Microsoft Defender for Identity (MDI) to natywne dla chmury rozwiązanie klasy ITDR (Identity Threat Detection and Response), które wykrywa zagrożenia wymierzone w tożsamości użytkowników, konta usług i aplikacji w środowiskach Active Directory on-premises, Microsoft Entra ID oraz hybrydowych. Produkt funkcjonował wcześniej pod nazwą Azure Advanced Threat Protection (Azure ATP, w skrócie AATP) — Microsoft zmienił branding w 2021 roku, włączając go do zunifikowanej rodziny Microsoft Defender i osadzając głęboko w platformie XDR.
W skrócie
- Rozwiązanie ITDR monitorujące tożsamości w Active Directory on-premises, Entra ID i środowiskach hybrydowych
- Dawniej znane jako Azure Advanced Threat Protection (Azure ATP / AATP) — rebranding w 2021 r.
- Wykrywa m.in. Pass-the-Hash, Pass-the-Ticket, Golden Ticket, DCSync, DCShadow, Kerberoasting i rekonesans
- Lekkie sensory instalowane na kontrolerach domeny — analiza behawioralna w chmurze
- Wymaga licencji EMS E5, Microsoft 365 E5 lub Microsoft 365 E5 Security (albo licencji standalone)
- Pełna integracja z Microsoft Defender XDR — incydenty korelowane z endpointów, poczty, SaaS i chmury
Pełna definicja i historia nazwy
Microsoft Defender for Identity to zaawansowane narzędzie Security Operations Center (SOC), które analizuje sygnały tożsamości z kontrolerów domeny Active Directory, Microsoft Entra ID (dawniej Azure AD) oraz zewnętrznych systemów IAM, takich jak Okta. Jego zadaniem jest identyfikacja podejrzanych zachowań na każdym etapie ataku tożsamościowego — od rekonesansu po pełną dominację domeny.
Historia produktu sięga 2017 roku, kiedy Microsoft wprowadził Azure Advanced Threat Protection (Azure ATP) jako ewolucję technologii przejętej wraz z akwizycją izraelskiego startupu Aorato (2014). Aorato specjalizowało się w analizie behawioralnej ruchu w Active Directory, a jego technologia stała się fundamentem Azure ATP. W 2021 roku, w ramach szerokiego rebrandingu całej linii zabezpieczeń Microsoft, Azure ATP został przemianowany na Microsoft Defender for Identity i zintegrowany z portalem Microsoft 365 Defender (obecnie Microsoft Defender XDR). Od tego momentu MDI nie jest już osobnym produktem z własnym portalem, lecz stanowi integralny komponent zunifikowanej platformy XDR — obok Defender for Endpoint, Defender for Office 365 i Defender for Cloud Apps.
Skrót AATP (Azure Advanced Threat Protection) wciąż pojawia się w dokumentacji technicznej, na forach administratorów i w starszych materiałach szkoleniowych — warto pamiętać, że odnosi się dokładnie do tego samego produktu, który dziś nosi nazwę Microsoft Defender for Identity.
Dlaczego zmiana nazwy ma znaczenie
Rebranding z Azure ATP na Defender for Identity to nie tylko kosmetyka. Zmiana odzwierciedla fundamentalne przesunięcie architektoniczne: Azure ATP było samodzielnym produktem (własny portal, własne alerty), podczas gdy Defender for Identity działa jako część platformy XDR, współdzieląc dane, alerty i kontekst z pozostałymi komponentami Defender. Dla zespołu SOC oznacza to, że podejrzana aktywność na kontrolerze domeny (np. podejrzenie ataku Golden Ticket) może być automatycznie korelowana z alertem z endpointu (np. podejrzany proces na stacji roboczej) w jeden ujednolicony incydent — co radykalnie skraca czas triażu.
Jak działa Microsoft Defender for Identity — architektura i sensory
Architektura Defender for Identity opiera się na trzech elementach: lekkich sensorach, łącznikach API i silniku analitycznym w chmurze Microsoft.
