Pilotare e distribuire Microsoft Defender per identità
Si applica a:
- Microsoft Defender XDR
Questo articolo fornisce un flusso di lavoro per il piloting e la distribuzione di Microsoft Defender per identità nell'organizzazione. È possibile usare queste raccomandazioni per eseguire l'onboarding di Microsoft Defender per identità come singolo strumento di cybersecurity o come parte di una soluzione end-to-end con Microsoft Defender XDR.
Questo articolo presuppone che l'utente disponga di un tenant di Microsoft 365 di produzione e stia pilotando e distribuendo Microsoft Defender per identità in questo ambiente. Questa procedura manterrà tutte le impostazioni e le personalizzazioni configurate durante il progetto pilota per la distribuzione completa.
Defender per Office 365 contribuisce a un'architettura Zero Trust contribuendo a prevenire o ridurre i danni aziendali causati da una violazione. Per altre informazioni, vedere Prevenire o ridurre i danni aziendali causati da uno scenario aziendale di violazione nel framework di adozione di Microsoft Zero Trust.
Distribuzione end-to-end per Microsoft Defender XDR
Questo è l'articolo 2 di 6 di una serie che consente di distribuire i componenti di Microsoft Defender XDR, inclusa l'analisi e la risposta agli eventi imprevisti.
Gli articoli di questa serie corrispondono alle fasi seguenti della distribuzione end-to-end:
| Fase | Collegamento |
|---|---|
| R. Avviare il progetto pilota | Avviare il progetto pilota |
| B. Pilotare e distribuire componenti Microsoft Defender XDR |
-
Pilotare e distribuire Defender per identità (questo articolo) - Pilotare e distribuire Defender per Office 365 - Pilotare e distribuire Defender per endpoint - Pilotare e distribuire Microsoft Defender for Cloud Apps |
| C. Analizzare e rispondere alle minacce | Praticare l'indagine e la risposta agli eventi imprevisti |
Pilotare e distribuire il flusso di lavoro per Defender per identità
Il diagramma seguente illustra un processo comune per distribuire un prodotto o un servizio in un ambiente IT.
Per iniziare, valutare il prodotto o il servizio e come funzionerà all'interno dell'organizzazione. Si pilota quindi il prodotto o il servizio con un subset adeguatamente piccolo dell'infrastruttura di produzione per il test, l'apprendimento e la personalizzazione. Quindi, aumentare gradualmente l'ambito della distribuzione fino a quando non viene coperta l'intera infrastruttura o l'organizzazione.
Ecco il flusso di lavoro per il piloting e la distribuzione di Defender for Identity nell'ambiente di produzione.
attenersi alla seguente procedura:
- Configurare l'istanza di Defender per Identity
- Installare e configurare sensori
- Configurare le impostazioni del registro eventi e del proxy nei computer con il sensore
- Consenti a Defender per identità di identificare gli amministratori locali in altri computer
- Configurare le raccomandazioni di benchmark per l'ambiente delle identità
- Provare le funzionalità
Ecco i passaggi consigliati per ogni fase di distribuzione.
| Fase di distribuzione | Descrizione |
|---|---|
| Valutazione | Eseguire la valutazione del prodotto per Defender per identità. |
| Distribuzione pilota | Eseguire i passaggi da 1 a 6 per un subset appropriato di server con sensori nell'ambiente di produzione. |
| Distribuzione completa | Eseguire i passaggi da 2 a 5 per i server rimanenti, espandendo oltre il progetto pilota per includerli tutti. |
Protezione dell'organizzazione dagli hacker
Defender per identità offre protezione avanzata autonomamente. Tuttavia, in combinazione con le altre funzionalità di Microsoft Defender XDR, Defender per identità fornisce dati nei segnali condivisi che insieme consentono di arrestare gli attacchi.
Di seguito è riportato un esempio di attacco informatico e di come i componenti di Microsoft Defender XDR consentono di rilevarlo e attenuarlo.
