Pilot og udrul Microsoft Defender for Identity
Gælder for:
- Microsoft Defender XDR
Denne artikel indeholder en arbejdsproces til pilotering og installation af Microsoft Defender for Identity i din organisation. Brug disse anbefalinger til at onboarde Microsoft Defender for Identity som en del af en end-to-end-løsning med Microsoft Defender XDR.
I denne artikel antages det, at du har en Microsoft 365-produktionslejer og piloterer og udruller Microsoft Defender for Identity i dette miljø. Denne praksis bevarer alle indstillinger og tilpasninger, du konfigurerer under pilotprojektet for din fulde udrulning.
Defender for Identity bidrager til en Zero Trust arkitektur ved at hjælpe med at forhindre eller reducere forretningsskader som følge af et brud. Du kan få flere oplysninger i Scenariet Forbyd eller reducer forretningsskader fra brud i forretningsscenariet i Microsofts Zero Trust implementeringsrammer.
End-to-end-udrulning for Microsoft Defender XDR
Dette er artikel 2 af 6 i en serie, der kan hjælpe dig med at udrulle komponenterne i Microsoft Defender XDR, herunder undersøge og besvare hændelser.
Artiklerne i denne serie svarer til følgende faser i end-to-end-udrulningen:
| Fase | Sammenkæde |
|---|---|
| En. Start piloten | Start piloten |
| B. Pilot og udrul Microsoft Defender XDR komponenter |
-
Pilot og udrul Defender for Identity (denne artikel) - Pilot og udrul Defender for Office 365 - Pilot og udrul Defender for Endpoint - Pilot og udrul Microsoft Defender for Cloud Apps |
| C. Undersøg og reager på trusler | Øvelse af undersøgelse og svar på hændelser |
Pilot og udrul arbejdsproces for Defender for Identity
I følgende diagram illustreres en almindelig proces til installation af et produkt eller en tjeneste i et it-miljø.
Du starter med at evaluere produktet eller tjenesten, og hvordan det fungerer i din organisation. Derefter kan du teste produktet eller tjenesten med et passende lille undersæt af din produktionsinfrastruktur til test, læring og tilpasning. Derefter skal du gradvist øge omfanget af udrulningen, indtil hele din infrastruktur eller organisation er dækket.
Her er arbejdsprocessen til pilotering og installation af Defender for Identity i dit produktionsmiljø.
Følg disse trin:
- Konfigurer Defender for identitetsforekomsten
- Installér og konfigurer sensorer
- Konfigurer hændelseslog- og proxyindstillinger på maskiner med sensoren
- Tillad, at Defender for Identity identificerer lokale administratorer på andre computere
- Prøv funktioner
Her er de anbefalede trin for hver udrulningsfase.
| Udrulningsfase | Beskrivelse |
|---|---|
| Evaluere | Udfør produktevaluering for Defender for Identity. |
| Pilot | Udfør trin 1-5 for et passende undersæt af servere med sensorer i dit produktionsmiljø. |
| Fuld udrulning | Udfør trin 2-4 for dine resterende servere, og udvid ud over pilotprojektet, så de alle inkluderes. |
Beskyttelse af din organisation mod hackere
Defender for Identity giver stærk beskyttelse på egen hånd. Men når Defender for Identity kombineres med de andre funktioner i Microsoft Defender XDR, leverer den data til de delte signaler, som tilsammen hjælper med at stoppe angreb.
Her er et eksempel på et cyberangreb, og hvordan komponenterne i Microsoft Defender XDR hjælpe med at registrere og afhjælpe det.
Defender for Identity indsamler signaler fra Active Directory-domæneservices (AD DS) domænecontrollere og servere, der kører Active Directory Federation Services (AD FS) og AD CS (Active Directory Certificate Services). Den bruger disse signaler til at beskytte dit hybride identitetsmiljø, herunder beskyttelse mod hackere, der bruger kompromitterede konti til at flytte tværgående på tværs af arbejdsstationer i det lokale miljø.
Microsoft Defender XDR korrelerer signalerne fra alle Microsoft Defender komponenter for at levere hele angrebshistorien.
Defender for Identity-arkitektur
Microsoft Defender for Identity er fuldt integreret med Microsoft Defender XDR og udnytter signaler fra Active Directory i det lokale miljø identiteter til at hjælpe dig med bedre at identificere, registrere og undersøge avancerede trusler, der er rettet mod din organisation.
Udrul Microsoft Defender for Identity for at hjælpe dine SecOps-teams (Security Operations) med at levere en moderne ITDR-løsning (Identity Threat Detection and Response) på tværs af hybridmiljøer, herunder:
- Undgå brud ved hjælp af proaktive vurderinger af identitetssikkerhedsholdning
- Registrer trusler ved hjælp af analyse og data intelligence i realtid
- Undersøg mistænkelige aktiviteter ved hjælp af tydelige oplysninger om hændelser, der kan handles på
- Reager på angreb ved hjælp af automatisk svar på kompromitterede identiteter. Du kan få flere oplysninger under Hvad er Microsoft Defender for Identity?
Defender for Identity beskytter dine AD DS-brugerkonti og brugerkonti i det lokale miljø, der er synkroniseret med din Microsoft Entra ID lejer. Hvis du vil beskytte et miljø, der kun består af Microsoft Entra brugerkonti, skal du se Microsoft Entra ID-beskyttelse.
I følgende diagram illustreres arkitekturen for Defender for Identity.
I denne illustration:
- Sensorer, der er installeret på AD DS-domænecontrollere og AD CS-servere, fortolker logge og netværkstrafik og sender dem til Microsoft Defender for Identity til analyse og rapportering.