Sensory — oczy i uszy na kontrolerach domeny
Sensory MDI to niewielkie komponenty instalowane bezpośrednio na:
- Kontrolerach domeny Active Directory (Windows Server 2016, 2019, 2022, 2025)
- Serwerach AD FS (Active Directory Federation Services)
- Serwerach AD CS (Active Directory Certificate Services)
- Serwerach Microsoft Entra Connect
Sensor przechwytuje i analizuje lokalnie ruch sieciowy kierowany do kontrolera domeny (poprzez mirroring portu lub — w nowszych wersjach — bezpośrednio ze stosu sieciowego Windows) oraz wybrane zdarzenia z dziennika zdarzeń Windows (Event Log). Do chmury wysyłane są wyłącznie przetworzone metadane — a nie surowe pakiety — co minimalizuje obciążenie łącza i samego serwera.
Od 2026 roku dostępna jest trzecia generacja sensorów (v3.x), która obsługuje wszystkie role tożsamości na jednym kontrolerze (AD DS + Entra Connect + AD FS + AD CS), oferuje automatyczną konfigurację audytu zdarzeń Windows i nie wymaga ręcznego mirroringu portów — sensor przechwytuje ruch bezpośrednio z interfejsów sieciowych, wykorzystując ulepszone API systemu Windows.
Silnik analityczny w chmurze
Serce MDI to oparty na chmurze silnik analizy behawioralnej, który na podstawie napływających sygnałów buduje profile behawioralne każdego użytkownika, urządzenia i konta. Silnik uczy się normalnych wzorców aktywności (np. o której godzinie dany administrator loguje się na kontroler domeny, z jakich stacji roboczych, jakie wykonuje zapytania LDAP) i wykrywa odchylenia od normy.
Kluczowe jest to, że MDI nie opiera się wyłącznie na sygnaturach — analizuje sekwencje zdarzeń w czasie, wychwytując anomalie wskazujące na atak:
| Etap ataku | Co wykrywa MDI |
|---|---|
| Rekonesans | Podejrzane zapytania LDAP, enumeracja użytkowników i grup, skanowanie zasobów sieciowych, enumeracja przez ADWS |
| Kradzież poświadczeń | Ataki brute force, powtarzające się nieudane logowania, podejrzane zmiany członkostwa w grupach, Kerberoasting |
| Lateral movement | Pass-the-Hash, Pass-the-Ticket, podejrzane uwierzytelnienia NTLM i Kerberos, nadużycie RBCD (Resource-Based Constrained Delegation) |
| Dominacja domeny | Golden Ticket, DCShadow, DCSync, złośliwa replikacja kontrolera domeny, zdalne wykonanie kodu na DC |
Integracja z Microsoft Defender XDR
Po wykryciu anomalii MDI generuje alert w portalu Microsoft Defender (security.microsoft.com). Co istotne, alerty tożsamościowe są automatycznie korelowane z sygnałami z pozostałych komponentów XDR — np. alert o podejrzanym logowaniu z nietypowego adresu IP (MDI) zostanie połączony w jeden incydent z alertem o złośliwym załączniku w Outlooku (Defender for Office 365) i alertem o podejrzanym procesie na stacji roboczej (Defender for Endpoint). Zespół SOC widzi pełny obraz ataku, a nie pojedyncze, niepowiązane zdarzenia.
