Bereitstellen von Microsoft Defender for Identity mit Microsoft Defender XDR
Dieser Artikel bietet eine Übersicht über den vollständigen Bereitstellungsprozess für Microsoft Defender for Identity, einschließlich Der Schritte zur Vorbereitung, Bereitstellung und zusätzlichen Schritten für bestimmte Szenarien.
Defender for Identity ist eine primäre Komponente einer Zero Trust-Strategie und Ihrer ItDR-Bereitstellung (Identity Threat Detection and Response) oder der erweiterten Erkennung und Reaktion (XDR) mit Microsoft Defender XDR. Defender for Identity verwendet Signale von Ihren Identitätsinfrastrukturservern wie Domänencontrollern, AD FS/AD CS- und Entra Connect-Servern, um Bedrohungen wie Rechteausweitung oder laterale Verschiebung mit hohem Risiko zu erkennen, und meldet leicht ausgenutzte Identitätsprobleme wie die uneingeschränkte Kerberos-Delegierung zur Korrektur durch das Sicherheitsteam.
Eine kurze Reihe von Bereitstellungshighlights finden Sie im Schnellinstallationshandbuch.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie mindestens als Sicherheitsadministrator Zugriff auf Microsoft Defender XDR haben und über eine der folgenden Lizenzen verfügen:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sicherheit
- Microsoft 365 F5 Security + Compliance*
- Eine eigenständige Defender for Identity-Lizenz
* Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3.
Erwerben Sie Lizenzen direkt über das Microsoft 365-Portal , oder verwenden Sie das CSP-Lizenzierungsmodell (Cloud Solution Partner).
Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Lizenzierung und Datenschutz und Was sind Defender for Identity-Rollen und -Berechtigungen?
Verwenden von Microsoft Defender XDR
In diesem Abschnitt wird beschrieben, wie Sie mit dem Onboarding in Defender for Identity beginnen.
- Melden Sie sich beim Microsoft Defender-Portal an.
- Wählen Sie im Navigationsmenü ein beliebiges Element aus, z. B. Incidents & Warnungen, Hunting, Info-Center oder Bedrohungsanalysen , um den Onboardingprozess zu initiieren.
Anschließend erhalten Sie die Möglichkeit, unterstützte Dienste bereitzustellen, einschließlich Microsoft Defender for Identity. Cloudkomponenten, die für Defender for Identity erforderlich sind, werden automatisch hinzugefügt, wenn Sie die Einstellungsseite von Defender for Identity öffnen.
Weitere Informationen finden Sie unter:
- Microsoft Defender for Identity in Microsoft Defender XDR
- Erste Schritte mit Microsoft Defender XDR
- Aktivieren von Microsoft Defender XDR
- Bereitstellen unterstützter Dienste
- Häufig gestellte Fragen beim Aktivieren von Microsoft Defender XDR
Wichtig
Derzeit werden Defender for Identity-Rechenzentren in Europa, Großbritannien, der Schweiz, Nordamerika/Mittelamerika/Karibik, Australien, Osten, Asien und Indien bereitgestellt. Ihr Arbeitsbereich (instance) wird automatisch in der Azure-Region erstellt, die dem geografischen Standort Ihres Microsoft Entra Mandanten am nächsten liegt. Nach der Erstellung können Defender for Identity-Arbeitsbereiche nicht mehr verschoben werden.
Planen und Vorbereiten
Führen Sie die folgenden Schritte aus, um die Bereitstellung von Defender for Identity vorzubereiten:
Stellen Sie sicher, dass sie über alle erforderlichen Voraussetzungen verfügen.
Tipp
Es wird empfohlen, das Test-MdiReadiness.ps1 Skript auszuführen, um zu testen, ob Ihre Umgebung die erforderlichen Voraussetzungen erfüllt.
Der Link zum Test-MdiReadiness.ps1-Skript ist auch auf Microsoft Defender XDR auf der Seite Identitätstools > (Vorschau) verfügbar.
Bereitstellen von Defender for Identity
Nachdem Sie Ihr System vorbereitet haben, führen Sie die folgenden Schritte aus, um Defender for Identity bereitzustellen:
- Überprüfen Sie die Konnektivität mit dem Defender for Identity-Dienst.
- Laden Sie den Defender for Identity-Sensor herunter.
- Installieren Sie den Defender for Identity-Sensor.
- Konfigurieren Sie den Defender for Identity-Sensor für den Empfang von Daten.
Konfiguration nach der Bereitstellung
Die folgenden Verfahren helfen Ihnen beim Abschließen des Bereitstellungsprozesses:
Konfigurieren Sie die Windows-Ereignissammlung. Weitere Informationen finden Sie unter Ereignissammlung mit Microsoft Defender for Identity und Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle.
Aktivieren und konfigurieren Sie die einheitliche rollenbasierte Zugriffssteuerung (Unified Role-Based Access Control, RBAC) für Defender for Identity.
Konfigurieren Sie ein Verzeichnisdienstkonto (Directory Service Account, DSA) für die Verwendung mit Defender for Identity. Obwohl eine DSA in einigen Szenarien optional ist, empfiehlt es sich, eine DSA für Defender for Identity für eine vollständige Sicherheitsabdeckung zu konfigurieren. Wenn Sie beispielsweise eine DSA konfiguriert haben, wird die DSA verwendet, um beim Start eine Verbindung mit dem Domänencontroller herzustellen. Eine DSA kann auch verwendet werden, um den Domänencontroller nach Daten zu Entitäten abzufragen, die im Netzwerkdatenverkehr, überwachten Ereignissen und überwachten ETW-Aktivitäten angezeigt werden.
Konfigurieren Sie nach Bedarf Remoteaufrufe an SAM . Dieser Schritt ist zwar optional, es wird jedoch empfohlen, Remoteaufrufe an SAM-R für die Erkennung von Lateral Movement-Pfaden mit Defender for Identity zu konfigurieren.
Tipp
Standardmäßig fragen Defender for Identity-Sensoren das Verzeichnis mithilfe von LDAP an den Ports 389 und 3268 ab. Um an den Ports 636 und 3269 zu LDAPS zu wechseln, öffnen Sie eine Supportanfrage. Weitere Informationen finden Sie unter Microsoft Defender for Identity Support.
Wichtig
Die Installation eines Defender for Identity-Sensors auf einem AD FS-/AD CS- und Entra Connect-Server erfordert zusätzliche Schritte. Weitere Informationen finden Sie unter Konfigurieren von Sensoren für AD FS, AD CS und Entra Connect.