Activer les fonctionnalités Microsoft Defender pour Identity directement sur un contrôleur de domaine

Microsoft Defender pour point de terminaison clients, qui ont déjà intégré leurs contrôleurs de domaine à Defender pour point de terminaison, peuvent activer Microsoft Defender pour Identity fonctionnalités directement sur un contrôleur de domaine au lieu d’utiliser un Microsoft Defender pour Identity capteur.

Cet article explique comment activer et tester les fonctionnalités de Microsoft Defender pour Identity sur votre contrôleur de domaine.

Importante

Les informations contenues dans cet article concernent une fonctionnalité actuellement en disponibilité limitée pour un ensemble sélectionné de cas d’usage. Si vous n’avez pas été invité à utiliser la page Activation de Defender pour Identity, utilisez plutôt notre guide de déploiement main.

Configuration requise

Avant d’activer les fonctionnalités de Defender pour Identity sur votre contrôleur de domaine, assurez-vous que votre environnement est conforme aux conditions préalables de cette section.

Conflits de capteur Defender pour Identity

La configuration décrite dans cet article ne prend pas en charge l’installation côte à côte avec un capteur Defender pour Identity existant et n’est pas recommandée en remplacement du capteur Defender pour Identity.

Assurez-vous que le contrôleur de domaine dans lequel vous envisagez d’activer les fonctionnalités Defender pour Identity n’a pas de capteur Defender pour Identity déployé.

Configuration requise

Les fonctionnalités de Direct Defender pour Identity sont prises en charge uniquement sur les contrôleurs de domaine, à l’aide de l’un des systèmes d’exploitation suivants :

• Windows Server 2019
• Windows Server 2022

La mise à jour cumulative de mars 2024 doit également être installée.

Importante

Après l’installation de la mise à jour cumulative de mars 2024, LSASS peut rencontrer une fuite de mémoire sur les contrôleurs de domaine lorsque les contrôleurs domaine Active Directory locaux et cloud servicent des demandes d’authentification Kerberos.

Ce problème est résolu dans le KB5037422 de mise à jour hors bande.

Intégration de Defender pour point de terminaison

Votre contrôleur de domaine doit être intégré à Microsoft Defender pour point de terminaison.

Pour plus d’informations, consultez Intégrer un serveur Windows.

Autorisations requises

Pour accéder à la page Activation de Defender pour Identity, vous devez être administrateur de la sécurité ou disposer des autorisations RBAC unifiées suivantes :

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Contrôle d’accès en fonction du rôle unifié RBAC
• Créer un rôle pour accéder aux rôles et aux autorisations et les gérer

Prérequis en matière de connectivité

Les fonctionnalités de Defender pour Identity directement sur les contrôleurs de domaine utilisent des points de terminaison d’URL Defender pour point de terminaison pour la communication, y compris les URL simplifiées.

Pour plus d’informations, consultez Configurer votre environnement réseau pour garantir la connectivité avec Defender pour point de terminaison.

Configurer l’audit Windows

Les détections Defender pour Identity s’appuient sur des entrées spécifiques du journal des événements Windows pour améliorer les détections et fournir des informations supplémentaires sur les utilisateurs effectuant des actions spécifiques, telles que les connexions NTLM et les modifications de groupe de sécurité.

Configurez la collecte d’événements Windows sur votre contrôleur de domaine pour prendre en charge les détections Defender pour Identity. Pour plus d’informations, consultez Collecte d’événements avec Microsoft Defender pour Identity et Configurer des stratégies d’audit pour les journaux d’événements Windows.

Vous pouvez utiliser le module PowerShell Defender pour Identity pour configurer les paramètres requis. Pour plus d’informations, reportez-vous aux rubriques suivantes :

• DefenderForIdentity Module
• Defender pour Identity dans le PowerShell Gallery

Par exemple, la commande suivante définit tous les paramètres du domaine, crée des objets de stratégie de groupe et les lie.

Set-MDIConfiguration -Mode Domain -Configuration All

Activer les fonctionnalités de Defender pour Identity

Après avoir vérifié que votre environnement est entièrement configuré, activez les fonctionnalités Microsoft Defender pour Identity sur votre contrôleur de domaine.

1. Dans le portail Defender, sélectionnez Paramètres >Activation des identités>.

   La page Activation répertorie tous les contrôleurs de domaine détectés et éligibles.