Kluczowe możliwości (stan na 2026 rok)
Microsoft Defender for Identity w 2026 roku wykracza daleko poza samo wykrywanie ataków:
- Identity Security Posture Management — ocena konfiguracji tożsamości, rekomendacje w Microsoft Secure Score, identyfikacja ryzykownych ścieżek lateral movement (LMP)
- Identity Explorer (Preview) — interaktywne grafy wizualizujące ścieżki ataku i eskalacji uprawnień
- Non-human identities (Preview) — monitoring kont usług, aplikacji Entra ID, kont Google Workspace i Salesforce
- Identity risk score — ocena ryzyka kompromitacji tożsamości w skali 0–100, z uwzględnieniem krytyczności i ról uprzywilejowanych
- Custom account correlation rules — ręczne łączenie kont należących do tej samej tożsamości z różnych katalogów
- Password protection — ocena higieny haseł, detekcja wycieków poświadczeń (leaked credentials)
- Automatyczna remediacja — możliwość wyłączenia skompromitowanego konta lub zresetowania hasła bezpośrednio z portalu Defender
Wymagania licencyjne — czego potrzebujesz, by uruchomić MDI
Defender for Identity nie jest dostępny za darmo. Wymaga jednej z następujących licencji:
| Licencja | Zawiera MDI? |
|---|---|
| Enterprise Mobility + Security E5 (EMS E5) | ✅ Tak |
| Microsoft 365 E5 / A5 / G5 | ✅ Tak |
| Microsoft 365 E5 Security | ✅ Tak |
| Microsoft 365 F5 Security + Compliance | ✅ Tak (z F1/F3 + EMS E3) |
| Samodzielna licencja Defender for Identity | ✅ Tak |
| EMS E3 / Microsoft 365 E3 / Business Premium | ❌ Nie |
Sensory można instalować na Windows Server 2016 lub nowszym. Minimalne wymagania: 2 rdzenie CPU, 6 GB RAM, 6–10 GB przestrzeni dyskowej. Workspace MDI obsługuje do 1000 sensorów (od maja 2026), a w razie potrzeby większej liczby — Microsoft dopuszcza rozszerzenie po kontakcie z supportem.
Porównanie: Microsoft Defender for Identity a Microsoft Entra ID Protection
Często mylone, bo oba dotyczą bezpieczeństwa tożsamości — ale działają na różnych poziomach:
| Cecha | Defender for Identity (MDI) | Entra ID Protection |
|---|---|---|
| Środowisko | Active Directory on-premises + Entra ID + IAM | Wyłącznie Entra ID (chmura) |
| Źródła sygnałów | Sensory na DC, zdarzenia Windows, ruch sieciowy | Logi sign-in Entra ID, ryzyko użytkownika |
| Wykrywane ataki | Pass-the-Hash, Golden Ticket, DCSync, lateral movement on-prem | Impossible travel, leaked credentials, risky sign-ins w chmurze |
| Licencjonowanie | EMS E5 / M365 E5 | Entra ID Premium P2 |
| Integracja XDR | Pełna (współdzielone incydenty) | Pełna (współdzielone incydenty) |
Oba produkty są komplementarne. Entra ID Protection monitoruje ryzyko w chmurze (logowania do Entra ID), a MDI monitoruje tożsamości w Active Directory on-premises i łączy oba światy w jedną całość w portalu Microsoft Defender XDR.
Częste pytania
Co oznacza skrót AATP i czy Microsoft Defender for Identity to to samo?
Tak. AATP (Azure Advanced Threat Protection) to dawna nazwa Microsoft Defender for Identity. Microsoft zmienił nazwę w 2021 roku podczas rebrandingu całej linii Defender. Jeśli widzisz w dokumentacji, na forach czy w ofertach szkoleniowych skrót AATP — wiedz, że chodzi dokładnie o ten sam produkt, tylko pod starą nazwą. Funkcjonalnie nie ma różnicy: sensory, detekcja i architektura są kontynuacją Azure ATP.
Jakie ataki wykrywa Defender for Identity, a jakich nie?
MDI specjalizuje się w atakach na tożsamości i protokoły uwierzytelniania w Active Directory: Pass-the-Hash, Pass-the-Ticket, Golden Ticket, Silver Ticket, DCSync, DCShadow, Kerberoasting, brute force NTLM/Kerberos, enumeracja LDAP i ADWS, nadużycie RBCD oraz podejrzane zmiany w grupach uprzywilejowanych. Nie wykrywa natomiast ataków na warstwę aplikacyjną (SQL injection, XSS), malware na endpointach (od tego jest Defender for Endpoint) ani phishingu (od tego Defender for Office 365). W ramach platformy XDR dane z MDI są jednak korelowane z pozostałymi komponentami, więc atak wieloetapowy zostanie wykryty jako całość.
