Déployer Microsoft Defender pour Identity avec Microsoft Defender XDR

Cet article fournit une vue d’ensemble du processus de déploiement complet pour Microsoft Defender pour Identity, y compris les étapes de préparation, de déploiement et d’étapes supplémentaires pour des scénarios spécifiques.

Defender pour Identity est un composant principal d’une stratégie de Confiance nulle et de votre déploiement ITDR (Identity Threat Detection and Response) ou XDR (Extended Detection and Response) avec Microsoft Defender XDR. Defender pour Identity utilise les signaux de vos serveurs d’infrastructure d’identité tels que les contrôleurs de domaine, les serveurs AD FS/AD CS et Entra Connect pour détecter les menaces telles que l’escalade de privilèges ou le mouvement latéral à haut risque, et signale les problèmes d’identité facilement exploités, comme la délégation Kerberos sans contrainte, à des fins de correction par l’équipe de sécurité.

Pour obtenir un ensemble rapide de points forts de déploiement, consultez Guide d’installation rapide.

Configuration requise

Avant de commencer, vérifiez que vous avez accès à Microsoft Defender XDR au moins en tant qu’administrateur de sécurité et que vous disposez de l’une des licences suivantes :

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Sécurité
• Module complémentaire sécurité + conformité Microsoft 365 F5*
• Une licence Defender pour Identity autonome

* Les deux licences F5 nécessitent Microsoft 365 F1/F3 ou Office 365 F3 et Enterprise Mobility + Security E3.

Acquérir des licences directement via le portail Microsoft 365 ou utiliser le modèle de licence Cloud Solution Partner (CSP).

Pour plus d’informations, consultez FAQ sur les licences et la confidentialité et Que sont les rôles et autorisations Defender pour Identity ?

Commencer à utiliser Microsoft Defender XDR

Cette section explique comment démarrer l’intégration à Defender pour Identity.

1. Connectez-vous au portail Microsoft Defender.
2. Dans le menu de navigation, sélectionnez n’importe quel élément, tel que Incidents & alertes, Repérage, Centre de notifications ou Analyse des menaces pour lancer le processus d’intégration.

Vous avez ensuite la possibilité de déployer des services pris en charge, y compris Microsoft Defender pour Identity. Les composants cloud requis pour Defender pour Identity sont automatiquement ajoutés lorsque vous ouvrez la page des paramètres de Defender pour Identity.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Microsoft Defender pour Identity dans Microsoft Defender XDR
• Bien démarrer avec Microsoft Defender XDR
• Activer Microsoft Defender XDR
• Déployer les services pris en charge
• Forum aux questions lors de l’activation de Microsoft Defender XDR

Importante

Actuellement, les centres de données Defender pour Identity sont déployés en Europe, au Royaume-Uni, en Suisse, en Amérique du Nord/Amérique centrale/Caraïbes, en Australie Est, en Asie et en Inde. Votre espace de travail (instance) est créé automatiquement dans la région Azure la plus proche de l’emplacement géographique de votre locataire Microsoft Entra. Une fois créés, les espaces de travail Defender pour Identity ne sont pas mobiles.

Planifier et préparer

Pour préparer le déploiement de Defender pour Identity, procédez comme suit :

1. Assurez-vous que tous les prérequis sont requis.

2. Planifiez votre capacité Defender pour Identity.

Conseil

Nous vous recommandons d’exécuter le script Test-MdiReadiness.ps1 pour tester et voir si votre environnement a les prérequis nécessaires.

Le lien vers le script Test-MdiReadiness.ps1 est également disponible à partir de Microsoft Defender XDR, dans la page Outils Identités > (préversion).

Déployer Defender pour Identity

Une fois que vous avez préparé votre système, procédez comme suit pour déployer Defender pour Identity :

1. Vérifiez la connectivité au service Defender pour Identity.
2. Téléchargez le capteur Defender pour Identity.
3. Installez le capteur Defender pour Identity.
4. Configurez le capteur Defender pour Identity pour commencer à recevoir des données.

Configuration post-déploiement

Les procédures suivantes vous aident à terminer le processus de déploiement :

• Configurez la collecte d’événements Windows. Pour plus d’informations, consultez Collecte d’événements avec Microsoft Defender pour Identity et Configurer des stratégies d’audit pour les journaux d’événements Windows.

• Activez et configurez le contrôle d’accès en fonction du rôle (RBAC) unifié pour Defender pour Identity.

• Configurez un compte de service d’annuaire (DSA) à utiliser avec Defender pour Identity. Bien qu’un DSA soit facultatif dans certains scénarios, nous vous recommandons de configurer un DSA pour Defender pour Identity pour une couverture de sécurité complète. Par exemple, lorsque vous avez configuré un DSA, celui-ci est utilisé pour se connecter au contrôleur de domaine au démarrage. Un DSA peut également être utilisé pour interroger le contrôleur de domaine pour obtenir des données sur les entités vues dans le trafic réseau, les événements surveillés et les activités ETW supervisées

• Configurez les appels distants à SAM en fonction des besoins. Bien que cette étape soit facultative, nous vous recommandons de configurer les appels distants à SAM-R pour la détection de chemin de mouvement latéral avec Defender pour Identity.

Conseil

Par défaut, les capteurs Defender pour Identity interrogent le répertoire à l’aide du protocole LDAP sur les ports 389 et 3268. Pour basculer vers LDAPS sur les ports 636 et 3269, ouvrez un cas de support. Pour plus d’informations, consultez Microsoft Defender pour Identity prise en charge.

Importante

L’installation d’un capteur Defender pour Identity sur des serveurs AD FS/AD CS et Entra Connect nécessite des étapes supplémentaires. Pour plus d’informations, consultez Configuration de capteurs pour AD FS, AD CS et Entra Connect.

Étape suivante

Conditions préalables à Defender pour Identity »