Pilotní nasazení a Microsoft Defender for Identity
Platí pro:
- Microsoft Defender XDR
Tento článek obsahuje pracovní postup pro pilotní nasazení a nasazení Microsoft Defender for Identity ve vaší organizaci. Tato doporučení použijte k nasazení Microsoft Defender for Identity jako součásti komplexního řešení s Microsoft Defender XDR.
Tento článek předpokládá, že máte produkčního tenanta Microsoftu 365 a v tomto prostředí nasazujete a nasazujete Microsoft Defender for Identity. Tento postup zachová všechna nastavení a přizpůsobení, která nakonfigurujete během pilotního nasazení pro úplné nasazení.
Defender for Identity přispívá k nulová důvěra (Zero Trust) architektuře tím, že pomáhá předcházet obchodním škodám v důsledku narušení zabezpečení nebo je omezit. Další informace najdete v tématu Prevence nebo omezení obchodních škod způsobených porušením zabezpečení v rámci přechodu microsoftu nulová důvěra (Zero Trust).
Kompletní nasazení pro Microsoft Defender XDR
Toto je článek 2 ze 6 série, který vám pomůže nasadit komponenty Microsoft Defender XDR, včetně vyšetřování incidentů a reakce na ně.
Články v této řadě odpovídají následujícím fázím kompletního nasazení:
| Fáze | Propojit |
|---|---|
| A. Spuštění pilotního nasazení | Spuštění pilotního nasazení |
| B. Pilotní nasazení a nasazení komponent Microsoft Defender XDR |
-
Pilotní nasazení Defenderu for Identity (tento článek) - Pilotní nasazení a Defender pro Office 365 - Pilotní nasazení a nasazení Defenderu for Endpoint - Pilotní nasazení a Microsoft Defender for Cloud Apps |
| C. Prošetřování hrozeb a reakce na ně | Procvičte si šetření incidentů a reakce na ně |
Pilotní a nasazení pracovního postupu pro Defender for Identity
Následující diagram znázorňuje běžný proces nasazení produktu nebo služby v IT prostředí.
Začnete vyhodnocením produktu nebo služby a toho, jak budou fungovat ve vaší organizaci. Potom produkt nebo službu pilotujete s vhodně malou podmnožinou produkční infrastruktury pro testování, učení a přizpůsobení. Pak postupně navyšujte rozsah nasazení, dokud nebude pokryta celá vaše infrastruktura nebo organizace.
Tady je pracovní postup pro pilotní nasazení a nasazení Defenderu for Identity v produkčním prostředí.
Postupujte takto:
- Nastavení instance Defenderu for Identity
- Instalace a konfigurace senzorů
- Konfigurace protokolu událostí a nastavení proxy serveru na počítačích se senzorem
- Povolit Defenderu for Identity identifikovat místní správce na jiných počítačích
- Vyzkoušení funkcí
Tady jsou doporučené kroky pro každou fázi nasazení.
| Fáze nasazení | Popis |
|---|---|
| Hodnotit | Proveďte vyhodnocení produktu defenderu for Identity. |
| Pilot | Proveďte kroky 1 až 5 pro vhodnou podmnožinu serverů se senzory v produkčním prostředí. |
| Úplné nasazení | Proveďte kroky 2 až 4 pro zbývající servery, které se rozšíří nad rámec pilotního nasazení, aby zahrnovaly všechny z nich. |
Ochrana organizace před hackery
Defender for Identity poskytuje výkonnou ochranu sám o sobě. V kombinaci s dalšími funkcemi Microsoft Defender XDR ale Defender for Identity poskytuje data do sdílených signálů, které společně pomáhají zastavit útoky.
Tady je příklad kybernetického útoku a toho, jak ho komponenty Microsoft Defender XDR pomoct rozpoznat a zmírnit.
Defender for Identity shromažďuje signály z řadičů domény Active Directory Domain Services (AD DS) a serverů, na kterých běží služba Active Directory Federation Services (AD FS) (AD FS) a služba AD CS (Active Directory Certificate Services). Tyto signály používá k ochraně prostředí hybridní identity, včetně ochrany před hackery, kteří používají ohrožené účty k laterálně přesunu mezi pracovními stanicemi v místním prostředí.
Microsoft Defender XDR koreluje signály ze všech komponent Microsoft Defender a poskytuje kompletní příběh útoku.
Architektura služby Defender for Identity
Microsoft Defender for Identity je plně integrovaná s Microsoft Defender XDR a využívá signály z místní Active Directory identit, aby vám pomohla lépe identifikovat, zjišťovat a prošetřovat pokročilé hrozby zaměřené na vaši organizaci.
Nasazení Microsoft Defender for Identity, které vašim týmům pro operace zabezpečení (SecOps) pomůžou zajistit moderní řešení ITDR (Identity Threat Detection and Response) napříč hybridními prostředími, včetně:
- Prevence porušení zabezpečení pomocí proaktivního posouzení stavu zabezpečení identit
- Detekce hrozeb s využitím analýzy v reálném čase a datové inteligence
- Zkoumání podezřelých aktivit s využitím jasných informací o incidentu s akcemi
- Reagujte na útoky pomocí automatické reakce na ohrožené identity. Další informace najdete v tématu Co je Microsoft Defender for Identity?
Defender for Identity chrání vaše místní uživatelské účty ad DS a uživatelské účty synchronizované s Microsoft Entra ID tenantem. Informace o ochraně prostředí, které se skládá jenom z Microsoft Entra uživatelských účtů, najdete v tématu Microsoft Entra ID Protection.
Následující diagram znázorňuje architekturu služby Defender for Identity.
