Pilottikoe ja käyttöönotto Microsoft Defender for Identity
Koskee seuraavia:
- Microsoft Defender XDR
Tässä artikkelissa on työnkulku Microsoft Defender for Identity pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit ottaa Microsoft Defender for Identity käyttöön osana päästä päähän -ratkaisua, jossa on Microsoft Defender XDR.
Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Identity tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.
Defender for Identity osallistuu Zero Trust -suojausmalli arkkitehtuuriin auttamalla estämään tai vähentämään liiketoiminnan vaurioita murrosta. Lisätietoja on Microsoft Zero Trust -suojausmalli käyttöönoton viitekehyksen kohdassa Liiketoiminnan vahingoittumisen estäminen tai vähentäminen murron aiheuttamasta liiketoimintavahingosta.
Microsoft Defender XDR käyttöönotto päästä päähän
Tämä on sarjan artikkeli 2/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR osia, mukaan lukien tapausten tutkiminen ja niihin vastaaminen.
Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:
| Vaihe | Linkki |
|---|---|
| A. Käynnistä pilotti | Käynnistä pilotti |
| B. Microsoft Defender XDR osien pilottikoe ja käyttöönotto |
-
Defender for Identityn pilottikoe ja käyttöönotto (tämä artikkeli) - Defender for Office 365 pilottikoe ja käyttöönotto - Defender for Endpointin pilottikoe ja käyttöönotto - Microsoft Defender for Cloud Apps pilottikoe ja käyttöönotto |
| C. Tutki uhkia ja reagoi niihin | Tapausten tutkinnan ja reagointikäytännön harjoittaminen |
Defender for Identityn pilotti- ja käyttöönottotyönkulku
Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.
Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.
Tässä on työnkulku Defender for Identityn pilotointiin ja käyttöönottoon tuotantoympäristössäsi.
Toimi seuraavasti:
- Defender for Identity -esiintymän määrittäminen
- Tunnistimien asentaminen ja määrittäminen
- Tapahtumalokin ja välityspalvelimen asetusten määrittäminen koneissa tunnistimen avulla
- Salli Defender for Identityn tunnistaa muiden tietokoneiden paikalliset järjestelmänvalvojat
- Kokeile ominaisuuksia
Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.
| Käyttöönottovaihe | Kuvaus |
|---|---|
| Arvioida | Suorita tuotteen arviointi Defender for Identitylle. |
| Lentäjä | Suorita vaiheet 1–5 sopivalle palvelinten alijoukolle, jossa on antureita tuotantoympäristössäsi. |
| Täysi käyttöönotto | Suorita vaiheet 2–4 jäljellä olevalle palvelimelle ja laajenna pilottikokeilun ulkopuolelle niin, että ne kaikki ovat mukana. |
Organisaation suojaaminen hakkereilta
Defender for Identity tarjoaa tehokkaan suojauksen. Defender for Identity tarjoaa kuitenkin yhdessä muiden Microsoft Defender XDR ominaisuuksien kanssa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.
Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR osat auttavat sen havaitsemisessa ja lieventämisessä.
Defender for Identity kerää signaaleja Active Directory -toimialueen palvelut (AD DS) toimialueen ohjauskoneista ja palvelimista, jotka käyttävät Active Directory -liittoutumispalvelut (AD FS) ja Active Directory Certificate Servicesiä (AD CS). Se käyttää näitä signaaleja hybridi-identiteettiympäristön suojaamiseen, mukaan lukien suojautuminen hakkereilta, jotka käyttävät vaarantuneita tilejä siirtyäkseen sivuttain paikallisen ympäristön työasemien välillä.
Microsoft Defender XDR korreloi kaikkien Microsoft Defender osien signaalit ja tarjoaa koko hyökkäystarinan.
Defender for Identity -arkkitehtuuri
Microsoft Defender for Identity on täysin integroitu Microsoft Defender XDR kanssa ja hyödyntää paikallinen Active Directory käyttäjätietojen signaaleja, joiden avulla voit paremmin tunnistaa, tunnistaa ja tutkia organisaatioosi suunnattuja kehittyneitä uhkia.
