Del via


Pilot og udrul Microsoft Defender for Identity

Gælder for:

  • Microsoft Defender XDR

Denne artikel indeholder en arbejdsproces til pilotering og installation af Microsoft Defender for Identity i din organisation. Brug disse anbefalinger til at onboarde Microsoft Defender for Identity som en del af en end-to-end-løsning med Microsoft Defender XDR.

I denne artikel antages det, at du har en Microsoft 365-produktionslejer og piloterer og udruller Microsoft Defender for Identity i dette miljø. Denne praksis bevarer alle indstillinger og tilpasninger, du konfigurerer under pilotprojektet for din fulde udrulning.

Defender for Identity bidrager til en Zero Trust arkitektur ved at hjælpe med at forhindre eller reducere forretningsskader som følge af et brud. Du kan få flere oplysninger i Scenariet Forbyd eller reducer forretningsskader fra brud i forretningsscenariet i Microsofts Zero Trust implementeringsrammer.

End-to-end-udrulning for Microsoft Defender XDR

Dette er artikel 2 af 6 i en serie, der kan hjælpe dig med at udrulle komponenterne i Microsoft Defender XDR, herunder undersøge og besvare hændelser.

Et diagram, der viser Microsoft Defender for Identity i pilotprojektet og udruller Microsoft Defender XDR proces.

Artiklerne i denne serie svarer til følgende faser i end-to-end-udrulningen:

Fase Sammenkæde
En. Start piloten Start piloten
B. Pilot og udrul Microsoft Defender XDR komponenter - Pilot og udrul Defender for Identity (denne artikel)

- Pilot og udrul Defender for Office 365

- Pilot og udrul Defender for Endpoint

- Pilot og udrul Microsoft Defender for Cloud Apps
C. Undersøg og reager på trusler Øvelse af undersøgelse og svar på hændelser

Pilot og udrul arbejdsproces for Defender for Identity

I følgende diagram illustreres en almindelig proces til installation af et produkt eller en tjeneste i et it-miljø.

Diagram over faserne for pilotudrulning, evaluering og fuld implementering.

Du starter med at evaluere produktet eller tjenesten, og hvordan det fungerer i din organisation. Derefter kan du teste produktet eller tjenesten med et passende lille undersæt af din produktionsinfrastruktur til test, læring og tilpasning. Derefter skal du gradvist øge omfanget af udrulningen, indtil hele din infrastruktur eller organisation er dækket.

Her er arbejdsprocessen til pilotering og installation af Defender for Identity i dit produktionsmiljø.

Et diagram, der viser trinnene til at styre og udrulle Microsoft Defender for Identity.

Følg disse trin:

  1. Konfigurer Defender for identitetsforekomsten
  2. Installér og konfigurer sensorer
  3. Konfigurer hændelseslog- og proxyindstillinger på maskiner med sensoren
  4. Tillad, at Defender for Identity identificerer lokale administratorer på andre computere
  5. Prøv funktioner

Her er de anbefalede trin for hver udrulningsfase.

Udrulningsfase Beskrivelse
Evaluere Udfør produktevaluering for Defender for Identity.
Pilot Udfør trin 1-5 for et passende undersæt af servere med sensorer i dit produktionsmiljø.
Fuld udrulning Udfør trin 2-4 for dine resterende servere, og udvid ud over pilotprojektet, så de alle inkluderes.

Beskyttelse af din organisation mod hackere

Defender for Identity giver stærk beskyttelse på egen hånd. Men når Defender for Identity kombineres med de andre funktioner i Microsoft Defender XDR, leverer den data til de delte signaler, som tilsammen hjælper med at stoppe angreb.

Her er et eksempel på et cyberangreb, og hvordan komponenterne i Microsoft Defender XDR hjælpe med at registrere og afhjælpe det.

Et diagram, der viser, hvordan Microsoft Defender XDR stopper en trusselskæde.

Defender for Identity indsamler signaler fra Active Directory-domæneservices (AD DS) domænecontrollere og servere, der kører Active Directory Federation Services (AD FS) og AD CS (Active Directory Certificate Services). Den bruger disse signaler til at beskytte dit hybride identitetsmiljø, herunder beskyttelse mod hackere, der bruger kompromitterede konti til at flytte tværgående på tværs af arbejdsstationer i det lokale miljø.

Microsoft Defender XDR korrelerer signalerne fra alle Microsoft Defender komponenter for at levere hele angrebshistorien.

Defender for Identity-arkitektur

Microsoft Defender for Identity er fuldt integreret med Microsoft Defender XDR og udnytter signaler fra Active Directory i det lokale miljø identiteter til at hjælpe dig med bedre at identificere, registrere og undersøge avancerede trusler, der er rettet mod din organisation.

Udrul Microsoft Defender for Identity for at hjælpe dine SecOps-teams (Security Operations) med at levere en moderne ITDR-løsning (Identity Threat Detection and Response) på tværs af hybridmiljøer, herunder:

  • Undgå brud ved hjælp af proaktive vurderinger af identitetssikkerhedsholdning
  • Registrer trusler ved hjælp af analyse og data intelligence i realtid
  • Undersøg mistænkelige aktiviteter ved hjælp af tydelige oplysninger om hændelser, der kan handles på
  • Reager på angreb ved hjælp af automatisk svar på kompromitterede identiteter. Du kan få flere oplysninger under Hvad er Microsoft Defender for Identity?

