Nasazení Microsoft Defender for Identity pomocí Microsoft Defender XDR
Tento článek obsahuje přehled úplného procesu nasazení pro Microsoft Defender for Identity, včetně kroků pro přípravu, nasazení a dalších kroků pro konkrétní scénáře.
Defender for Identity je primární součástí strategie nulová důvěra (Zero Trust) a nasazení ITDR (Identity Threat Detection and Response) nebo XDR (Extended Detection and Response) s Microsoft Defender XDR. Defender for Identity používá signály z vašich serverů infrastruktury identit, jako jsou řadiče domény, servery AD FS/ AD CS a Entra Connect, k detekci hrozeb, jako je eskalace oprávnění nebo vysoce rizikový laterální pohyb, a hlásí problémy s snadno zneužívatelnou identitou, jako je nespoutané delegování kerberosu, k opravě týmem zabezpečení.
Stručnou sadu nejlepších informací o nasazení najdete v průvodci rychlou instalací.
Požadavky
Než začnete, ujistěte se, že máte přístup k Microsoft Defender XDR alespoň jako správce zabezpečení a že máte jednu z následujících licencí:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Bezpečnost
- Microsoft 365 F5 Security + Compliance*
- Samostatná licence defenderu for Identity
* Obě licence F5 vyžadují Microsoft 365 F1/F3 nebo Office 365 F3 a Enterprise Mobility + Security E3.
Získejte licence přímo prostřednictvím portálu Microsoft 365 nebo použijte licenční model CSP (Cloud Solution Partner).
Další informace najdete v nejčastějších dotazech k licencování a ochraně osobních údajů a Co jsou role a oprávnění Služby Defender for Identity?
Začínáme používat Microsoft Defender XDR
Tato část popisuje, jak zahájit onboarding do služby Defender for Identity.
- Přihlaste se k portálu Microsoft Defender.
- V navigační nabídce vyberte libovolnou položku, například Incidenty & výstrahy, Proaktivní vyhledávání, Centrum akcí nebo Analýza hrozeb a zahajte proces onboardingu.
Pak budete mít možnost nasadit podporované služby, včetně Microsoft Defender for Identity. Cloudové komponenty požadované pro Defender for Identity se automaticky přidají při otevření stránky nastavení Defenderu for Identity.
Další informace najdete tady:
- Microsoft Defender for Identity Microsoft Defender XDR
- Začínáme s Microsoft Defender XDR
- Zapnutí Microsoft Defender XDR
- Nasazení podporovaných služeb
- Nejčastější dotazy při zapnutí Microsoft Defender XDR
Důležité
V současné době jsou datová centra Defenderu for Identity nasazená v Evropě, Spojeném království, Švýcarsku, Severní Amerika, Střední Americe, Karibiku, Východní Austrálii, Asii a Indii. Váš pracovní prostor (instance) se automaticky vytvoří v oblasti Azure, která je nejblíže zeměpisnému umístění vašeho tenanta Microsoft Entra. Po vytvoření se pracovní prostory Defenderu for Identity nedají přemístit.
Plánování a příprava
Při přípravě na nasazení Defenderu for Identity postupujte následovně:
Ujistěte se, že máte všechny požadované požadavky .
Tip
Doporučujeme spustit skriptTest-MdiReadiness.ps1 , který otestuje a zkontroluje, jestli vaše prostředí splňuje nezbytné požadavky.
Odkaz na skriptTest-MdiReadiness.ps1 je k dispozici také v Microsoft Defender XDR na stránce Nástroje identit > (Preview).
Nasazení Defenderu for Identity
Po přípravě systému pomocí následujících kroků nasaďte Defender for Identity:
- Ověřte připojení ke službě Defender for Identity.
- Stáhněte si senzor Defenderu for Identity.
- Nainstalujte senzor Defenderu for Identity.
- Nakonfigurujte senzor Defenderu for Identity tak, aby začal přijímat data.
Konfigurace po nasazení
Následující postupy vám pomůžou dokončit proces nasazení:
Nakonfigurujte shromažďování událostí Windows. Další informace najdete v tématech Shromažďování událostí s Microsoft Defender for Identity a Konfigurace zásad auditu pro protokoly událostí Windows.
Povolte a nakonfigurujte jednotné řízení přístupu na základě role (RBAC) pro Defender for Identity.
Nakonfigurujte účet adresářové služby (DSA) pro použití s Defenderem for Identity. V některých scénářích je dsa sice volitelný, ale doporučujeme nakonfigurovat DSA pro Defender for Identity pro zajištění úplného zabezpečení. Pokud máte například nakonfigurovaný dsa, použije se dsa pro připojení k řadiči domény při spuštění. DsA je také možné použít k dotazování řadiče domény na data o entitách, které se zobrazují v síťovém provozu, monitorovaných událostech a monitorovaných aktivitách Trasování událostí pro Windows.
Podle potřeby nakonfigurujte vzdálená volání sam . I když je tento krok volitelný, doporučujeme nakonfigurovat vzdálená volání SAM-R pro detekci cesty laterálního pohybu pomocí Defenderu for Identity.
Tip
Ve výchozím nastavení se senzory Defenderu for Identity dotazují adresáře pomocí protokolu LDAP na portech 389 a 3268. Pokud chcete přepnout na LDAPS na portech 636 a 3269, otevřete případ podpory. Další informace najdete v tématu podpora Microsoft Defender for Identity.
Důležité
Instalace senzoru Defender for Identity na servery AD FS / AD CS a Entra Connect vyžaduje další kroky. Další informace najdete v tématu Konfigurace senzorů pro služby AD FS, AD CS a Entra Connect.