Distribuire Microsoft Defender per identità con Microsoft Defender XDR

Questo articolo offre una panoramica del processo di distribuzione completo per Microsoft Defender per identità, inclusi i passaggi per la preparazione, la distribuzione e i passaggi aggiuntivi per scenari specifici.

Defender per identità è un componente primario di una strategia di Zero Trust e della distribuzione ITDR (Identity Threat Detection and Response) o XDR (Extended Detection and Response) con Microsoft Defender XDR. Defender per identità usa segnali provenienti dai server dell'infrastruttura di identità come controller di dominio, server AD FS/AD CS e Entra Connect per rilevare minacce come l'escalation dei privilegi o lo spostamento laterale ad alto rischio e segnala problemi di identità facilmente sfruttati, come la delega Kerberos non vincolata, per la correzione da parte del team di sicurezza.

Per un set rapido di elementi salienti della distribuzione, vedere Guida all'installazione rapida.

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a Microsoft Defender XDR almeno come amministratore della sicurezza e di avere una delle licenze seguenti:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Sicurezza
• Microsoft 365 F5 Sicurezza + conformità*
• Una licenza autonoma di Defender per identità

* Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 e Enterprise Mobility + Security E3.

Acquisire licenze direttamente tramite il portale di Microsoft 365 o usare il modello di licenza Cloud Solution Partner (CSP).

Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy e Informazioni sui ruoli e le autorizzazioni di Defender per identità.

Iniziare a usare Microsoft Defender XDR

Questa sezione descrive come iniziare l'onboarding in Defender per identità.

1. Accedere al portale di Microsoft Defender.
2. Dal menu di spostamento selezionare qualsiasi elemento, ad esempio Eventi imprevisti & avvisi, Ricerca, Centro notifiche o Analisi delle minacce per avviare il processo di onboarding.

Verrà quindi offerta l'opzione per distribuire i servizi supportati, tra cui Microsoft Defender per identità. I componenti cloud necessari per Defender per identità vengono aggiunti automaticamente quando si apre la pagina delle impostazioni di Defender per identità.

Per altre informazioni, vedere:

• Microsoft Defender per identità in Microsoft Defender XDR
• Introduzione a Microsoft Defender XDR
• Attivare Microsoft Defender XDR
• Distribuire i servizi supportati
• Domande frequenti sull'attivazione Microsoft Defender XDR

Importante

Attualmente, i data center defender per identità sono distribuiti in Europa, Regno Unito, Svizzera, America del Nord/America centrale/Caraibi, Australia orientale, Asia e India. L'area di lavoro (istanza) viene creata automaticamente nell'area di Azure più vicina alla posizione geografica del tenant Microsoft Entra. Dopo la creazione, le aree di lavoro di Defender per identità non sono mobili.

Pianificare e preparare

Per preparare la distribuzione di Defender per identità, seguire questa procedura:

1. Assicurarsi di avere tutti i prerequisiti necessari.

2. Pianificare la capacità di Defender per identità.

Consiglio

È consigliabile eseguire lo script Test-MdiReadiness.ps1 per testare e verificare se l'ambiente dispone dei prerequisiti necessari.

Il collegamento allo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).

Distribuire Defender per identità

Dopo aver preparato il sistema, seguire questa procedura per distribuire Defender per identità:

1. Verificare la connettività al servizio Defender per identità.
2. Scaricare il sensore Defender per identità.
3. Installare il sensore Defender per identità.
4. Configurare il sensore Defender per identità per iniziare a ricevere i dati.

Configurazione post-distribuzione

Le procedure seguenti consentono di completare il processo di distribuzione:

• Configurare la raccolta di eventi di Windows. Per altre informazioni, vedere Raccolta di eventi con Microsoft Defender per identità e Configurare i criteri di controllo per i log eventi di Windows.

• Abilitare e configurare il controllo degli accessi in base al ruolo unificato per Defender per identità.

• Configurare un account del servizio directory (DSA) da usare con Defender per identità. Anche se in alcuni scenari un DSA è facoltativo, è consigliabile configurare un DSA per Defender per identità per una copertura di sicurezza completa. Ad esempio, quando è configurato un DSA, il DSA viene usato per connettersi al controller di dominio all'avvio. Un DSA può essere usato anche per eseguire query sul controller di dominio per i dati sulle entità visualizzate nel traffico di rete, negli eventi monitorati e nelle attività ETW monitorate

• Configurare le chiamate remote a SAM in base alle esigenze. Anche se questo passaggio è facoltativo, è consigliabile configurare le chiamate remote a SAM-R per il rilevamento dei percorsi di spostamento laterale con Defender per identità.

Consiglio

Per impostazione predefinita, i sensori defender per identità eseguono query sulla directory usando LDAP sulle porte 389 e 3268. Per passare a LDAPS sulle porte 636 e 3269, aprire un caso di supporto. Per altre informazioni, vedere Microsoft Defender per identità supporto.

Importante

L'installazione di un sensore Defender per identità in un server AD FS/AD CS e Entra Connect richiede passaggi aggiuntivi. Per altre informazioni, vedere Configurazione dei sensori per AD FS, AD CS e Entra Connect.

Passaggio successivo

Prerequisiti di Defender per identità »