- Sensorer kan også fortolke AD FS-godkendelser for identitetsudbydere fra tredjepart, og når Microsoft Entra ID er konfigureret til at bruge sammenkædet godkendelse (de stiplede linjer i illustrationen).
- Microsoft Defender for Identity deler signaler til Microsoft Defender XDR.
Defender for Identity-sensorer kan installeres direkte på følgende servere:
- AD DS-domænecontrollere. Sensoren overvåger direkte domænecontrollertrafikken uden behov for en dedikeret server eller konfiguration af portspejling.
- AD FS-servere/AD CS-servere. Sensoren overvåger direkte netværkstrafik og godkendelseshændelser.
Hvis du vil vide mere om arkitekturen i Defender for Identity, skal du se Microsoft Defender for Identity arkitektur.
Trin 1: Konfigurer Defender for Identity-forekomsten
Log på Defender-portalen for at begynde at installere understøttede tjenester, herunder Microsoft Defender for Identity. Du kan få flere oplysninger under Begynd at bruge Microsoft Defender XDR.
Trin 2: Installér dine sensorer
Defender for Identity kræver noget forudsætningsarbejde for at sikre, at dine identitets- og netværkskomponenter i det lokale miljø opfylder minimumskravene, så du kan installere Defender for Identity-sensoren i dit miljø.
Når du er sikker på, at dit miljø er parat, skal du planlægge din kapacitet og bekræfte forbindelsen til Defender for Identity. Når du er klar, skal du derefter downloade, installere og konfigurere Defender for Identity-sensoren på domænecontrollere, AD FS- og AD CS-servere i dit lokale miljø.
| Skridt | Beskrivelse | Flere oplysninger |
|---|---|---|
| 1 | Bekræft, at dit miljø opfylder Defender for Identity-forudsætninger. | Microsoft Defender for Identity forudsætninger |
| 2 | Bestem, hvor mange Microsoft Defender for Identity sensorer du har brug for. | Planlæg kapacitet til Microsoft Defender for Identity |
| 3 | Bekræft forbindelsen til Defender for Identity-tjenesten | Kontrollér netværksaktivitet |
| 4 | Download og installér Defender for Identity-sensoren | Installér Defender for Identity |
| 5 | Konfigurer sensoren | Konfigurer Microsoft Defender for Identity sensorindstillinger |
Trin 3: Konfigurer hændelseslog- og proxyindstillinger på maskiner med sensoren
På de computere, du har installeret sensoren på, skal du konfigurere Windows-hændelseslogsamling for at aktivere og forbedre registreringsfunktionerne.
| Skridt | Beskrivelse | Flere oplysninger |
|---|---|---|
| 1 | Konfigurer Windows-hændelseslogsamling |
Hændelsessamling med Microsoft Defender for Identity Konfigurer overvågningspolitikker for Windows-hændelseslogge |
Trin 4: Tillad, at Defender for Identity identificerer lokale administratorer på andre computere
Microsoft Defender for Identity LMP-registrering (lateral movement path) afhænger af forespørgsler, der identificerer lokale administratorer på bestemte computere. Disse forespørgsler udføres med SAM-R-protokollen ved hjælp af kontoen Defender for Identity Service.
Hvis du vil sikre, at Windows-klienter og -servere gør det muligt for din Defender for Identity-konto at udføre SAM-R, skal der foretages en ændring af Gruppepolitik for at tilføje defender for identity-tjenestekontoen ud over de konfigurerede konti, der er angivet i politikken Netværksadgang. Sørg for at anvende gruppepolitikker på alle computere undtagen domænecontrollere.
Du kan finde oplysninger om, hvordan du gør dette, under Konfigurer SAM-R for at aktivere registrering af tværgående bevægelsesstier i Microsoft Defender for Identity.
Trin 5: Prøv funktioner
Dokumentationen til Defender for Identity indeholder følgende artikler, der gennemgår processen med at identificere og afhjælpe forskellige angrebstyper:
- Undersøg aktiver, herunder mistænkelige brugere, grupper og enheder
- Forstå og undersøg LSP'er med Microsoft Defender for Identity
- Forstå sikkerhedsbeskeder
Du kan finde flere oplysninger under:
- Beskeder om rekognoscering
- Beskeder om kompromitterede legitimationsoplysninger
- Beskeder om tværgående flytning
- Beskeder om domænedominans
- Exfiltrationsbeskeder
- Undersøg en bruger
- Undersøg en computer
- Undersøg tværgående bevægelsesstier
- Undersøg enheder
SIEM-integration
Du kan integrere Defender for Identity med Microsoft Sentinel som en del af Microsofts samlede platform til sikkerhedshandlinger eller med en generisk SIEM-tjeneste (Security Information and Event Management) for at aktivere central overvågning af beskeder og aktiviteter fra forbundne apps. Med Microsoft Sentinel kan du analysere sikkerhedshændelser mere omfattende på tværs af din organisation og oprette playbooks, så du kan reagere effektivt og øjeblikkeligt.
Microsoft Sentinel understøtter en Microsoft Defender for XDR-dataconnector, så alle signaler fra Defender XDR, herunder Defender for Identity, kan Microsoft Sentinel. Brug Defender-portalen som en Unified Security Operations (SecOps)-platform.
Du kan finde flere oplysninger under:
Næste trin
Integrer følgende i dine SecOps-processer:
Næste trin til end-to-end-udrulning af Microsoft Defender XDR
Fortsæt din komplette installation af Microsoft Defender XDR med Pilot, og udrul Defender for Office 365.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.