Microsoft Defender for Identity käyttöönotto Microsoft Defender XDR kanssa
Tässä artikkelissa on yleiskatsaus Microsoft Defender for Identity täydellisestä käyttöönottoprosessista, mukaan lukien valmistelun, käyttöönoton ja lisävaiheiden vaiheet tiettyjä skenaarioita varten.
Defender for Identity on Zero Trust -suojausmalli strategian ja ITDR(Identity Threat Detection and Response) -tunnuksen tai laajennetun tunnistuksen ja vastauksen (XDR) käyttöönoton ensisijainen osa Microsoft Defender XDR avulla. Defender for Identity käyttää käyttäjätietoinfrastruktuuripalvelimien, kuten toimialueen ohjauskoneiden, AD FS / AD CS- ja Entra Connect -palvelimien, signaaleja tunnistaakseen uhkia, kuten oikeuksien eskalointia tai suuren riskin sivuttaista siirtymistä, ja raportteja helposti hyödynnetyistä käyttäjätieto-ongelmista, kuten rajoittamattomasta Kerberos-delegoinnista, tietoturvatiimin korjattavaksi.
Nopea joukko käyttöönoton kohokohtia on kohdassa Pika-asennusopas.
Ennakkovaatimukset
Ennen kuin aloitat, varmista, että sinulla on käyttöoikeus Microsoft Defender XDR vähintään suojauksen järjestelmänvalvojana ja että sinulla on jokin seuraavista käyttöoikeuksista:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Arvopaperi
- Microsoft 365 F5 Security + yhteensopivuus*
- Itsenäinen Defender for Identity -käyttöoikeus
* Molemmat F5-käyttöoikeudet edellyttävät Microsoft 365 F1/F3:a tai Office 365 F3:a ja Enterprise Mobility + Security E3.
Hanki käyttöoikeuksia suoraan Microsoft 365 -portaalin kautta tai käytä pilviratkaisukumppanin (CSP) käyttöoikeusmallia.
Lisätietoja on artikkelissa Käyttöoikeuksien ja tietosuojan usein kysytyt kysymykset ja Mitä ovat Defender for Identity -roolit ja -käyttöoikeudet?
Aloita Microsoft Defender XDR käyttäminen
Tässä osiossa kuvataan, miten voit aloittaa perehdyttämisen Defender for Identityen.
- Kirjaudu sisään Microsoft Defender portaaliin.
- Valitse siirtymisvalikosta mikä tahansa kohde, kuten Tapahtumat & hälytykset, Metsästys, Toimintokeskus tai Uhka-analytiikka perehdytysprosessin aloittamiseksi.
Sen jälkeen voit ottaa käyttöön tuetut palvelut, mukaan lukien Microsoft Defender for Identity. Defender for Identityn edellyttämät pilviosat lisätään automaattisesti, kun avaat Defender for Identity -asetussivun.
Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Defender for Identity in Microsoft Defender XDR
- Microsoft Defender XDR käytön aloittaminen
- Ota Microsoft Defender XDR käyttöön
- Ota tuetut palvelut käyttöön
- Usein kysyttyjä kysymyksiä, kun otat Microsoft Defender XDR käyttöön
Tärkeää
Tällä hetkellä Defender for Identity -palvelinkeskuksia otetaan käyttöön Euroopassa, Isossa-Britanniassa, Sveitsissä, Pohjois-Amerikka/Keski-Amerikassa/Karibialla, Australiassa, idässä, Aasiassa ja Intiassa. Työtila (esiintymä) luodaan automaattisesti Azure-alueella, joka on lähimpänä Microsoft Entra vuokraajan maantieteellistä sijaintia. Kun Defender for Identity -työtilat on luotu, niitä ei voi siirtää.
Suunnittele ja valmistele
Seuraavien vaiheiden avulla voit valmistautua Defender for Identityn käyttöönottoon:
Varmista, että sinulla on kaikki tarvittavat edellytykset .
Vihje
Suosittelemme, että suoritat Test-MdiReadiness.ps1-komentosarjan , jotta voit testata, onko ympäristössäsi tarvittavat edellytykset.
linkkiTest-MdiReadiness.ps1-komentosarjaan on käytettävissä myös Microsoft Defender XDR Käyttäjätiedot-työkalut-sivulla > (esikatselu).
Ota Defender for Identity käyttöön
Kun olet valmistellut järjestelmän, ota Defender for Identity käyttöön seuraavien vaiheiden avulla:
- Tarkista yhteys Defender for Identity -palveluun.
- Lataa Defender for Identity -tunnistin.
- Asenna Defender for Identity -tunnistin.
- Määritä Defender for Identity -tunnistin aloittamaan tietojen vastaanottaminen.
Käyttöönoton jälkeinen määritys
Käyttöönottoprosessi on valmis seuraavien ohjeiden avulla:
Määritä Windowsin tapahtumakokoelma. Lisätietoja on kohdassa Tapahtumien kerääminen, jossa on Microsoft Defender for Identity ja Windowsin tapahtumalokien valvontakäytäntöjen määrittäminen.
Ota käyttöön ja määritä yhdistetty roolipohjainen käyttöoikeuksien hallinta (RBAC) Defender for Identitylle.
Määritä hakemistopalvelun tili (DSA) käytettäväksi Defender for Identityn kanssa. Vaikka DSA on joissakin tilanteissa valinnainen, suosittelemme, että määrität DSA:n Defender for Identitylle täyttä suojausta varten. Jos sinulla on esimerkiksi DSA määritettynä, DSA:n avulla muodostetaan yhteys toimialueen ohjauskoneeseen käynnistyksen yhteydessä. DSA:n avulla voidaan myös kysellä toimialueen ohjauskoneelta tietoja entiteeteistä, jotka näkyvät verkkoliikenteessä, valvotuissa tapahtumissa ja valvotuissa ETW-toiminnoissa
Määritä SAM-etäpuhelut tarpeen mukaan. Vaikka tämä vaihe on valinnainen, suosittelemme, että määrität SAM-R:n etäkutsut sivusuuntaisen siirtopolun tunnistukseen Defender for Identityn avulla.
Vihje
Oletusarvoisesti Defender for Identity -tunnistimet kyselevät hakemistoa käyttämällä LDAP:tä porteissa 389 ja 3268. Jos haluat vaihtaa LDAPS:ään porteilla 636 ja 3269, avaa tukipyyntö. Lisätietoja on artikkelissa Microsoft Defender for Identity tuki.
Tärkeää
Defender for Identity -tunnistimen asentaminen AD FS- ja AD CS- ja Entra Connect -palvelimiin edellyttää lisätoimia. Lisätietoja on artikkelissa Antureiden määrittäminen AD FS:lle, AD CS:lle ja Entra Connectille.