Na tomto obrázku:
- Senzory nainstalované na řadičích domény služby AD DS a na serverech AD CS parsují protokoly a síťový provoz a odesílají je do Microsoft Defender for Identity pro účely analýzy a generování sestav.
- Senzory také můžou analyzovat ověřování AD FS pro zprostředkovatele identity třetích stran a pokud je Microsoft Entra ID nakonfigurované tak, aby používaly federované ověřování (tečkované čáry na obrázku).
- Microsoft Defender for Identity sdílí signály pro Microsoft Defender XDR.
Senzory defenderu for Identity je možné nainstalovat přímo na následující servery:
- Řadiče domény služby AD DS. Senzor přímo monitoruje provoz řadiče domény bez nutnosti použití vyhrazeného serveru nebo konfigurace zrcadlení portů.
- Servery SLUŽBY AD FS / servery AD CS. Senzor přímo monitoruje síťový provoz a události ověřování.
Podrobnější informace o architektuře defenderu for Identity najdete v tématu Microsoft Defender for Identity architektura.
Krok 1: Nastavení instance Defenderu for Identity
Přihlaste se k portálu Defender a začněte nasazovat podporované služby, včetně Microsoft Defender for Identity. Další informace najdete v tématu Začínáme používat Microsoft Defender XDR.
Krok 2: Instalace senzorů
Defender for Identity vyžaduje určité předpoklady, aby se zajistilo, že místní identity a síťové komponenty splňují minimální požadavky na instalaci senzoru Defenderu for Identity ve vašem prostředí.
Jakmile si budete jistí připraveností prostředí, naplánujte kapacitu a ověřte připojení k Defenderu for Identity. Až budete připravení, stáhněte, nainstalujte a nakonfigurujte senzor Defender for Identity na řadičích domény, AD FS a serverech AD CS ve vašem místním prostředí.
| Krok | Popis | Další informace |
|---|---|---|
| 1 | Ověřte, že vaše prostředí splňuje požadavky programu Defender for Identity. | požadavky na Microsoft Defender for Identity |
| 2 | Určete, kolik snímačů Microsoft Defender for Identity potřebujete. | Plánování kapacity pro Microsoft Defender for Identity |
| 3 | Ověření připojení ke službě Defender for Identity | Kontrola síťové aktivity |
| 4 | Stažení a instalace senzoru Defenderu for Identity | Instalace Defenderu for Identity |
| 5 | Konfigurace senzoru | Konfigurace nastavení senzoru Microsoft Defender for Identity |
Krok 3: Konfigurace protokolu událostí a nastavení proxy serveru na počítačích pomocí senzoru
Na počítačích, na které jste senzor nainstalovali, nakonfigurujte shromažďování protokolu událostí Windows tak, aby povoloval a vylepšoval možnosti detekce.
| Krok | Popis | Další informace |
|---|---|---|
| 1 | Konfigurace shromažďování protokolů událostí Systému Windows |
Shromažďování událostí s Microsoft Defender for Identity Konfigurace zásad auditu pro protokoly událostí Windows |
Krok 4: Povolení defenderu for Identity identifikovat místní správce na jiných počítačích
Microsoft Defender for Identity detekce cesty laterálního pohybu (LMP) závisí na dotazech, které identifikují místní správce na konkrétních počítačích. Tyto dotazy se provádějí pomocí protokolu SAM-R s využitím účtu služby Defender for Identity Service.
Pokud chcete zajistit, aby klienti a servery systému Windows umožňovali vašemu účtu Defenderu for Identity provádět SAM-R, je potřeba kromě nakonfigurovaných účtů uvedených v zásadách přístupu k síti změnit Zásady skupiny přidat účet služby Defender for Identity. Nezapomeňte použít zásady skupiny na všechny počítače kromě řadičů domény.
Pokyny k tomu najdete v tématu Konfigurace SAM-R pro povolení detekce cesty laterálního pohybu v Microsoft Defender for Identity.
Krok 5: Vyzkoušení funkcí
Dokumentace k Defenderu for Identity obsahuje následující články, které vás provedou procesem identifikace a nápravy různých typů útoků:
- Zkoumání prostředků, včetně podezřelých uživatelů, skupin a zařízení
- Vysvětlení a zkoumání Microsoft Defender for Identity LMP
- Vysvětlení výstrah zabezpečení
Další informace najdete tady:
- Upozornění na rekognoskaci
- Upozornění na ohrožení zabezpečení přihlašovacích údajů
- Upozornění na laterální pohyb
- Upozornění na dominanci v doméně
- Upozornění na exfiltraci
- Prozkoumání uživatele
- Prozkoumání počítače
- Prozkoumání cest laterálního pohybu
- Zkoumání entit
Integrace SIEM
Defender for Identity můžete integrovat se službou Microsoft Sentinel jako součást sjednocené platformy operací zabezpečení od Microsoftu nebo obecné služby pro správu událostí a informací o zabezpečení (SIEM), která umožňuje centralizované monitorování výstrah a aktivit z připojených aplikací. S Microsoft Sentinel můžete komplexněji analyzovat události zabezpečení ve vaší organizaci a vytvářet playbooky pro efektivní a okamžitou reakci.
Microsoft Sentinel obsahuje Microsoft Defender pro datový konektor XDR, který přenese všechny signály z Defender XDR, včetně Defenderu for Identity, do Microsoft Sentinel. Použijte jednotnou platformu operací zabezpečení na portálu Defender jako jedinou platformu pro komplexní operace zabezpečení (SecOps).
Další informace najdete tady:
Další krok
Do svých procesů SecOps začleníte následující:
Další krok pro kompletní nasazení Microsoft Defender XDR
Pokračujte v kompletním nasazení Microsoft Defender XDR pomocí pilotního nasazení a nasazení Defender pro Office 365.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.