Defender per identità raccoglie i segnali dai controller di dominio Active Directory Domain Services (AD DS) e dai server che eseguono Active Directory Federation Services (AD FS) e Servizi certificati Active Directory (AD CS). Usa questi segnali per proteggere l'ambiente di identità ibrido, inclusa la protezione dagli hacker che usano account compromessi per spostarsi lateralmente tra le workstation nell'ambiente locale.
Microsoft Defender XDR correla i segnali provenienti da tutti i componenti Microsoft Defender per fornire la storia completa dell'attacco.
Architettura di Defender per identità
Microsoft Defender per identità è completamente integrato con Microsoft Defender XDR e sfrutta i segnali provenienti dalle identità Active Directory locale per identificare, rilevare e analizzare meglio le minacce avanzate dirette all'organizzazione.
Distribuire Microsoft Defender per identità per aiutare i team secOps (Security Operations) a offrire una soluzione ITDR (Identity Threat Detection and Response) moderna in ambienti ibridi, tra cui:
- Prevenire le violazioni, usando valutazioni proattive del comportamento di sicurezza delle identità
- Rilevare le minacce, usando l'analisi in tempo reale e l'intelligence dati
- Analizzare le attività sospette, usando informazioni sugli eventi imprevisti chiare e interattive
- Rispondere agli attacchi usando la risposta automatica alle identità compromesse. Per altre informazioni, vedere Che cos'è Microsoft Defender per identità?
Defender per identità protegge gli account utente e gli account utente di Active Directory Domain Services locali sincronizzati con il tenant Microsoft Entra ID. Per proteggere un ambiente costituito solo da account utente Microsoft Entra, vedere Microsoft Entra ID Protection.
Il diagramma seguente illustra l'architettura per Defender per identità.
In questa illustrazione:
- I sensori installati nei controller di dominio di Servizi di dominio Active Directory e nei server servizi certificati Active Directory analizzano i log e il traffico di rete e li inviano a Microsoft Defender per identità per l'analisi e la creazione di report.
- I sensori possono anche analizzare le autenticazioni AD FS per i provider di identità di terze parti e quando Microsoft Entra ID è configurato per l'uso dell'autenticazione federata (le righe tratteggiate nell'illustrazione).
- Microsoft Defender per identità condivide i segnali per Microsoft Defender XDR.
I sensori defender per identità possono essere installati direttamente nei server seguenti:
Controller di dominio di Servizi di dominio Active Directory
Il sensore monitora direttamente il traffico del controller di dominio, senza la necessità di un server dedicato o la configurazione del mirroring delle porte.
Server servizi certificati Active Directory
Server AD FS
Il sensore monitora direttamente il traffico di rete e gli eventi di autenticazione.
Per un'analisi più approfondita dell'architettura di Defender per identità, vedere architettura Microsoft Defender per identità.
Passaggio 1: Configurare l'istanza di Defender per Identità
In primo luogo, Defender per identità richiede alcune operazioni preliminari per garantire che i componenti di identità e rete locali soddisfino i requisiti minimi. Usare l'articolo Microsoft Defender per identità prerequisiti come elenco di controllo per assicurarsi che l'ambiente sia pronto.
Accedere quindi al portale di Defender per identità per creare l'istanza e quindi connettere questa istanza all'ambiente Active Directory.
| Passaggio | Descrizione | Ulteriori informazioni |
|---|---|---|
| 1 | Creare l'istanza di Defender per Identity | Avvio rapido: Crea l'istanza di Microsoft Defender per identità |
| 2 | Connettere l'istanza di Defender per identità alla foresta di Active Directory | Avvio rapido: Connettersi alla foresta di Active Directory |
Passaggio 2: Installare e configurare i sensori
Scaricare, installare e configurare il sensore Defender per identità nei controller di dominio, nei server AD FS e AD CS nell'ambiente locale.
