Udrul Microsoft Defender for Identity med Microsoft Defender XDR

Denne artikel indeholder en oversigt over hele udrulningsprocessen for Microsoft Defender for Identity, herunder trin til forberedelse, udrulning og ekstra trin til bestemte scenarier.

Defender for Identity er en primær komponent i en Nul tillid strategi og din ITDR- (Identity Threat Detection and Response) eller XDR-udrulning (Extended Detection and Response) med Microsoft Defender XDR. Defender for Identity bruger signaler fra dine identitetsinfrastrukturservere, f.eks. domænecontrollere, AD FS/AD CS- og Entra Connect-servere til at registrere trusler som f.eks. rettighedseskalering eller højrisiko tværgående bevægelse, og rapporterer om let udnyttede identitetsproblemer, f.eks. uindskrænkning af Kerberos-delegering, til rettelse af sikkerhedsteamet.

Du kan se et hurtigt sæt udrulningshøjdepunkter i Vejledning til hurtig installation.

Forudsætninger

Før du starter, skal du sørge for, at du har adgang til Microsoft Defender XDR mindst som sikkerhedsadministrator, og at du har en af følgende licenser:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Sikkerhed
• Microsoft 365 F5 Security + Compliance*
• En separat licens til Defender for Identity

* Begge F5-licenser kræver Microsoft 365 F1/F3 eller Office 365 F3 og Enterprise Mobility + Security E3.

Hent licenser direkte via Microsoft 365-portalen , eller brug CSP-licensmodellen (Cloud Solution Partner).

Du kan få flere oplysninger under Ofte stillede spørgsmål om licenser og beskyttelse af personlige oplysninger og Hvad er Defender for Identitetsroller og -tilladelser?

Begynd at bruge Microsoft Defender XDR

I dette afsnit beskrives det, hvordan du begynder at onboarde til Defender for Identity.

1. Log på Microsoft Defender-portalen.
2. Vælg et element i navigationsmenuen, f.eks. Hændelser og underretninger, Jagt, Handlingscenter eller Trusselsanalyse for at starte onboardingprocessen.

Du får derefter mulighed for at udrulle understøttede tjenester, herunder Microsoft Defender for Identity. Cloudkomponenter, der kræves til Defender for Identity, tilføjes automatisk, når du åbner siden med indstillinger for Defender for Identity.

Du kan finde flere oplysninger under:

• Microsoft Defender for Identity i Microsoft Defender XDR
• Kom i gang med Microsoft Defender XDR
• Slå Microsoft Defender XDR til
• Udrul understøttede tjenester
• Ofte stillede spørgsmål, når du aktiverer Microsoft Defender XDR

Vigtigt!

Defender for Identity-datacentre udrulles i øjeblikket i Europa, Storbritannien, Schweiz, Nordamerika/Mellemamerika/Caribien, Det østlige Australien, Asien og Indien. Dit arbejdsområde (instans) oprettes automatisk i det Azure-område, der er tættest på den geografiske placering af din Microsoft Entra lejer. Når arbejdsområderne er oprettet, kan de ikke flyttes i Defender for Identity-arbejdsområder.

Planlæg og forbered

Brug følgende trin til at forberede udrulningen af Defender for Identity:

1. Sørg for, at du har alle påkrævede forudsætninger .

2. Planlæg din Defender for Identity-kapacitet.

Tip

Vi anbefaler, at du kører Test-MdiReadiness.ps1 scriptet for at teste og se, om dit miljø har de nødvendige forudsætninger.

Linket til Test-MdiReadiness.ps1 scriptet er også tilgængeligt fra Microsoft Defender XDR på siden Identitetsværktøjer > (prøveversion).

Installér Defender for Identity

Når du har forberedt dit system, kan du bruge følgende trin til at installere Defender for Identity:

1. Kontrollér forbindelsen til Defender for Identity-tjenesten.
2. Download Defender for Identity-sensoren.
3. Installér Defender for Identity-sensoren.
4. Konfigurer Defender for Identity-sensoren for at begynde at modtage data.

Konfiguration efter installation

Følgende procedurer hjælper dig med at fuldføre installationsprocessen:

• Konfigurer Windows-hændelsessamling. Du kan finde flere oplysninger under Hændelsessamling med Microsoft Defender for Identity og Konfigurer overvågningspolitikker for Windows-hændelseslogge.

• Aktivér og konfigurer samlet rollebaseret adgangskontrol (RBAC) for Defender for Identity.

• Konfigurer en Katalogtjenestekonto (DSA) til brug sammen med Defender for Identity. Selvom en DSA er valgfri i nogle scenarier, anbefaler vi, at du konfigurerer en DSA for Defender for Identity til fuld sikkerhedsdækning. Når du f.eks. har konfigureret en DSA, bruges DSA til at oprette forbindelse til domænecontrolleren ved start. En DSA kan også bruges til at forespørge domænecontrolleren om data på enheder, der ses i netværkstrafik, overvågede hændelser og overvågede ETW-aktiviteter

• Konfigurer fjernkald til SAM efter behov. Selvom dette trin er valgfrit, anbefaler vi, at du konfigurerer fjernkald til SAM-R til registrering af tværgående bevægelsesstier med Defender for Identity.

Tip

Som standard forespørger Defender for Identity-sensorer mappen ved hjælp af LDAP på portene 389 og 3268. Hvis du vil skifte til LDAPS på portene 636 og 3269, skal du åbne en supportsag. Du kan få flere oplysninger under Microsoft Defender for Identity support.

Vigtigt!

Installation af en Defender for Identity-sensor på en AD FS/AD CS- og Entra Connect-servere kræver ekstra trin. Du kan få flere oplysninger under Konfiguration af sensorer til AD FS, AD CS og Entra Connect.

Næste trin

Forudsætninger for Defender for Identity »