Attivare le funzionalità Microsoft Defender per identità direttamente in un controller di dominio

Articolo
01/07/2025

Microsoft Defender per endpoint i clienti, che hanno già eseguito l'onboarding dei controller di dominio in Defender per endpoint, possono attivare le funzionalità di Microsoft Defender per identità direttamente in un controller di dominio anziché usare un Microsoft Defender per identità sensore.

Questo articolo descrive come attivare e testare le funzionalità di Microsoft Defender per identità nel controller di dominio.

Importante

Le informazioni contenute in questo articolo si riferiscono a una funzionalità attualmente in disponibilità limitata per un set selezionato di casi d'uso. Se non è stato richiesto di usare la pagina Attivazione di Defender per identità, usare invece la guida alla distribuzione principale .

Prerequisiti

Prima di attivare le funzionalità di Defender per identità nel controller di dominio, assicurarsi che l'ambiente sia conforme ai prerequisiti in questa sezione.

Conflitti dei sensori defender per identità

La configurazione descritta in questo articolo non supporta l'installazione side-by-side con un sensore Defender per identità esistente e non è consigliata come sostituzione del sensore Defender per identità.

Assicurarsi che il controller di dominio in cui si prevede di attivare le funzionalità di Defender per identità non disponga di un sensore Defender per identità distribuito.

Requisiti di sistema

Le funzionalità di Direct Defender per identità sono supportate solo nei controller di dominio, usando uno dei sistemi operativi seguenti:

Windows Server 2019
Windows Server 2022

È inoltre necessario che sia installato l'aggiornamento cumulativo di marzo 2024 .

Importante

Dopo aver installato l'aggiornamento cumulativo di marzo 2024, LSASS potrebbe riscontrare una perdita di memoria nei controller di dominio quando vengono richieste di autenticazione Kerberos del servizio Controller di Dominio di Active Directory locali e basati sul cloud.

Questo problema viene risolto nella KB5037422 di aggiornamento fuori banda.

Onboarding di Defender per endpoint

È necessario eseguire l'onboarding del controller di dominio in Microsoft Defender per endpoint.

Per altre informazioni, vedere Onboarding di un server Windows.

Autorizzazioni necessarie

Per accedere alla pagina Attivazione di Defender per identità, è necessario essere un amministratore della sicurezza o disporre delle autorizzazioni di controllo degli accessi in base al ruolo unificate seguenti:

Authorization and settings / System settings (Read and manage)
Authorization and settings / Security setting (All permissions)

Per altre informazioni, vedere:

Requisiti di Connettività

Le funzionalità di Defender per identità direttamente nei controller di dominio usano gli endpoint dell'URL di Defender per endpoint per la comunicazione, inclusi gli URL semplificati.

Per altre informazioni, vedere Configurare l'ambiente di rete per garantire la connettività con Defender per endpoint.

Configurare il controllo di Windows

I rilevamenti di Defender per identità si basano su voci specifiche del registro eventi di Windows per migliorare i rilevamenti e fornire informazioni aggiuntive sugli utenti che eseguono azioni specifiche, ad esempio gli accessi NTLM e le modifiche ai gruppi di sicurezza.

Configurare la raccolta di eventi di Windows nel controller di dominio per supportare i rilevamenti di Defender per identità. Per altre informazioni, vedere Raccolta di eventi con Microsoft Defender per identità e Configurare i criteri di controllo per i log eventi di Windows.

È possibile usare il modulo PowerShell defender per identità per configurare le impostazioni necessarie. Per altre informazioni, vedere:

Ad esempio, il comando seguente definisce tutte le impostazioni per il dominio, crea oggetti Criteri di gruppo e li collega.

Set-MDIConfiguration -Mode Domain -Configuration All

Attivare le funzionalità di Defender per identità

Dopo aver verificato che l'ambiente sia completamente configurato, attivare le funzionalità di Microsoft Defender per identità nel controller di dominio.

Nel portale di Defender selezionare Attivazione delle identità delle impostazioni >>.

Nella pagina Attivazione sono elencati tutti i controller di dominio rilevati e idonei.
Selezionare il controller di dominio in cui si desidera attivare le funzionalità di Defender per identità e quindi selezionare Attiva. Confermare la selezione quando richiesto.

Al termine dell'attivazione, viene visualizzato un banner verde per l'esito positivo. Nel banner selezionare Fare clic qui per visualizzare i server di cui è stato eseguito l'onboarding per passare alla pagina Settings Identities Sensors (Sensori di identità delle impostazioni >>), in cui è possibile controllare l'integrità del sensore.

Testare le funzionalità attivate

La prima volta che si attivano le funzionalità di Defender per identità nel controller di dominio, potrebbero essere necessarie fino a un'ora prima che il primo sensore venga visualizzato come In esecuzione nella pagina Sensori . Le attivazioni successive vengono visualizzate entro cinque minuti.

Le funzionalità di Defender per identità nei controller di dominio supportano attualmente le funzionalità di Defender per identità seguenti:

Funzionalità di indagine nel dashboard ITDR, nell'inventario delle identità e nei dati di ricerca avanzata delle identità
Indicazioni sul comportamento di sicurezza specificate
Rilevamenti di avvisi specificati
Azioni correttive
Interruzione automatica degli attacchi

Usare le procedure seguenti per testare l'ambiente per le funzionalità di Defender per identità in un controller di dominio.

