Pilot und Bereitstellung von Microsoft Defender for Identity
Gilt für:
- Microsoft Defender XDR
Dieser Artikel enthält einen Workflow zum Pilotieren und Bereitstellen von Microsoft Defender for Identity in Ihrem organization. Verwenden Sie diese Empfehlungen, um Microsoft Defender for Identity als Teil einer End-to-End-Lösung mit Microsoft Defender XDR zu integrieren.
In diesem Artikel wird davon ausgegangen, dass Sie über einen Microsoft 365-Produktionsmandanten verfügen und Microsoft Defender for Identity in dieser Umgebung pilotieren und bereitstellen. Bei dieser Vorgehensweise werden alle Einstellungen und Anpassungen beibehalten, die Sie während des Pilotprojekts für Ihre vollständige Bereitstellung konfigurieren.
Defender for Identity trägt zu einer Zero Trust Architektur bei, indem es dazu beiträgt, Geschäftsschäden durch eine Sicherheitsverletzung zu verhindern oder zu reduzieren. Weitere Informationen finden Sie unter Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung im Microsoft Zero Trust Adoption Framework.
End-to-End-Bereitstellung für Microsoft Defender XDR
Dies ist Artikel 2 von 6 in einer Reihe, die Ihnen helfen soll, die Komponenten von Microsoft Defender XDR bereitzustellen, einschließlich der Untersuchung und Reaktion auf Vorfälle.
Die Artikel in dieser Reihe entsprechen den folgenden Phasen der End-to-End-Bereitstellung:
| Phase | Link |
|---|---|
| A. Starten des Pilotprojekts | Starten des Pilotprojekts |
| B. Pilot und Bereitstellung Microsoft Defender XDR Komponenten |
-
Pilot und Bereitstellung von Defender for Identity (dieser Artikel) - Pilot und Bereitstellung von Defender for Office 365 - Pilotversuch und Bereitstellung von Defender für Endpunkt - Pilot und Bereitstellung von Microsoft Defender for Cloud Apps |
| C. Untersuchen und Reagieren auf Bedrohungen | Üben der Untersuchung und Reaktion auf Vorfälle |
Pilot- und Bereitstellungsworkflow für Defender for Identity
Das folgende Diagramm veranschaulicht einen allgemeinen Prozess zum Bereitstellen eines Produkts oder Diensts in einer IT-Umgebung.
Sie beginnen damit, das Produkt oder die Dienstleistung zu bewerten und zu bewerten, wie es in Ihrem organization funktioniert. Anschließend pilotieren Sie das Produkt oder den Dienst mit einer entsprechend kleinen Teilmenge Ihrer Produktionsinfrastruktur zum Testen, Lernen und Anpassen. Erweitern Sie dann schrittweise den Umfang der Bereitstellung, bis Ihre gesamte Infrastruktur oder organization abgedeckt ist.
Hier sehen Sie den Workflow zum Pilotieren und Bereitstellen von Defender for Identity in Ihrer Produktionsumgebung.
Gehen Sie folgendermaßen vor:
- Einrichten des Defender for Identity-instance
- Installieren und Konfigurieren von Sensoren
- Konfigurieren von Ereignisprotokoll- und Proxyeinstellungen auf Computern mit dem Sensor
- Zulassen, dass Defender for Identity lokale Administratoren auf anderen Computern identifiziert
- Funktionen ausprobieren
Hier finden Sie die empfohlenen Schritte für jede Bereitstellungsphase.
| Bereitstellungsphase | Beschreibung |
|---|---|
| Auswerten | Führen Sie die Produktauswertung für Defender for Identity aus. |
| Pilotprojekt | Führen Sie die Schritte 1 bis 5 für eine geeignete Teilmenge von Servern mit Sensoren in Ihrer Produktionsumgebung aus. |
| Vollständige Bereitstellung | Führen Sie die Schritte 2 bis 4 für Ihre verbleibenden Server aus, und erweitern Sie diese über das Pilotprojekt hinaus, um alle Server einzuschließen. |
Schützen Ihrer organization vor Hackern
Defender for Identity bietet einen leistungsstarken Schutz für sich allein. In Kombination mit den anderen Funktionen von Microsoft Defender XDR stellt Defender for Identity jedoch Daten in die gemeinsam genutzten Signale bereit, die zusammen dazu beitragen, Angriffe zu stoppen.
Hier ist ein Beispiel für einen Cyberangriff und wie die Komponenten von Microsoft Defender XDR helfen, ihn zu erkennen und zu entschärfen.