Defender for Identity beskytter dine AD DS-brugerkonti og brugerkonti i det lokale miljø, der er synkroniseret med din Microsoft Entra ID lejer. Hvis du vil beskytte et miljø, der kun består af Microsoft Entra brugerkonti, skal du se Microsoft Entra ID-beskyttelse.

I følgende diagram illustreres arkitekturen for Defender for Identity.

Et diagram, der viser arkitekturen for Microsoft Defender for Identity.

I denne illustration:

  • Sensorer, der er installeret på AD DS-domænecontrollere og AD CS-servere, fortolker logge og netværkstrafik og sender dem til Microsoft Defender for Identity til analyse og rapportering.
  • Sensorer kan også fortolke AD FS-godkendelser for identitetsudbydere fra tredjepart, og når Microsoft Entra ID er konfigureret til at bruge sammenkædet godkendelse (de stiplede linjer i illustrationen).
  • Microsoft Defender for Identity deler signaler til Microsoft Defender XDR.

Defender for Identity-sensorer kan installeres direkte på følgende servere:

  • AD DS-domænecontrollere. Sensoren overvåger direkte domænecontrollertrafikken uden behov for en dedikeret server eller konfiguration af portspejling.
  • AD FS-servere/AD CS-servere. Sensoren overvåger direkte netværkstrafik og godkendelseshændelser.

Hvis du vil vide mere om arkitekturen i Defender for Identity, skal du se Microsoft Defender for Identity arkitektur.

Trin 1: Konfigurer Defender for Identity-forekomsten

Log på Defender-portalen for at begynde at installere understøttede tjenester, herunder Microsoft Defender for Identity. Du kan få flere oplysninger under Begynd at bruge Microsoft Defender XDR.

Trin 2: Installér dine sensorer

Defender for Identity kræver noget forudsætningsarbejde for at sikre, at dine identitets- og netværkskomponenter i det lokale miljø opfylder minimumskravene, så du kan installere Defender for Identity-sensoren i dit miljø.

Når du er sikker på, at dit miljø er parat, skal du planlægge din kapacitet og bekræfte forbindelsen til Defender for Identity. Når du er klar, skal du derefter downloade, installere og konfigurere Defender for Identity-sensoren på domænecontrollere, AD FS- og AD CS-servere i dit lokale miljø.

Skridt Beskrivelse Flere oplysninger
1 Bekræft, at dit miljø opfylder Defender for Identity-forudsætninger. Microsoft Defender for Identity forudsætninger
2 Bestem, hvor mange Microsoft Defender for Identity sensorer du har brug for. Planlæg kapacitet til Microsoft Defender for Identity
3 Bekræft forbindelsen til Defender for Identity-tjenesten Kontrollér netværksaktivitet
4 Download og installér Defender for Identity-sensoren Installér Defender for Identity
5 Konfigurer sensoren Konfigurer Microsoft Defender for Identity sensorindstillinger

Trin 3: Konfigurer hændelseslog- og proxyindstillinger på maskiner med sensoren

På de computere, du har installeret sensoren på, skal du konfigurere Windows-hændelseslogsamling for at aktivere og forbedre registreringsfunktionerne.

Skridt Beskrivelse Flere oplysninger
1 Konfigurer Windows-hændelseslogsamling Hændelsessamling med Microsoft Defender for Identity

Konfigurer overvågningspolitikker for Windows-hændelseslogge

Trin 4: Tillad, at Defender for Identity identificerer lokale administratorer på andre computere

Microsoft Defender for Identity LMP-registrering (lateral movement path) afhænger af forespørgsler, der identificerer lokale administratorer på bestemte computere. Disse forespørgsler udføres med SAM-R-protokollen ved hjælp af kontoen Defender for Identity Service.

Hvis du vil sikre, at Windows-klienter og -servere gør det muligt for din Defender for Identity-konto at udføre SAM-R, skal der foretages en ændring af Gruppepolitik for at tilføje defender for identity-tjenestekontoen ud over de konfigurerede konti, der er angivet i politikken Netværksadgang. Sørg for at anvende gruppepolitikker på alle computere undtagen domænecontrollere.

Du kan finde oplysninger om, hvordan du gør dette, under Konfigurer SAM-R for at aktivere registrering af tværgående bevægelsesstier i Microsoft Defender for Identity.

Trin 5: Prøv funktioner

Dokumentationen til Defender for Identity indeholder følgende artikler, der gennemgår processen med at identificere og afhjælpe forskellige angrebstyper:

Du kan finde flere oplysninger under:

SIEM-integration

Du kan integrere Defender for Identity med Microsoft Sentinel som en del af Microsofts samlede platform til sikkerhedshandlinger eller med en generisk SIEM-tjeneste (Security Information and Event Management) for at aktivere central overvågning af beskeder og aktiviteter fra forbundne apps. Med Microsoft Sentinel kan du analysere sikkerhedshændelser mere omfattende på tværs af din organisation og oprette playbooks, så du kan reagere effektivt og øjeblikkeligt.

Microsoft Sentinel understøtter en Microsoft Defender for XDR-dataconnector, så alle signaler fra Defender XDR, herunder Defender for Identity, kan Microsoft Sentinel. Brug Defender-portalen som en Unified Security Operations (SecOps)-platform.

Du kan finde flere oplysninger under:

Næste trin

Integrer følgende i dine SecOps-processer:

Næste trin til end-to-end-udrulning af Microsoft Defender XDR

Fortsæt din komplette installation af Microsoft Defender XDR med Pilot, og udrul Defender for Office 365.

Et diagram, der viser Microsoft Defender for Office 365 i pilotprojektet og udruller Microsoft Defender XDR proces.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.