Ota Microsoft Defender for Identity käyttöön, jotta suojaustoimintosi (SecOps) -tiimisi voivat tarjota nykyaikaisen käyttäjätietojen uhkien tunnistamis- ja reagointiratkaisun (ITDR) hybridiympäristöissä, mukaan lukien:
- Estä rikkomukset käyttämällä ennakoivia käyttäjätietojen suojausasentojen arviointeja
- Uhkien tunnistaminen reaaliaikaisen analysoinnin ja tietotietojen avulla
- Epäilyttävän toiminnan tutkiminen selkeiden ja toteutettavissa olevien tapahtumatietojen avulla
- Vastaa hyökkäyksiin käyttämällä automaattista vastausta vaarantuneiden käyttäjätietojen avulla. Lisätietoja on artikkelissa Mitä on Microsoft Defender for Identity?
Defender for Identity suojaa paikallisia AD DS -käyttäjätilejä ja käyttäjätilejä, jotka on synkronoitu Microsoft Entra ID vuokraajaan. Jos haluat suojata ympäristön, joka koostuu vain Microsoft Entra käyttäjätileistä, katso Microsoft Entra ID -tunnuksien suojaus.
Seuraavassa kaaviossa havainnollistetaan Defender for Identityn arkkitehtuuri.
Tässä kuvassa:
- AD DS -toimialueen ohjauskoneisiin ja AD CS -palvelimiin asennetut tunnistimet jäsentävät lokeja ja verkkoliikennettä ja lähettävät ne Microsoft Defender for Identity analysointia ja raportointia varten.
- Tunnistimet voivat myös jäsentää kolmannen osapuolen tunnistetietojen palveluntarjoajien AD FS -todennuksia ja kun Microsoft Entra ID on määritetty käyttämään liitettyä todentamista (kuvassa olevat pisteviivat).
- Microsoft Defender for Identity jakaa signaaleja Microsoft Defender XDR.
Defender for Identity -tunnistimet voidaan asentaa suoraan seuraaviin palvelimiin:
- AD DS -toimialueen ohjauskoneet. Tunnistin valvoo suoraan toimialueen ohjauskoneen liikennettä ilman erillistä palvelinta tai portin peilauksen määritystä.
- AD FS -palvelimet / AD CS -palvelimet. Tunnistin valvoo suoraan verkkoliikennettä ja todentamistapahtumia.
Lisätietoja Defender for Identityn arkkitehtuurista on kohdassa Microsoft Defender for Identity arkkitehtuuri.
Vaihe 1: Defender for Identity -esiintymän määrittäminen
Kirjaudu Defender-portaaliin ja aloita tuettujen palveluiden, kuten Microsoft Defender for Identity, käyttöönotto. Lisätietoja on artikkelissa Microsoft Defender XDR käytön aloittaminen.
Vaihe 2: Tunnistimien asentaminen
Defender for Identity edellyttää edellytyksenä olevaa työtä sen varmistamiseksi, että paikalliset käyttäjätiedot ja verkko-osat täyttävät vähimmäisvaatimukset Defender for Identity -tunnistimen asentamiseksi ympäristöösi.
Kun olet varma ympäristösi valmiudesta, suunnittele kapasiteettisi ja varmista yhteys Defender for Identityen. Kun olet valmis, lataa, asenna ja määritä Defender for Identity -tunnistin toimialueen ohjauskoneissa, AD FS- ja AD CS -palvelimilla paikallisessa ympäristössäsi.
| Vaihe | Kuvaus | Lisätietoja |
|---|---|---|
| 1 | Vahvista, että ympäristösi täyttää Defender for Identityn edellytykset. | Microsoft Defender for Identity edellytykset |
| 2 | Määritä, kuinka monta Microsoft Defender for Identity tunnistinta tarvitset. | Suunnittele kapasiteettia Microsoft Defender for Identity varten |
| 3 | Tarkista yhteys Defender for Identity -palveluun | Tarkista verkkotoiminta |
| 4 | Defender for Identity -tunnistimen lataaminen ja asentaminen | Asenna Defender for Identity |
| 5 | Tunnistimen määrittäminen | Microsoft Defender for Identity tunnistimen asetusten määrittäminen |
Vaihe 3: Tapahtumalokin ja välityspalvelimen asetusten määrittäminen koneissa tunnistimen avulla
Määritä tietokoneissa, joihin asensit tunnistimen, Windowsin tapahtumalokikokoelma tunnistusominaisuuksien mahdollistamiseksi ja parantamiseksi.
