Piloter et déployer des Microsoft Defender pour Identity
S’applique à :
- Microsoft Defender XDR
Cet article fournit un flux de travail pour le pilotage et le déploiement de Microsoft Defender pour Identity dans votre organization. Utilisez ces recommandations pour intégrer Microsoft Defender pour Identity dans le cadre d’une solution de bout en bout avec Microsoft Defender XDR.
Cet article suppose que vous disposez d’un client Microsoft 365 de production et que vous pilotez et déployez Microsoft Defender pour Identity dans cet environnement. Cette pratique conserve tous les paramètres et personnalisations que vous configurez pendant votre pilote pour votre déploiement complet.
Defender pour Identity contribue à une architecture Confiance nulle en aidant à prévenir ou à réduire les dommages causés à l’entreprise par une violation. Pour plus d’informations, consultez le scénario Empêcher ou réduire les dommages causés par une violation de l’entreprise dans l’infrastructure d’adoption de Microsoft Confiance nulle.
Déploiement de bout en bout pour Microsoft Defender XDR
Il s’agit de l’article 2 sur 6 d’une série qui vous aide à déployer les composants de Microsoft Defender XDR, y compris l’examen et la réponse aux incidents.
Les articles de cette série correspondent aux phases suivantes du déploiement de bout en bout :
| Phase | Liens |
|---|---|
| A. Démarrer le pilote | Démarrer le pilote |
| B. Piloter et déployer des composants Microsoft Defender XDR |
-
Piloter et déployer Defender pour Identity (cet article) - Piloter et déployer des Defender for Office 365 - Piloter et déployer Defender pour point de terminaison - Piloter et déployer des Microsoft Defender for Cloud Apps |
| C. Examiner les menaces et y répondre | Pratiquez l’investigation et la réponse aux incidents |
Piloter et déployer un workflow pour Defender pour Identity
Le diagramme suivant illustre un processus courant de déploiement d’un produit ou d’un service dans un environnement informatique.
Vous commencez par évaluer le produit ou le service et comment il fonctionnera dans votre organization. Ensuite, vous pilotez le produit ou le service avec un sous-ensemble convenablement petit de votre infrastructure de production à des fins de test, d’apprentissage et de personnalisation. Ensuite, augmentez progressivement l’étendue du déploiement jusqu’à ce que l’ensemble de votre infrastructure ou organization soit couvert.
Voici le workflow pour le pilotage et le déploiement de Defender pour Identity dans votre environnement de production.
Procédez comme suit :
- Configurer le instance Defender pour Identity
- Installer et configurer des capteurs
- Configurer les paramètres du journal des événements et du proxy sur les machines avec le capteur
- Autoriser Defender pour Identity à identifier les administrateurs locaux sur d’autres ordinateurs
- Tester les fonctionnalités
Voici les étapes recommandées pour chaque étape de déploiement.
| Phase de déploiement | Description |
|---|---|
| Évaluation | Effectuer l’évaluation du produit pour Defender pour Identity. |
| Pilote | Effectuez les étapes 1 à 5 pour un sous-ensemble approprié de serveurs avec des capteurs dans votre environnement de production. |
| Déploiement complet | Effectuez les étapes 2 à 4 pour vos serveurs restants, en étendant au-delà du pilote pour les inclure tous. |
Protection de votre organization contre les pirates informatiques
Defender pour Identity offre une protection puissante à lui seul. Toutefois, lorsqu’il est combiné avec les autres fonctionnalités de Microsoft Defender XDR, Defender pour Identity fournit des données dans les signaux partagés qui, ensemble, aident à arrêter les attaques.
Voici un exemple de cyberattaque et la façon dont les composants de Microsoft Defender XDR aident à la détecter et à l’atténuer.