Controllare il dashboard ITDR

Nel portale di Defender selezionare Dashboard identità > ed esaminare i dettagli visualizzati, verificando la presenza dei risultati previsti dall'ambiente.

Per altre informazioni, vedere Usare il dashboard ITDR di Defender per identità (anteprima).

Confermare i dettagli della pagina dell'entità

Verificare che le entità, ad esempio controller di dominio, utenti e gruppi, siano popolate come previsto.

Nel portale di Defender verificare i dettagli seguenti:

Entità dispositivo: selezionare Dispositivi asset >e selezionare il computer per il nuovo sensore. Gli eventi di Defender per identità vengono visualizzati nella sequenza temporale del dispositivo.
Entità utente. Selezionare Asset > Utenti e verificare la presenza di utenti da un nuovo dominio di cui è stato eseguito l'onboarding. In alternativa, usare l'opzione ricerca globale per cercare utenti specifici. Le pagine dei dettagli utente devono includere i dati Panoramica, Osservata nell'organizzazione e Sequenza temporale .
Entità di gruppo: usare la ricerca globale per trovare un gruppo di utenti o passare da una pagina dei dettagli di un utente o dispositivo in cui vengono visualizzati i dettagli del gruppo. Verificare i dettagli dell'appartenenza al gruppo, visualizzare gli utenti del gruppo e i dati della sequenza temporale del gruppo.

Se non vengono trovati dati sugli eventi nella sequenza temporale del gruppo, potrebbe essere necessario crearne alcuni manualmente. A tale scopo, ad esempio, aggiungere e rimuovere utenti dal gruppo in Active Directory.

Per altre informazioni, vedere Analizzare gli asset.

Testare le tabelle di ricerca avanzate

Nella pagina Ricerca avanzata del portale di Defender usare le query di esempio seguenti per verificare che i dati siano visualizzati nelle tabelle pertinenti come previsto per l'ambiente:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Per altre informazioni, vedere Ricerca avanzata nel portale di Microsoft Defender.

Consigli di Test Identity Security Posture Management (ISPM)

Le funzionalità di Defender per identità nei controller di dominio supportano le valutazioni ISPM seguenti:

Installare Defender per il sensore di identità in tutti i controller di dominio
Utilizzo di Microsoft LAPS
Risolvere le configurazioni di dominio non sicure
Impostare un account honeytoken
Attributi di account non sicuri
Attributi della cronologia SID non sicuri

È consigliabile simulare un comportamento rischioso in un ambiente di test per attivare le valutazioni supportate e verificare che vengano visualizzate come previsto. Ad esempio:

Attivare una nuova raccomandazione Risolvere configurazioni di dominio non sicure impostando la configurazione di Active Directory su uno stato non conforme e quindi restituendola a uno stato conforme. Ad esempio, eseguire i comandi seguenti:

Per impostare uno stato non conforme
```
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
```
Per restituirlo a uno stato conforme:
```
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
```
Per controllare la configurazione locale:
```
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
```
In Microsoft Secure Score selezionare Azioni consigliate per verificare la disponibilità di una nuova raccomandazione risolvere le configurazioni di dominio non sicure . È possibile filtrare le raccomandazioni in base al prodotto Defender per identità .

Per altre informazioni, vedere valutazioni del comportamento di sicurezza di Microsoft Defender per identità

Funzionalità di avviso di test

Gli avvisi seguenti sono supportati dalle funzionalità di Defender per identità nei controller di dominio:

Testare la funzionalità degli avvisi simulando attività rischiose in un ambiente di test. Ad esempio:

Contrassegnare un account come account honeytoken e quindi provare ad accedere all'account honeytoken sul controller di dominio attivato.
Creare un servizio sospetto nel controller di dominio.
Eseguire un comando remoto nel controller di dominio come amministratore che ha eseguito l'accesso dalla workstation.

Per altre informazioni, vedere Analizzare gli avvisi di sicurezza di Defender per identità in Microsoft Defender XDR.

Azioni di correzione dei test

Testare le azioni di correzione in un utente di test. Ad esempio:

Nel portale di Defender passare alla pagina dei dettagli utente per un utente di test.
Dal menu delle opzioni selezionare una o tutte le opzioni seguenti, una alla volta:
- Disabilitare l'utente in Active Directory
- Abilitare l'utente in Active Directory
- Forzare la reimpostazione della password
Controllare Active Directory per l'attività prevista.

Nota

La versione corrente non raccoglie correttamente i flag controllo dell'account utente. Pertanto, gli utenti disabilitati vengono comunque visualizzati come Abilitati nel portale.

Per altre informazioni, vedere Azioni di correzione in Microsoft Defender per identità.

Disattivare le funzionalità di Defender per identità nel controller di dominio

Se si vogliono disattivare le funzionalità di Defender per identità nel controller di dominio, eliminarle dalla pagina Sensori :

Nel portale di Defender selezionare Impostazioni > Identità > Sensori.
Selezionare il controller di dominio in cui disattivare le funzionalità di Defender per identità, selezionare Elimina e confermare la selezione.

La disattivazione delle funzionalità di Defender per identità dal controller di dominio non rimuove il controller di dominio da Defender per endpoint. Per altre informazioni, vedere la documentazione di Defender per endpoint.

Passaggi successivi

Per altre informazioni, vedere Gestire e aggiornare Microsoft Defender per identità sensori.

Condividi tramite