في المجموعة لفهم المجموعات الحساسة التي ينتمي إليها. يمكن أن تكون المجموعة التي تنتمي إليها حساسة أيضا بسبب مجموعة أخرى، لذلك يجب تنفيذ نفس العملية حتى تحدد موقع المجموعة الحساسة ذات المستوى الأعلى. بدلا من ذلك، ضع علامة على الحسابات يدويا على أنها حساسة.

باستخدام Defender for Identity، ليست هناك حاجة لإنشاء قواعد أو حدود أو خطوط أساسية ثم ضبطها. يحلل Defender for Identity السلوكيات بين المستخدمين والأجهزة والموارد، بالإضافة إلى علاقتهم مع بعضها البعض، ويمكنه الكشف عن النشاط المشبوه والهجمات المعروفة بسرعة. بعد ثلاثة أسابيع من التوزيع، يبدأ Defender for Identity في الكشف عن الأنشطة المشبوهة السلوكية. من ناحية أخرى، سيبدأ Defender for Identity في الكشف عن الهجمات الضارة المعروفة ومشكلات الأمان مباشرة بعد التوزيع.

ينشئ Defender for Identity نسبة استخدام الشبكة من وحدات التحكم بالمجال إلى أجهزة الكمبيوتر في المؤسسة في أحد السيناريوهات الثلاثة:

• تحليل اسم الشبكة يلتقط Defender for Identity نسبة استخدام الشبكة والأحداث والتعلم وجمع المعلومات للمستخدمين وأنشطة الكمبيوتر في الشبكة. لمعرفة أنشطة ملف التعريف وفقا لأجهزة الكمبيوتر في المؤسسة، يحتاج Defender for Identity إلى حل عناوين IP لحسابات الكمبيوتر. لحل عناوين IP لأسماء الكمبيوتر Defender for Identity sensors، اطلب عنوان IP لاسم الكمبيوتر خلف عنوان IP.

  يتم تقديم الطلبات باستخدام إحدى الطرق الأربع:

  • NTLM عبر RPC (منفذ TCP 135)
  • NetBIOS (منفذ UDP 137)
  • RDP (منفذ TCP 3389)
  • الاستعلام عن خادم DNS باستخدام بحث DNS العكسي لعنوان IP (UDP 53)

  بعد الحصول على اسم الكمبيوتر، تتحقق أدوات استشعار Defender for Identity من التفاصيل في Active Directory لمعرفة ما إذا كان هناك عنصر كمبيوتر مرتبط بنفس اسم الكمبيوتر. إذا تم العثور على تطابق، يتم إجراء اقتران بين عنوان IP وعنصر الكمبيوتر المطابق.

• مسار الحركة الجانبية (LMP) لإنشاء LMPs محتملة للمستخدمين الحساسين، يتطلب Defender for Identity معلومات حول المسؤولين المحليين على أجهزة الكمبيوتر. في هذا السيناريو، يستخدم مستشعر Defender for Identity SAM-R (TCP 445) للاستعلام عن عنوان IP المحدد في حركة مرور الشبكة، من أجل تحديد المسؤولين المحليين للكمبيوتر. لمعرفة المزيد حول Defender for Identity وSAM-R، راجع تكوين أذونات SAM-R المطلوبة.

• الاستعلام عن Active Directory باستخدام LDAP لبيانات الكيان استعلم مستشعرات Defender for Identity عن وحدة التحكم بالمجال من المجال الذي ينتمي إليه الكيان. يمكن أن يكون نفس المستشعر، أو وحدة تحكم مجال أخرى من هذا المجال.

يلتقط Defender for Identity الأنشطة عبر العديد من البروتوكولات المختلفة. في بعض الحالات، لا يتلقى Defender for Identity بيانات المستخدم المصدر في نسبة استخدام الشبكة. يحاول Defender for Identity ربط جلسة عمل المستخدم بالنشاط، وعند نجاح المحاولة، يتم عرض المستخدم المصدر للنشاط. عند فشل محاولات ارتباط المستخدم، يتم عرض الكمبيوتر المصدر فقط.

قد يقوم مستشعر Defender for Identity بتشغيل استدعاء DNS إلى "aatp.dns.detection.local" استجابة لبعض أنشطة DNS الواردة إلى الجهاز المراقب MDI.

يتم اشتقاق بيانات المستخدم الشخصية في Defender for Identity من كائن المستخدم في Active Directory الخاص بالمؤسسة، ولا يمكن تحديثها مباشرة في Defender for Identity.

يمكنك تصدير البيانات الشخصية من Defender for Identity باستخدام نفس طريقة تصدير معلومات تنبيه الأمان. لمزيد من المعلومات، راجع مراجعة تنبيهات الأمان.

استخدم شريط البحث في المدخل Microsoft Defender للبحث عن بيانات شخصية يمكن التعرف عليها، مثل مستخدم أو كمبيوتر معين. لمزيد من المعلومات، راجع التحقيق في الأصول.

ينفذ Defender for Identity تدقيق تغييرات البيانات الشخصية، بما في ذلك حذف سجلات البيانات الشخصية وتصديرها. وقت استبقاء سجل التدقيق هو 90 يوما. التدقيق في Defender for Identity هو ميزة خلفية ولا يمكن للعملاء الوصول إليها.

بعد حذف مستخدم من Active Directory الخاص بالمؤسسة، يقوم Defender for Identity تلقائيا بحذف ملف تعريف المستخدم وأي نشاط شبكة ذي صلة بما يتماشى مع نهج استبقاء البيانات العام ل Defender for Identity، ما لم تكن البيانات جزءا من حادث نشط. نوصي بإضافة أذونات للقراءة فقط على حاوية العناصر المحذوفة . لمزيد من المعلومات، راجع منح أذونات DSA المطلوبة.

انظر إلى أحدث خطأ في سجل الأخطاء الحالي (حيث تم تثبيت Defender for Identity ضمن مجلد "السجلات").

المحتويات ذات الصلة

• المتطلبات الأساسية ل Defender for Identity
• تخطيط سعة Defender for Identity
• تكوين مجموعة الأحداث
• تكوين إعادة توجيه أحداث Windows
• استكشاف الأخطاء وإصلاحها
• اطلع على منتدى Defender for Identity!