2. Sélectionnez le contrôleur de domaine dans lequel vous souhaitez activer les fonctionnalités de Defender pour Identity, puis sélectionnez Activer. Confirmez votre sélection lorsque vous y êtes invité.

Une fois l’activation terminée, une bannière verte de réussite s’affiche. Dans la bannière, sélectionnez Cliquez ici pour afficher les serveurs intégrés pour accéder à la page Paramètres > Capteurs d’identités>, où vous pouvez case activée l’intégrité de votre capteur.

Tester les fonctionnalités activées

La première fois que vous activez les fonctionnalités Defender pour Identity sur votre contrôleur de domaine, il peut s’avérer nécessaire d’afficher jusqu’à une heure pour que le premier capteur s’affiche comme Étant en cours d’exécution sur la page Capteurs . Les activations suivantes s’affichent dans les cinq minutes.

Les fonctionnalités de Defender pour Identity sur les contrôleurs de domaine prennent actuellement en charge les fonctionnalités Defender pour Identity suivantes :

• Fonctionnalités d’investigation sur le tableau de bord ITDR, l’inventaire des identités et les données de repérage avancée des identités
• Recommandations relatives à la posture de sécurité spécifiées
• Détections d’alertes spécifiées
• Actions de correction
• Interruption des attaques automatiques

Utilisez les procédures suivantes pour tester les fonctionnalités de Defender pour Identity dans votre environnement sur un contrôleur de domaine.

Vérifier le tableau de bord ITDR

Dans le portail Defender, sélectionnez Tableau de bord des identités > et passez en revue les détails affichés, en recherchant les résultats attendus de votre environnement.

Pour plus d’informations, consultez Utiliser le tableau de bord ITDR de Defender pour Identity (préversion).

Confirmer les détails de la page d’entité

Vérifiez que les entités, telles que les contrôleurs de domaine, les utilisateurs et les groupes, sont remplies comme prévu.

Dans le portail Defender, case activée pour obtenir les informations suivantes :

• Entités de l’appareil : sélectionnez Ressources > Appareils, puis sélectionnez l’ordinateur de votre nouveau capteur. Les événements Defender pour Identity s’affichent sur l’appareil chronologie.

• Entités utilisateur. Sélectionnez Ressources > Utilisateurs et case activée pour les utilisateurs d’un domaine nouvellement intégré. Vous pouvez également utiliser l’option recherche globale pour rechercher des utilisateurs spécifiques. Les pages de détails de l’utilisateur doivent inclure les données Vue d’ensemble, Observée dans organization et Chronologie.

• Entités de groupe : utilisez la recherche globale pour rechercher un groupe d’utilisateurs ou un tableau croisé dynamique à partir d’une page de détails d’utilisateur ou d’appareil où les détails du groupe sont affichés. Vérifiez les détails de l’appartenance au groupe, affichez les utilisateurs du groupe et les données de chronologie de groupe.

  Si aucune donnée d’événement n’est trouvée sur le groupe chronologie, vous devrez peut-être en créer manuellement. Par exemple, pour ce faire, ajoutez et supprimez des utilisateurs du groupe dans Active Directory.

Pour plus d’informations, consultez Examiner les ressources.

Tester les tables de chasse avancées

Dans la page Repérage avancé du portail Defender, utilisez les exemples de requêtes suivants pour case activée que les données apparaissent dans les tables pertinentes comme prévu pour votre environnement :

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Pour plus d’informations, consultez Repérage avancé dans le portail Microsoft Defender.

Tester les recommandations ispm (Identity Security Posture Management)

Les fonctionnalités de Defender pour Identity sur les contrôleurs de domaine prennent en charge les évaluations ISPM suivantes :

• Installer le capteur Defender pour Identity sur tous les contrôleurs de domaine
• Utilisation de Microsoft LAPS
• Résoudre les configurations de domaine non sécurisé
• Définir un compte honeytoken
• Attributs de compte non sécurisés
• Attributs d’historique SID non sécurisés

Nous vous recommandons de simuler un comportement à risque dans un environnement de test pour déclencher les évaluations prises en charge et vérifier qu’elles apparaissent comme prévu. Par exemple :

1. Déclenchez une nouvelle recommandation Résoudre les configurations de domaine non sécurisées en définissant votre configuration Active Directory sur un état non conforme, puis en la ramenant à un état conforme. Par exemple, exécutez les commandes suivantes :

   Pour définir un état non conforme

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Pour le retourner à un état conforme :

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Pour case activée votre configuration locale :

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. Dans Niveau de sécurité Microsoft, sélectionnez Actions recommandées pour case activée pour une nouvelle recommandation Résoudre les configurations de domaine non sécurisé. Vous pouvez filtrer les recommandations du produit Defender pour Identity .

