Aktivace možností Microsoft Defender for Identity přímo na řadiči domény

Microsoft Defender for Endpoint zákazníci, kteří už nasadili řadiče domény do defenderu for Endpoint, můžou aktivovat funkce Microsoft Defender for Identity přímo na řadiči domény místo použití Microsoft Defender for Identity senzoru.

Tento článek popisuje, jak aktivovat a otestovat funkce Microsoft Defender for Identity na řadiči domény.

Důležité

Informace v tomto článku se týkají funkce, která je aktuálně v omezené dostupnosti pro vybranou sadu případů použití. Pokud jste nebyli přesměrováni, abyste použili stránku Aktivace Defenderu for Identity, použijte místo toho našeho hlavního průvodce nasazením .

Požadavky

Před aktivací funkcí Defenderu for Identity na řadiči domény se ujistěte, že vaše prostředí splňuje požadavky v této části.

Konflikty senzorů služby Defender for Identity

Konfigurace popsaná v tomto článku nepodporuje souběžnou instalaci s existujícím senzorem Defenderu for Identity a nedoporučuje se jako náhrada senzoru Defenderu for Identity.

Ujistěte se, že řadič domény, ve kterém plánujete aktivovat funkce Defenderu for Identity, nemá nasazený senzor Defenderu for Identity .

Požadavky na systém

Funkce Direct Defender for Identity se podporují jenom na řadičích domény pomocí jednoho z následujících operačních systémů:

• Windows Server 2019
• Windows Server 2022

Musíte mít také nainstalovanou kumulativní aktualizaci z března 2024 .

Důležité

Po instalaci kumulativní aktualizace z března 2024 může služba LSASS zaznamenat nevracení paměti na řadičích domény při žádostech o ověření místních a cloudových řadičů Doména služby Active Directory služby Kerberos.

Tento problém řeší KB5037422 aktualizací mimo pásmo.

Onboarding Defenderu for Endpoint

Řadič domény musí být nasazený do Microsoft Defender for Endpoint.

Další informace najdete v tématu Onboarding serveru s Windows.

Požadovaná oprávnění

Pokud chcete získat přístup ke stránce aktivace Defenderu for Identity, musíte být správcem zabezpečení nebo mít následující sjednocená oprávnění RBAC:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Další informace najdete tady:

• Jednotné řízení přístupu na základě role – řízení přístupu (RBAC)
• Vytvoření role pro přístup k rolím a oprávněním a jejich správě

Požadavky na připojení

Funkce Defenderu for Identity přímo na řadičích domény používají koncové body adresy URL Defenderu for Endpoint pro komunikaci, včetně zjednodušených adres URL.

Další informace najdete v tématu Konfigurace síťového prostředí pro zajištění připojení k Defenderu for Endpoint.

Konfigurace auditování Windows

Defender for Identity detections spoléhá na konkrétní položky protokolu událostí systému Windows k vylepšení detekce a poskytuje dodatečné informace o uživatelích provádějících konkrétní akce, jako jsou přihlášení ntlm a úpravy skupin zabezpečení.

Nakonfigurujte shromažďování událostí Windows na řadiči domény tak, aby podporovalo detekce defenderu pro identity. Další informace najdete v tématech Shromažďování událostí s Microsoft Defender for Identity a Konfigurace zásad auditu pro protokoly událostí Windows.

Ke konfiguraci požadovaných nastavení můžete použít modul PowerShellu defender for Identity. Další informace najdete tady:

• Modul DefenderForIdentity
• Defender for Identity v Galerie prostředí PowerShell

Například následující příkaz definuje všechna nastavení pro doménu, vytvoří objekty zásad skupiny a prováže je.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktivace funkcí Defenderu pro identitu

Jakmile zajistíte úplnou konfiguraci vašeho prostředí, aktivujte na řadiči domény funkce Microsoft Defender for Identity.

1. Na portálu Defender vyberte Nastavení > Identity >Aktivace.

   Na stránce Aktivace se zobrazí seznam všech zjištěných a oprávněných řadičů domény.