Defender for Identity sammelt Signale von Active Directory Domain Services Domänencontrollern (AD DS) und Servern, auf denen Active Directory-Verbunddienste (AD FS) (AD FS) und Active Directory Certificate Services (AD CS) ausgeführt werden. Es verwendet diese Signale, um Ihre Hybrididentitätsumgebung zu schützen, einschließlich schutz vor Hackern, die kompromittierte Konten verwenden, um sich seitlich über Arbeitsstationen in der lokalen Umgebung zu bewegen.
Microsoft Defender XDR korreliert die Signale aller Microsoft Defender Komponenten, um die vollständige Angriffsgeschichte bereitzustellen.
Defender for Identity-Architektur
Microsoft Defender for Identity ist vollständig in Microsoft Defender XDR integriert und nutzt Signale von lokales Active Directory Identitäten, damit Sie erweiterte Bedrohungen besser erkennen, erkennen und untersuchen können, die gegen Ihre Identität gerichtet sind. organization.
Stellen Sie Microsoft Defender for Identity bereit, um Ihren Security Operations -Teams (SecOps) bei der Bereitstellung einer modernen ITDR-Lösung (Identity Threat Detection and Response) in Hybridumgebungen zu helfen, einschließlich:
- Verhindern von Sicherheitsverletzungen mithilfe proaktiver Identitätssicherheitsbewertungen
- Erkennen von Bedrohungen mithilfe von Echtzeitanalysen und Datenintelligenz
- Untersuchen verdächtiger Aktivitäten mithilfe klarer, umsetzbarer Incidentinformationen
- Reagieren Sie auf Angriffe, indem Sie automatische Reaktionen auf kompromittierte Identitäten verwenden. Weitere Informationen finden Sie unter Was ist Microsoft Defender for Identity?
Defender for Identity schützt Ihre lokalen AD DS-Benutzerkonten und Benutzerkonten, die mit Ihrem Microsoft Entra ID Mandanten synchronisiert werden. Informationen zum Schutz einer Umgebung, die nur aus Microsoft Entra Benutzerkonten besteht, finden Sie unter Microsoft Entra ID Protection.
Das folgende Diagramm veranschaulicht die Architektur für Defender for Identity.
In dieser Abbildung:
- Sensoren, die auf AD DS-Domänencontrollern und AD CS-Servern installiert sind, analysieren Protokolle und Netzwerkdatenverkehr und senden sie zur Analyse und Berichterstellung an Microsoft Defender for Identity.
- Sensoren können auch AD FS-Authentifizierungen für Identitätsanbieter von Drittanbietern analysieren und wenn Microsoft Entra ID für die Verwendung der Verbundauthentifizierung konfiguriert ist (die gepunkteten Linien in der Abbildung).
- Microsoft Defender for Identity gibt Signale an Microsoft Defender XDR weiter.
Defender for Identity-Sensoren können direkt auf den folgenden Servern installiert werden:
- AD DS-Domänencontroller. Der Sensor überwacht den Datenverkehr des Domänencontrollers direkt, ohne dass ein dedizierter Server oder die Konfiguration der Portspiegelung erforderlich ist.
- AD FS-Server/AD CS-Server. Der Sensor überwacht den Netzwerkdatenverkehr und Authentifizierungsereignisse direkt.
Einen tieferen Einblick in die Architektur von Defender for Identity finden Sie unter Microsoft Defender for Identity Architektur.
Schritt 1: Einrichten des Defender for Identity-instance
Melden Sie sich beim Defender-Portal an, um mit der Bereitstellung unterstützter Dienste zu beginnen, einschließlich Microsoft Defender for Identity. Weitere Informationen finden Sie unter Starten der Verwendung von Microsoft Defender XDR.
Schritt 2: Installieren Ihrer Sensoren
Defender for Identity erfordert einige erforderliche Arbeit, um sicherzustellen, dass Ihre lokalen Identitäts- und Netzwerkkomponenten die Mindestanforderungen erfüllen, damit Sie den Defender for Identity-Sensor in Ihrer Umgebung installieren können.