Czy Defender for Identity działa bez Active Directory on-premises?
Nie w pełni. Głównym źródłem sygnałów MDI są sensory instalowane na kontrolerach domeny Active Directory on-premises. Jeśli Twoja organizacja korzysta wyłącznie z Microsoft Entra ID (cloud-only, bez AD on-premises i bez Entra Connect), MDI nie wniesie wartości — w takim scenariuszu odpowiednim narzędziem jest Microsoft Entra ID Protection (wymaga licencji Entra ID Premium P2). Jeśli jednak masz środowisko hybrydowe (AD on-premises zsynchronizowane z Entra ID), MDI jest kluczowym elementem ochrony tożsamości.
Czy instalacja sensora MDI spowalnia kontroler domeny?
Nie przy prawidłowej konfiguracji. Sensor MDI jest lekki — przechwytuje ruch sieciowy i zdarzenia Windows lokalnie, przetwarza metadane, a do chmury wysyła jedynie skompresowane sygnały. Microsoft zaleca 2 rdzenie CPU i 6 GB RAM jako absolutne minimum; w praktyce na przeciętnym kontrolerze domeny obciążenie sensorowe rzadko przekracza 2–5% CPU. Jeśli używasz wirtualizacji, wyłącz dynamiczną alokację pamięci (Hyper-V Dynamic Memory), ponieważ sensor wymaga stałego przydziału RAM.
Czym różni się sensor v2 od v3 w Defender for Identity?
Sensor v3 to najnowsza generacja (2025–2026), która w porównaniu z v2 oferuje: automatyczną konfigurację audytu zdarzeń Windows, natywne przechwytywanie ruchu sieciowego bez mirroringu portów, obsługę wszystkich ról tożsamości na jednym serwerze (DC + Entra Connect + AD FS + AD CS) oraz wsparcie dla ulepszonego audytu RPC (Enhanced RPC auditing), niezbędnego do zaawansowanych detekcji. Sensory v3 wymagają Windows Server 2019 lub nowszego. Microsoft udostępnia ścieżkę migracji z v2 do v3 bez przestoju — sensor v2 działa do momentu przejęcia przez v3.
Czy Defender for Identity może automatycznie zablokować atak?
Tak, ale częściowo. MDI wspiera automatyczną remediację przez portal Microsoft Defender — można skonfigurować automatyczne wyłączenie skompromitowanego konta lub wymuszenie resetu hasła po wykryciu określonego alertu. Nie jest to natomiast rozwiązanie typu active blocking w czasie rzeczywistym na poziomie ruchu sieciowego (jak np. firewall). Pełną automatyzację odpowiedzi uzyskuje się, łącząc MDI z Microsoft Sentinel (SOAR) i playbookami opartymi na Azure Logic Apps.
Ile kosztuje licencja na Microsoft Defender for Identity?
Microsoft nie publikuje osobnego cennika dla MDI — produkt jest dostępny jako składnik pakietów EMS E5 i Microsoft 365 E5. Samodzielna licencja MDI (standalone) jest dostępna wyłącznie w modelu Enterprise Agreement lub CSP — ceny ustalane są indywidualnie z partnerem Microsoft. Szacunkowo, w modelu CSP, dodatek MDI to koszt rzędu kilkudziesięciu złotych miesięcznie na użytkownika. Dokładną wycenę uzyskasz u resellera Microsoft.
Niezależnie od tego, czy dopiero planujesz wdrożenie Microsoft 365 E5, czy szukasz legalnych licencji Windows Server dla kontrolerów domeny, na których uruchomisz sensory MDI — w sklepie KluczeSoft.pl znajdziesz sprawdzone licencje Microsoft w atrakcyjnych cenach, z fakturą VAT i natychmiastową dostawą.