Defender pour Identity collecte les signaux des contrôleurs de domaine services de domaine Active Directory (AD DS) et des serveurs exécutant Services ADFS (AD FS) et les services de certificats Active Directory (AD CS). Il utilise ces signaux pour protéger votre environnement d’identité hybride, notamment contre les pirates informatiques qui utilisent des comptes compromis pour se déplacer latéralement entre les stations de travail dans l’environnement local.
Microsoft Defender XDR met en corrélation les signaux de tous les composants Microsoft Defender pour fournir l’histoire complète des attaques.
Architecture de Defender pour Identity
Microsoft Defender pour Identity est entièrement intégré à Microsoft Defender XDR et tire parti des signaux des identités Active Directory local pour vous aider à mieux identifier, détecter et examiner les menaces avancées dirigées contre votre organization.
Déployez Microsoft Defender pour Identity pour aider vos équipes d’opérations de sécurité (SecOps) à fournir une solution itdr (détection et réponse aux menaces d’identité) moderne dans des environnements hybrides, notamment :
- Empêcher les violations à l’aide d’évaluations proactives de la posture de sécurité des identités
- Détecter les menaces à l’aide de l’analytique en temps réel et de l’intelligence des données
- Examiner les activités suspectes à l’aide d’informations claires et exploitables sur les incidents
- Répondre aux attaques à l’aide d’une réponse automatique aux identités compromises. Pour plus d’informations, consultez Qu’est-ce que Microsoft Defender pour Identity ?
Defender pour Identity protège vos comptes d’utilisateur AD DS locaux et vos comptes d’utilisateur synchronisés avec votre locataire Microsoft Entra ID. Pour protéger un environnement composé uniquement de comptes d’utilisateur Microsoft Entra, consultez Protection Microsoft Entra ID.
Le diagramme suivant illustre l’architecture de Defender pour Identity.
Dans cette illustration :
- Les capteurs installés sur les contrôleurs de domaine AD DS et les serveurs AD CS analysent les journaux et le trafic réseau et les envoient à Microsoft Defender pour Identity à des fins d’analyse et de création de rapports.
- Les capteurs peuvent également analyser les authentifications AD FS pour les fournisseurs d’identité tiers et quand Microsoft Entra ID est configuré pour utiliser l’authentification fédérée (lignes en pointillés dans l’illustration).
- Microsoft Defender pour Identity partage des signaux à Microsoft Defender XDR.
Les capteurs Defender pour Identity peuvent être installés directement sur les serveurs suivants :
- Contrôleurs de domaine AD DS. Le capteur surveille directement le trafic du contrôleur de domaine, sans avoir besoin d’un serveur dédié ou de la configuration de la mise en miroir de ports.
- Serveurs AD FS / serveurs AD CS. Le capteur surveille directement le trafic réseau et les événements d’authentification.
Pour en savoir plus sur l’architecture de Defender pour Identity, consultez architecture Microsoft Defender pour Identity.
Étape 1 : Configurer le instance Defender pour Identity
Connectez-vous au portail Defender pour commencer à déployer les services pris en charge, y compris Microsoft Defender pour Identity. Pour plus d’informations, consultez Commencer à utiliser Microsoft Defender XDR.
Étape 2 : Installer vos capteurs
Defender pour Identity nécessite un travail préalable pour s’assurer que vos composants d’identité et de mise en réseau locaux répondent à la configuration minimale requise pour installer le capteur Defender pour Identity dans votre environnement.
Une fois que vous êtes sûr de la préparation de votre environnement, planifiez votre capacité et vérifiez la connectivité à Defender pour Identity. Ensuite, lorsque vous êtes prêt, téléchargez, installez et configurez le capteur Defender pour Identity sur les contrôleurs de domaine, les serveurs AD FS et AD CS dans votre environnement local.
