Konfigurieren von Microsoft Defender for Identity-Sensoren

  • 5 Minuten

Im Allgemeinen sind die folgenden Schritte zum Aktivieren von Microsoft Defender for Identity erforderlich:

  1. Erstellen einer Instanz im Microsoft Defender for Identity-Verwaltungsportal.
  2. Angeben eines lokales AD-Dienstkontos im Microsoft Defender for Identity-Portal an.
  3. Herunterladen und Installieren des Sensorpakets.
  4. Installieren des Microsoft Defender for Identity-Sensors auf allen Domänencontrollern.
  5. Integrieren Ihrer VPN-Lösung (optional).
  6. Schließen Sie die vertraulichen Konten aus, die Sie während des Entwurfsprozesses aufgelistet haben.
  7. Konfigurieren Sie die erforderlichen Berechtigungen für den Sensor, um SAM-R-Aufrufe durchführen zu können.
  8. Konfigurieren der Integration in Microsoft Defender for Cloud Apps.
  9. Konfigurieren Sie die Integration in Microsoft Defender XDR (optional).

In der folgenden Abbildung ist die Architektur von Microsoft Defender for Identity dargestellt. In dieser Lerneinheit befassen wir uns mit der Konfiguration des Microsoft Defender for Identity-Sensors.

Architektur von Microsoft Defender for Identity

Der Microsoft Defender for Identity-Sensor wird direkt auf Ihren Domänencontrollern installiert und greift direkt über die Domänencontroller auf die benötigten Ereignisprotokolle zu. Nachdem die Protokolle und der Netzwerkdatenverkehr vom Sensor analysiert wurden, sendet Microsoft Defender for Identity nur die analysierten Informationen an den Microsoft Defender for Identity-Clouddienst (nur ein Prozentsatz der Protokolle wird übermittelt).

Der Microsoft Defender for Identity-Sensor verfügt über die folgenden Kernfunktionen:

  • Erfassen und Überprüfen des Netzwerkdatenverkehrs des Domänencontrollers (lokaler Datenverkehr des Domänencontrollers)
  • Empfangen von Windows-Ereignissen direkt von den Domänencontrollern
  • Empfangen von RADIUS-Kontoführungsinformationen von Ihrem VPN-Anbieter
  • Empfangen von Daten über Benutzer und Computer von der Active Directory-Domäne
  • Ausführen einer Auflösung von Netzwerkentitäten (Benutzer, Gruppen und Computer)
  • Übertragen relevanter Daten an den Microsoft Defender for Identity-Clouddienst

Der Microsoft Defender for Identity-Sensor setzt Folgendes voraus:

  • KB4487044 wird auf Server 2019 installiert. Microsoft Defender for Identity-Sensoren, die bereits auf 2019-Servern ohne dieses Update installiert wurden, werden automatisch angehalten.
  • Die vom Microsoft Defender for Identity-Sensor unterstützten Domänencontroller-BS:
    • Windows Server 2008 R2 SP1 (ohne Server Core)
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016 (einschließlich Windows Server Core, aber ohne Windows Nano Server)
    • Windows Server 2019 (einschließlich Windows Core, aber ohne Windows Nano Server)
  • Der Domänencontroller kann ein schreibgeschützter Domänencontroller (RODC) sein.
  • Es werden 10 GB Speicherplatz empfohlen. Dies umfasst den erforderlichen Speicherplatz für die Binärdateien für Microsoft Defender for Identity, Microsoft Defender for Identity-Protokolle und Leistungsprotokolle.
  • Für den Microsoft Defender for Identity-Sensor sind mindestens zwei Kerne und 6 GB RAM auf dem Domänencontroller erforderlich.
  • Die Poweroption des Microsoft Defender for Identity-Sensors für hohe Leistung.
  • Microsoft Defender for Identity-Sensoren können auf Domänencontrollern unterschiedlicher Auslastung und Größe bereitgestellt werden, je nach dem Aufkommen des Netzwerkverkehrs zu und von den Domänencontrollern und der Anzahl der installierten Ressourcen.
  • Bei der Ausführung als virtueller Computer werden der dynamische Arbeitsspeicher oder andere Sprechblasen-Features nicht unterstützt.