2. Vyberte řadič domény, na kterém chcete aktivovat funkce Defenderu for Identity, a pak vyberte Aktivovat. Po zobrazení výzvy potvrďte výběr.

Po dokončení aktivace se zobrazí zelený banner o úspěchu. V banneru vyberte Kliknutím sem zobrazíte nasazené servery a přejděte na stránku Nastavení > Identities > Sensors , kde můžete zkontrolovat stav senzoru.

Testování aktivovaných funkcí

Při první aktivaci funkcí Defenderu for Identity na řadiči domény může trvat až hodinu, než se první senzor na stránce Senzory zobrazí jako Spuštěný. Následné aktivace se zobrazí během pěti minut.

Funkce Defenderu for Identity na řadičích domény v současné době podporují následující funkce Defenderu for Identity:

• Funkce vyšetřování na řídicím panelu ITDR, inventáři identit a pokročilých datech proaktivního vyhledávání identit
• Doporučení k zadanému stavu zabezpečení
• Zadané detekce výstrah
• Nápravné akce
• Automatické přerušení útoku

Pomocí následujících postupů otestujte ve svém prostředí možnosti Defenderu for Identity na řadiči domény.

Kontrola řídicího panelu ITDR

Na portálu Defender vyberte Řídicí panel identit > a zkontrolujte zobrazené podrobnosti a zkontrolujte očekávané výsledky z vašeho prostředí.

Další informace najdete v tématu Práce s řídicím panelem ITDR služby Defender for Identity (Preview).

Potvrzení podrobností stránky entity

Ověřte, že entity, jako jsou řadiče domény, uživatelé a skupiny, jsou vyplněné podle očekávání.

Na portálu Defender zkontrolujte následující podrobnosti:

• Entity zařízení: Vyberte Prostředky > Zařízení a vyberte počítač pro nový senzor. Události Defenderu for Identity se zobrazují na časové ose zařízení.

• Uživatelské entity. Vyberte Assets Users (Uživatelé prostředků>) a vyhledejte uživatele z nově nasazené domény. Případně můžete použít možnost globální vyhledávání a vyhledat konkrétní uživatele. Stránky s podrobnostmi o uživateli by měly obsahovat data Přehled, Pozorování v organizaci a Časová osa .

• Entity skupiny: Pomocí globální vyhledávání vyhledejte skupinu uživatelů nebo přejděte na stránku s podrobnostmi o uživateli nebo zařízení, kde se zobrazují podrobnosti o skupině. Zkontrolujte podrobnosti o členství ve skupině, zobrazte uživatele skupiny a data časové osy skupiny.

  Pokud se na časové ose skupiny nenajdou žádná data událostí, možná budete muset některá vytvořit ručně. Můžete to například udělat tak, že přidáte a odeberete uživatele ze skupiny ve službě Active Directory.

Další informace najdete v tématu Zkoumání prostředků.

Testování pokročilých tabulek proaktivního vyhledávání

Na stránce rozšířeného proaktivního vyhledávání na portálu Defender pomocí následujících ukázkových dotazů zkontrolujte, jestli se data zobrazují v relevantních tabulkách podle očekávání pro vaše prostředí:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Další informace najdete v tématu Rozšířené vyhledávání na portálu Microsoft Defender.

Doporučení ke správě stavu zabezpečení testovací identity (ISPM)

Funkce Defenderu for Identity na řadičích domény podporují následující posouzení ISPM:

• Instalace senzoru Defender for Identity na všechny řadiče domény
• Využití Microsoft LAPS
• Řešení potíží s nezabezpečenými konfiguracemi domény
• Nastavení účtu honeytoken
• Nezabezpečené atributy účtu
• Nezabezpečené atributy historie SID

Doporučujeme v testovacím prostředí simulovat rizikové chování, aby se aktivovala podporovaná hodnocení a ověřila, že se zobrazují podle očekávání. Příklady:

1. Aktivujte nové doporučení k řešení nezabezpečených konfigurací domény tím, že nastavíte konfiguraci služby Active Directory do nekompatibilního stavu a pak ji vrátíte do vyhovujícího stavu. Spusťte například následující příkazy:

   Nastavení nekompatibilního stavu

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Vrácení do kompatibilního stavu:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Kontrola místní konfigurace:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. V části Microsoft Secure Score vyberte Doporučené akce a zkontrolujte nové doporučení k řešení nezabezpečených konfigurací domény . Možná budete chtít filtrovat doporučení podle produktu Defender for Identity .