| Passaggio | Descrizione | Ulteriori informazioni |
|---|---|---|
| 1 | Determinare il Microsoft Defender per identità sensori necessari. | Pianificare la capacità di Microsoft Defender per identità |
| 2 | Scaricare il pacchetto di configurazione del sensore | Avvio rapido: Scaricare il pacchetto di configurazione del sensore di Microsoft Defender per identità |
| 3 | Installare il sensore Defender per identità | Avvio rapido: Installare il sensore Microsoft Defender per identità |
| 4 | Configurare il sensore | Configurare le impostazioni del sensore Microsoft Defender per identità |
Passaggio 3: Configurare le impostazioni del registro eventi e del proxy nei computer con il sensore
Nei computer in cui è stato installato il sensore configurare la raccolta dei log eventi di Windows e le impostazioni proxy Internet per abilitare e migliorare le funzionalità di rilevamento.
| Passaggio | Descrizione | Ulteriori informazioni |
|---|---|---|
| 1 | Configurare la raccolta di log eventi di Windows | Configurare la raccolta di eventi di Windows |
| 2 | Configurare le impostazioni del proxy Internet | Configurare le impostazioni del proxy dell'endpoint e della connettività Internet per il sensore di Microsoft Defender per identità |
Passaggio 4: Consentire a Defender for Identity di identificare gli amministratori locali in altri computer
Microsoft Defender per identità rilevamento dei percorsi di spostamento laterale si basa su query che identificano gli amministratori locali in computer specifici. Queste query vengono eseguite con il protocollo SAM-R, usando l'account defender per il servizio di identità.
Per garantire che i client e i server Windows consentano all'account di Defender per identità di eseguire SAM-R, è necessario apportare una modifica a Criteri di gruppo per aggiungere l'account del servizio Defender per identità oltre agli account configurati elencati nei criteri di accesso alla rete. Assicurarsi di applicare criteri di gruppo a tutti i computer tranne i controller di dominio.
Per istruzioni su come eseguire questa operazione, vedere Configurare Microsoft Defender per identità per effettuare chiamate remote a SAM.
Passaggio 5: Configurare le raccomandazioni di benchmark per l'ambiente delle identità
Microsoft fornisce consigli sui benchmark di sicurezza per i clienti che usano i servizi cloud Microsoft. Azure Security Benchmark (ASB) offre procedure consigliate e consigli prescrittivi per migliorare la sicurezza di carichi di lavoro, dati e servizi in Azure.
L'implementazione di queste raccomandazioni può richiedere del tempo per la pianificazione e l'implementazione. Anche se queste raccomandazioni aumentano notevolmente la sicurezza dell'ambiente delle identità, non dovrebbero impedire di continuare a valutare e implementare Microsoft Defender per identità. Queste raccomandazioni sono disponibili qui per la tua consapevolezza.
Passaggio 6: Provare le funzionalità
La documentazione di Defender per identità include le esercitazioni seguenti che illustrano il processo di identificazione e correzione dei vari tipi di attacco:
- Avvisi di ricognizione
- Avvisi delle credenziali compromesse
- Avvisi di spostamento laterale
- Avvisi di dominanza del dominio
- Avvisi di esfiltrazione
- Analizzare un utente
- Analizzare un computer
- Analizzare i percorsi di spostamento laterale
- Analizzare le entità
Integrazione SIEM
È possibile integrare Defender for Identity con Microsoft Sentinel o un servizio siem (Security Information and Event Management) generico per abilitare il monitoraggio centralizzato di avvisi e attività dalle app connesse. Con Microsoft Sentinel, è possibile analizzare in modo più completo gli eventi di sicurezza nell'organizzazione e creare playbook per una risposta efficace e immediata.
Microsoft Sentinel include un connettore Defender per identità. Per altre informazioni, vedere connettore Microsoft Defender per identità per Microsoft Sentinel.
Per informazioni sull'integrazione con sistemi SIEM di terze parti, vedere Integrazione SIEM generica.
Passaggio successivo
Incorporare quanto segue nei processi SecOps:
- Visualizzare il dashboard ITDR
- Visualizzare e gestire i problemi di integrità di Defender per identità
Passaggio successivo per la distribuzione end-to-end di Microsoft Defender XDR
Continuare la distribuzione end-to-end di Microsoft Defender XDR con Pilota e distribuire Defender per Office 365.
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.