| Vaihe | Kuvaus | Lisätietoja |
|---|---|---|
| 1 | Windowsin tapahtumalokien keräämisen määrittäminen |
Tapahtumakokoelma, jossa on Microsoft Defender for Identity Windowsin tapahtumalokien valvontakäytäntöjen määrittäminen |
Vaihe 4: Salli Defender for Identityn tunnistaa muiden tietokoneiden paikalliset järjestelmänvalvojat
Microsoft Defender for Identity LMP-tunnistus perustuu kyselyihin, jotka tunnistavat tiettyjen koneiden paikalliset järjestelmänvalvojat. Nämä kyselyt suoritetaan SAM-R-protokollan avulla käyttämällä Defender for Identity Service -tiliä.
Jotta Windows-asiakasohjelmat ja -palvelimet sallivat Defender for Identity -tilisi suorittaa SAM-R:n, ryhmäkäytäntö on muokattava, jotta Defender for Identity -palvelutili voidaan lisätä verkkokäyttökäytännössä lueteltujen määritettyjen tilien lisäksi. Varmista, että käytät ryhmäkäytäntöjä kaikissa tietokoneissa paitsi toimialueen ohjauskoneissa.
Katso ohjeet tähän ohjeartikkelista SAM-R:n määrittäminen, jotta sivuttaisten siirtopolkujen tunnistaminen voidaan ottaa käyttöön Microsoft Defender for Identity.
Vaihe 5: Ominaisuuksien kokeileminen
Defender for Identity -dokumentaatio sisältää seuraavat artikkelit, joissa käydään läpi eri hyökkäystyyppien tunnistaminen ja korjaaminen:
- Tutki resurssit, mukaan lukien epäilyttävät käyttäjät, ryhmät ja laitteet
- Tutustu ja tutki LLM-modyymejä Microsoft Defender for Identity avulla
- Suojaushälytysten ymmärtäminen
Lisätietoja on seuraavissa artikkeleissa:
- Tiedusteluilmoitukset
- Vaarantuneet tunnistetietoilmoitukset
- Sivusuuntaiset liikehälytykset
- Toimialueen määräävän aseman hälytykset
- Suodatusilmoitukset
- Käyttäjän tutkiminen
- Tietokoneen tutkiminen
- Tutki sivusuuntaisia liikepolkuja
- Entiteettien tutkiminen
SIEM-integrointi
Voit integroida Defender for Identityn Microsoft Sentinel osana Microsoftin yhtenäistä suojaustoimintoympäristöä tai yleistä suojaustieto- ja tapahtumahallintapalvelua (SIEM), jotta yhdistettyjen sovellusten ilmoituksia ja toimintoja voidaan valvoa keskitetysti. Microsoft Sentinel avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja, jotta ne voivat toimia tehokkaasti ja välittömästi.
Microsoft Sentinel sisältää Microsoft Defender XDR-tietoyhdistimelle kaikkien signaalien tuomiseksi Defender XDR, mukaan lukien Defender for Identity, Microsoft Sentinel. Käytä Defender-portaalin yhdistettyä suojaustoimintojen ympäristöä yksittäisenä alustana päästä päähän -suojaustoimintoja (SecOps) varten.
Lisätietoja on seuraavissa artikkeleissa:
Seuraavat vaiheet
Sisällytä seuraavat SecOps-prosesseihin:
- ITDR-koontinäytön tarkasteleminen
- Defender for Identityn kunto-ongelmien tarkasteleminen ja hallinta
Seuraava vaihe Microsoft Defender XDR käyttöönottoa varten.
Jatka Microsoft Defender XDR käyttöönottoa päästä päähän pilotilla ja ota käyttöön Defender for Office 365.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.