Další informace najdete v tématu posouzení stavu zabezpečení Microsoft Defender for Identity.

Testování funkcí upozornění

Funkce Defenderu for Identity na řadičích domény podporují následující výstrahy:

• Rekognoskace výčtu účtů
• Rekognoskace atributů Active Directory pomocí protokolu LDAP
• Exchange Server vzdálené spuštění kódu (CVE-2021-26855)
• Uživatelské atributy Honeytokenu byly změněny.
• Honeytoken se dotazoval přes LDAP.
• Aktivita ověřování honeytokenem
• Změnilo se členství ve skupině Honeytoken
• Pokus o vzdálené spuštění kódu
• Průzkum objektů zabezpečení (LDAP)
• Podezřelé vytvoření služby
• Podezřelý útok na přenos NTLM (účet Exchange)

• Podezřelá úprava atributu omezeného delegování na základě prostředků účtem počítače
• Podezřelé přidání citlivých skupin
• Podezřelá změna atributu dNSHostName (CVE-2022-26923)
• Podezřelá změna atributu sAMNameAccount (CVE-2021-42278 a CVE-2021-42287)
• Podezření na útok DCShadow (povýšení řadiče domény)
• Podezření na útok DFSCoerce pomocí protokolu DISTRIBUTED File System Protocol 
• Podezřelý útok DCShadow (žádost o replikaci řadiče domény)
• Podezření na převzetí účtu pomocí stínových přihlašovacích údajů
• Podezření na SID-History injekci
• Podezřelé čtení klíče DKM služby AD FS

Otestujte funkce upozornění simulací rizikové aktivity v testovacím prostředí. Příklady:

• Označte účet jako účet honeytoken a pak se zkuste přihlásit k účtu honeytokenu proti aktivovanému řadiči domény.
• Vytvořte na řadiči domény podezřelou službu.
• Spusťte vzdálený příkaz na řadiči domény jako správce přihlášený z pracovní stanice.

Další informace najdete v tématu Zkoumání výstrah zabezpečení služby Defender for Identity v Microsoft Defender XDR.

Testování nápravných akcí

Testování akcí nápravy u testovacího uživatele Příklady:

1. Na portálu Defender přejděte na stránku s podrobnostmi o uživateli testovacího uživatele.

2. V nabídce možností vyberte jednu po druhé některou z následujících možností nebo všechny následující položky:

   • Zakázání uživatele v AD
   • Povolení uživatele v AD
   • Vynucení resetování hesla

3. Zkontrolujte očekávanou aktivitu služby Active Directory.

Poznámka

Aktuální verze neshromažďuje správně příznaky řízení uživatelských účtů. Zakázaní uživatelé by se na portálu pořád zobrazovali jako Povoleno.

Další informace najdete v tématu Nápravné akce v Microsoft Defender for Identity.

Deaktivace funkcí Defenderu for Identity na řadiči domény

Pokud chcete deaktivovat funkce Defenderu for Identity na řadiči domény, odstraňte ho ze stránky Senzory :

1. Na portálu Defender vyberte Nastavení > Identity > Senzory.
2. Vyberte řadič domény, na kterém chcete deaktivovat funkce Defenderu for Identity, vyberte Odstranit a potvrďte výběr.

Deaktivace funkcí Defenderu for Identity z řadiče domény neodebere řadič domény z Defenderu for Endpoint. Další informace najdete v dokumentaci k Defenderu for Endpoint.

Další kroky

Další informace najdete v tématu Správa a aktualizace senzorů Microsoft Defender for Identity.