| Étape | Description | Plus d’informations |
|---|---|---|
| 1 | Vérifiez que votre environnement répond aux conditions préalables de Defender pour Identity. | Conditions préalables de Microsoft Defender pour Identity |
| 2 | Déterminez le nombre de capteurs Microsoft Defender pour Identity dont vous avez besoin. | Planifier la capacité de Microsoft Defender pour l’identité |
| 3 | Vérifier la connectivité au service Defender pour Identity | Vérifier l’activité réseau |
| 4 | Télécharger et installer le capteur Defender pour Identity | Installer Defender pour Identity |
| 5 | Configurer le capteur | Configurer les paramètres du capteur Microsoft Defender pour Identity |
Étape 3 : Configurer les paramètres du journal des événements et du proxy sur les machines avec le capteur
Sur les machines sur lesquelles vous avez installé le capteur, configurez la collecte des journaux des événements Windows pour activer et améliorer les fonctionnalités de détection.
| Étape | Description | Plus d’informations |
|---|---|---|
| 1 | Configurer la collecte des journaux des événements Windows |
Collection d’événements avec Microsoft Defender pour Identity Configurer des stratégies d’audit pour les journaux des événements Windows |
Étape 4 : Autoriser Defender pour Identity à identifier les administrateurs locaux sur d’autres ordinateurs
Microsoft Defender pour Identity détection du chemin de mouvement latéral (LMP) s’appuie sur des requêtes qui identifient les administrateurs locaux sur des ordinateurs spécifiques. Ces requêtes sont effectuées avec le protocole SAM-R, à l’aide du compte de service Defender pour Identity.
Pour vous assurer que les clients et serveurs Windows autorisent votre compte Defender pour Identity à effectuer sam-R, une modification de stratégie de groupe doit être apportée pour ajouter le compte de service Defender pour Identity en plus des comptes configurés répertoriés dans la stratégie d’accès réseau. Veillez à appliquer des stratégies de groupe à tous les ordinateurs à l’exception des contrôleurs de domaine.
Pour obtenir des instructions sur la procédure à suivre, consultez Configurer SAM-R pour activer la détection de chemin de mouvement latéral dans Microsoft Defender pour Identity.
Étape 5 : Tester les fonctionnalités
La documentation defender pour Identity comprend les articles suivants qui décrivent le processus d’identification et de correction des différents types d’attaques :
- Examiner les ressources, y compris les utilisateurs, les groupes et les appareils suspects
- Comprendre et examiner les LPM avec Microsoft Defender pour Identity
- Comprendre les alertes de sécurité
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Alertes de reconnaissance
- Alertes d’informations d’identification compromises
- Alertes de mouvement latéral
- Alertes de dominance de domaine
- Alertes d’exfiltration
- Examiner un utilisateur
- Examiner un ordinateur
- Enquêter sur les chemins de déplacement latéral
- Examiner des entités
Intégration SIEM
Vous pouvez intégrer Defender pour Identity à Microsoft Sentinel dans le cadre de la plateforme unifiée d’opérations de sécurité de Microsoft ou d’un service SIEM (Security Information and Event Management) générique pour permettre une surveillance centralisée des alertes et des activités à partir d’applications connectées. Avec Microsoft Sentinel, vous pouvez analyser de manière plus complète les événements de sécurité dans votre organization et créer des playbooks pour une réponse efficace et immédiate.
Microsoft Sentinel inclut un Microsoft Defender pour le connecteur de données XDR afin d’apporter tous les signaux de Defender XDR, y compris Defender pour Identity, à Microsoft Sentinel. Utilisez la plateforme unifiée des opérations de sécurité dans le portail Defender comme plateforme unique pour les opérations de sécurité de bout en bout (SecOps).
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Connecter Microsoft Sentinel au portail Microsoft Defender
- Intégration d’une solution SIEM générique
Étape suivante
Incorporez les éléments suivants dans vos processus SecOps :
- Afficher le tableau de bord ITDR
- Afficher et gérer les problèmes d’intégrité de Defender pour Identity
Étape suivante pour le déploiement de bout en bout de Microsoft Defender XDR
Poursuivez votre déploiement de bout en bout de Microsoft Defender XDR avec Pilote et déployez Defender for Office 365.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.