Pour plus d’informations, consultez Évaluations de la posture de sécurité de Microsoft Defender pour Identity

Fonctionnalité d’alerte de test

Les alertes suivantes sont prises en charge par les fonctionnalités de Defender pour Identity sur les contrôleurs de domaine :

• Reconnaissance de l’énumération de compte
• Reconnaissance des attributs Active Directory à l’aide de LDAP
• exécution de code à distance Exchange Server (CVE-2021-26855)
• Attributs utilisateur Honeytoken modifiés
• Honeytoken a été interrogé via LDAP
• Activité d’authentification Honeytoken
• Modification de l’appartenance au groupe Honeytoken
• Tentative d’exécution de code à distance
• Reconnaissance du principal de sécurité (LDAP)
• Création d’un service suspect
• Suspicion d’attaque de relais NTLM (compte Exchange)

• Modification suspecte de l’attribut de délégation contrainte basée sur les ressources par un compte d’ordinateur
• Ajouts suspects à des groupes sensibles
• Modification suspecte d’un attribut dNSHostName (CVE-2022-26923)
• Modification suspecte d’un attribut sAMNameAccount (CVE-2021-42278 et CVE-2021-42287)
• Suspicion d’attaque DCShadow (promotion du contrôleur de domaine)
• Suspicion d’attaque DFSCoerce à l’aide du protocole Distributed File System 
• Suspicion d’attaque DCShadow (demande de réplication de contrôleur de domaine)
• Suspicion de prise de contrôle de compte à l’aide d’informations d’identification fantômes
• Suspicion d’injection de SID-History
• Suspicion de lecture de clé DKM AD FS

Tester la fonctionnalité d’alerte en simulant l’activité à risque dans un environnement de test. Par exemple :

• Marquez un compte en tant que compte honeytoken, puis essayez de vous connecter au compte honeytoken sur le contrôleur de domaine activé.
• Créez un service suspect sur votre contrôleur de domaine.
• Exécutez une commande à distance sur votre contrôleur de domaine en tant qu’administrateur connecté à partir de votre station de travail.

Pour plus d’informations, consultez Examiner les alertes de sécurité Defender pour Identity dans Microsoft Defender XDR.

Tester les actions de correction

Tester les actions de correction sur un utilisateur de test. Par exemple :

1. Dans le portail Defender, accédez à la page des détails de l’utilisateur pour un utilisateur de test.

2. Dans le menu d’options, sélectionnez l’un ou l’ensemble des éléments suivants, un par un :

   • Désactiver l’utilisateur dans AD
   • Activer l’utilisateur dans AD
   • Forcer la réinitialisation du mot de passe

3. Recherchez l’activité attendue dans Active Directory.

Remarque

La version actuelle ne collecte pas correctement les indicateurs de contrôle de compte d’utilisateur (UAC). Par conséquent, les utilisateurs désactivés apparaissent toujours comme Activé dans le portail.

Pour plus d’informations, consultez Actions de correction dans Microsoft Defender pour Identity.

Désactiver les fonctionnalités de Defender pour Identity sur votre contrôleur de domaine

Si vous souhaitez désactiver les fonctionnalités de Defender pour Identity sur votre contrôleur de domaine, supprimez-le de la page Capteurs :

1. Dans le portail Defender, sélectionnez Paramètres > Capteurs d’identités>.
2. Sélectionnez le contrôleur de domaine dans lequel vous souhaitez désactiver les fonctionnalités de Defender pour Identity, sélectionnez Supprimer, puis confirmez votre sélection.

La désactivation des fonctionnalités Defender pour Identity de votre contrôleur de domaine ne supprime pas le contrôleur de domaine de Defender pour point de terminaison. Pour plus d’informations, consultez la documentation defender pour point de terminaison.

Étapes suivantes

Pour plus d’informations, consultez Gérer et mettre à jour Microsoft Defender pour Identity capteurs.