Sobald Sie sicher sind, dass Ihre Umgebung bereit ist, planen Sie Ihre Kapazität, und überprüfen Sie die Konnektivität mit Defender for Identity. Wenn Sie dann bereit sind, laden Sie den Defender for Identity-Sensor auf den Domänencontrollern, AD FS- und AD CS-Servern in Ihrer lokalen Umgebung herunter, installieren und konfigurieren ihn.
| Schritt | Beschreibung | Weitere Informationen |
|---|---|---|
| 1 | Vergewissern Sie sich, dass Ihre Umgebung die Voraussetzungen für Defender for Identity erfüllt. | Voraussetzungen für Microsoft Defender for Identity |
| 2 | Bestimmen Sie, wie viele Microsoft Defender for Identity Sensoren Sie benötigen. | Planen der Kapazität für Microsoft Defender for Identity |
| 3 | Überprüfen der Konnektivität mit dem Defender for Identity-Dienst | Überprüfen der Netzwerkaktivität |
| 4 | Herunterladen und Installieren des Defender for Identity-Sensors | Installieren von Defender for Identity |
| 5 | Konfigurieren des Sensors | Konfigurieren Microsoft Defender for Identity Sensoreinstellungen |
Schritt 3: Konfigurieren von Ereignisprotokoll- und Proxyeinstellungen auf Computern mit dem Sensor
Konfigurieren Sie auf den Computern, auf denen Sie den Sensor installiert haben, die Windows-Ereignisprotokollsammlung, um die Erkennungsfunktionen zu aktivieren und zu verbessern.
| Schritt | Beschreibung | Weitere Informationen |
|---|---|---|
| 1 | Konfigurieren der Windows-Ereignisprotokollsammlung |
Ereignissammlung mit Microsoft Defender for Identity Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle |
Schritt 4: Zulassen, dass Defender for Identity lokale Administratoren auf anderen Computern identifiziert
Microsoft Defender for Identity Erkennung von Lateral Movement Path (LMP) basiert auf Abfragen, die lokale Administratoren auf bestimmten Computern identifizieren. Diese Abfragen werden mit dem SAM-R-Protokoll unter Verwendung des Defender for Identity Service-Kontos ausgeführt.
Um sicherzustellen, dass Windows-Clients und -Server Ihrem Defender for Identity-Konto die Ausführung von SAM-R erlauben, muss eine Änderung an Gruppenrichtlinie vorgenommen werden, um das Defender for Identity-Dienstkonto zusätzlich zu den konfigurierten Konten hinzuzufügen, die in der Netzwerkzugriffsrichtlinie aufgeführt sind. Stellen Sie sicher, dass Sie Gruppenrichtlinien auf alle Computer mit Ausnahme von Domänencontrollern anwenden.
Anweisungen dazu finden Sie unter Konfigurieren von SAM-R zum Aktivieren der Erkennung von Lateral Movement-Pfaden in Microsoft Defender for Identity.
Schritt 5: Testen von Funktionen
Die Defender for Identity-Dokumentation enthält die folgenden Artikel, die den Prozess zum Identifizieren und Beheben verschiedener Angriffstypen durchlaufen:
- Untersuchen von Ressourcen, einschließlich verdächtiger Benutzer, Gruppen und Geräte
- Verstehen und Untersuchen von LMPs mit Microsoft Defender for Identity
- Grundlegendes zu Sicherheitswarnungen
Weitere Informationen finden Sie unter:
- Reconnaissance-Warnungen
- Warnungen zu kompromittierten Anmeldeinformationen
- Lateral Movement-Warnungen
- Domänendominanzwarnungen
- Exfiltrationswarnungen
- Untersuchen eines Benutzers
- Untersuchen eines Computers
- Untersuchen von Lateral Movement-Pfaden
- Untersuchen von Entitäten
SIEM-Integration
Sie können Defender for Identity in Microsoft Sentinel als Teil der Unified Security Operations-Plattform von Microsoft oder eines generischen SIEM-Diensts (Security Information and Event Management) integrieren, um die zentralisierte Überwachung von Warnungen und Aktivitäten von verbundenen Apps zu ermöglichen. Mit Microsoft Sentinel können Sie Sicherheitsereignisse in Ihren organization umfassender analysieren und Playbooks für eine effektive und sofortige Reaktion erstellen.
Microsoft Sentinel enthält einen Microsoft Defender für den XDR-Datenconnector, um alle Signale von Defender XDR, einschließlich Defender for Identity, in Microsoft Sentinel zu bringen. Verwenden Sie die Unified Security Operations-Plattform im Defender-Portal als einzelne Plattform für End-to-End-Sicherheitsvorgänge (SecOps).
Weitere Informationen finden Sie unter:
Nächster Schritt
Integrieren Sie Folgendes in Ihre SecOps-Prozesse:
Nächster Schritt für die End-to-End-Bereitstellung von Microsoft Defender XDR
Setzen Sie Ihre End-to-End-Bereitstellung von Microsoft Defender XDR mit Pilot fort, und stellen Sie Defender for Office 365 bereit.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.