So installieren Sie den Microsoft Defender for Identity-Sensor

  1. Laden Sie die Sensordatei herunter, und extrahieren Sie sie. Führen Sie Microsoft Defender for Identity sensor setup.exe aus, und folgen Sie den Angaben des Setup-Assistenten.
  2. Wählen Sie auf der Willkommensseite Ihre Sprache aus, und klicken Sie auf Weiter.

Installationsschritte: Wählen Sie die Sprache aus.

  1. Der Installationsassistent überprüft automatisch, ob es sich bei dem Server um einen Domänencontroller oder einen dedizierten Server handelt. Wenn es sich um einen Domänencontroller handelt, wird der Microsoft Defender for Identity-Sensor installiert. Wenn es sich um einen dedizierten Server handelt, wird der eigenständige Microsoft Defender for Identity-Sensor installiert. Bei einem Microsoft Defender for Identity-Sensor wird beispielsweise der folgende Bildschirm angezeigt, in dem Sie darauf hingewiesen werden, dass ein Microsoft Defender for Identity-Sensor auf Ihrem dedizierten Server installiert ist:

    Installationsschritte: Ermitteln Sie den Servertyp.

  2. Geben Sie unter Sensor konfigurieren den Installationspfad und den Zugriffsschlüssel basierend auf Ihrer Umgebung ein:

    • Installationspfad: Der Speicherort, an dem der Microsoft Defender for Identity-Sensor installiert ist. Standardmäßig lautet der Pfad %programfiles%\Microsoft Defender for Identity sensor. Verwenden Sie den Standardwert.
    • Zugriffsschlüssel: Wird vom Microsoft Defender for Identity-Portal abgerufen.

    Installationsschritte: Konfigurieren Sie den Sensor.

  3. Klicken Sie auf Installieren.

Nachdem der Microsoft Defender for Identity-Sensor installiert wurde, gehen Sie wie folgt vor, um die Einstellungen für den Microsoft Defender für Identity-Sensor zu konfigurieren:

  1. Klicken Sie auf Start, um Ihren Browser zu öffnen und sich beim Microsoft Defender for Identity-Portal anzumelden.

  2. Wechseln Sie im Microsoft Defender for Identity-Portal zu Konfiguration. Wählen Sie im Abschnitt System Sensorenaus.

    Installationsschritte: Wählen Sie die Sensoren im Microsoft Defender für Office 365-Portal aus.

  3. Klicken Sie auf den Sensor, den Sie konfigurieren möchten, und geben Sie die folgenden Informationen ein:

    • Beschreibung: Geben Sie eine Beschreibung für den Microsoft Defender for Identity-Sensor ein (optional).

    • Domänencontroller (FQDN) (erforderlich für den eigenständigen Microsoft Defender for Identity-Sensor; kann für den Microsoft Defender for Identity-Sensor nicht geändert werden): Geben Sie den vollständigen FQDN des Domänencontrollers ein, und klicken Sie auf das Pluszeichen, um ihn der Liste hinzuzufügen. Beispiel: dc01.contoso.com.

      Die folgenden Informationen gelten für die Server, die Sie in der Liste der Domänencontroller eingeben:

      • Alle Domänencontroller, deren Datenverkehr über die Portspiegelung vom eigenständigen Microsoft Defender for Identity-Sensor überwacht wird, müssen in der Liste der Domänencontroller aufgeführt sein. Wenn ein Domänencontroller nicht in der Liste der Domänencontroller aufgeführt ist, funktioniert die Erkennung verdächtiger Aktivitäten möglicherweise nicht erwartungsgemäß.
      • Mindestens ein Domänencontroller in der Liste sollte ein globaler Katalog sein. Auf diese Weise kann Microsoft Defender for Identity Computer- und Benutzerobjekte in anderen Domänen in der Gesamtstruktur auflösen.

    • Erfassen von Netzwerkadaptern (erforderlich):

      • Bei Microsoft Defender for Identity-Sensoren alle Netzwerkadapter, die für die Kommunikation mit anderen Computern in Ihrer Organisation verwendet werden.
      • Wählen Sie für eigenständige Microsoft Defender for Identity-Sensoren auf einem dedizierten Server die Netzwerkadapter aus, die als Ziel-Spiegelungsport konfiguriert sind. Diese Netzwerkadapter empfangen den gespiegelten Domänencontroller-Datenverkehr.

    Installationsschritte: Geben Sie Informationen zum Konfigurieren des Sensors ein.

  4. Klicken Sie auf Speichern.