Distribuer Microsoft Defender for identitet med Microsoft Defender XDR

Denne artikkelen gir en oversikt over den fullstendige distribusjonsprosessen for Microsoft Defender for identitet, inkludert trinn for forberedelse, distribusjon og ekstra trinn for bestemte scenarioer.

Defender for Identity er en hovedkomponent i en nulltillit strategi og itdr-distribusjonen (Identity Threat Detection and Response) eller utvidet gjenkjenning og respons (XDR) med Microsoft Defender XDR. Defender for Identity bruker signaler fra servere for identitetsinfrastruktur som domenekontrollere, AD FS / AD CS- og Entra Connect-servere til å oppdage trusler som privilegiseskalering eller høyrisiko lateral bevegelse, og rapporter om enkelt utnyttede identitetsproblemer som ubegrenset Kerberos-delegering, for korrigering av sikkerhetsteamet.

Hvis du vil ha et raskt sett med utrullingsuthevinger, kan du se hurtiginstallasjonsveiledningen.

Forutsetninger

Før du begynner, må du kontrollere at du har tilgang til Microsoft Defender XDR minst som sikkerhetsadministrator, og at du har én av følgende lisenser:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Sikkerhet
• Microsoft 365 F5 Security + Compliance*
• En frittstående Defender for Identity-lisens

* Begge F5-lisensene krever Microsoft 365 F1/F3 eller Office 365 F3 og Enterprise Mobility + Security E3.

Hent lisenser direkte via Microsoft 365-portalen , eller bruk lisensieringsmodellen for Cloud Solution Partner (CSP).

Hvis du vil ha mer informasjon, kan du se vanlige spørsmål om lisensiering og personvern og hva er Defender for identitetsroller og -tillatelser?

Begynn å bruke Microsoft Defender XDR

Denne delen beskriver hvordan du starter pålasting til Defender for Identitet.

1. Logg på Microsoft Defender-portalen.
2. Velg et element fra navigasjonsmenyen, for eksempel Hendelser & varsler, jakt, handlingssenter eller trusselanalyse for å starte pålastingsprosessen.

Deretter får du muligheten til å distribuere støttede tjenester, inkludert Microsoft Defender for identitet. Skykomponenter som kreves for Defender for Identitet, legges automatisk til når du åpner siden Innstillinger for Defender for identitet.

Hvis du vil ha mer informasjon, kan du se:

• Microsoft Defender for identitet i Microsoft Defender XDR
• Kom i gang med Microsoft Defender XDR
• Slå på Microsoft Defender XDR
• Distribuer støttede tjenester
• Vanlige spørsmål når du slår på Microsoft Defender XDR

Viktig

Defender for Identity-datasentre distribueres for øyeblikket i Europa, Storbritannia, Sveits, Nord-Amerika/Sentral-Amerika/Karibia, Australia, Øst, Asia og India. Arbeidsområdet (forekomsten) opprettes automatisk i Azure-området nærmest den geografiske plasseringen til den Microsoft Entra leieren. Når det er opprettet, kan ikke Defender for Identity-arbeidsområder flyttes.

Planlegge og klargjøre

Bruk følgende fremgangsmåte for å klargjøre distribusjon av Defender for identitet:

1. Kontroller at du har alle nødvendige forutsetninger .

2. Planlegg Defender for identitetskapasitet.

Tips

Vi anbefaler at du kjørerTest-MdiReadiness.ps1-skriptet for å teste og se om miljøet har de nødvendige forutsetningene.

Koblingen til Test-MdiReadiness.ps1 skriptet er også tilgjengelig fra Microsoft Defender XDR, på identitetsverktøysiden > (forhåndsvisning).

Distribuer Defender for identitet

Når du har klargjort systemet, kan du bruke følgende fremgangsmåte for å distribuere Defender for identitet:

1. Kontroller tilkoblingen til Defender for Identitet-tjenesten.
2. Last ned Defender for identitetssensoren.
3. Installer Defender for Identity-sensoren.
4. Konfigurer Defender for identitetssensoren for å begynne å motta data.

Konfigurasjon etter distribusjon

Fremgangsmåtene nedenfor hjelper deg med å fullføre distribusjonsprosessen:

• Konfigurer Windows-hendelsessamling. Hvis du vil ha mer informasjon, kan du se Hendelsessamling med Microsoft Defender for identitet og Konfigurere overvåkingspolicyer for Windows-hendelseslogger.

• Aktiver og konfigurer enhetlig rollebasert tilgangskontroll (RBAC) for Defender for Identity.

• Konfigurer en katalogtjenestekonto (DSA) for bruk med Defender for Identitet. Selv om en DSA er valgfri i enkelte scenarioer, anbefaler vi at du konfigurerer en DSA for Defender for Identity for full sikkerhetsdekning. Når du for eksempel har konfigurert en DSA, brukes DSA til å koble til domenekontrolleren ved oppstart. En DSA kan også brukes til å spørre domenekontrolleren etter data om enheter sett i nettverkstrafikk, overvåkede hendelser og overvåkede ETW-aktiviteter

• Konfigurer eksterne anrop til SAM etter behov. Selv om dette trinnet er valgfritt, anbefaler vi at du konfigurerer eksterne anrop til SAM-R for lateral bevegelsesbanegjenkjenning med Defender for Identity.

Tips

Som standard spør Defender for Identity-sensorer katalogen ved hjelp av LDAP på portene 389 og 3268. Hvis du vil bytte til LDAPS på port 636 og 3269, åpner du en støttesak. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet kundestøtte.

Viktig

Installering av en Defender for Identity-sensor på en AD FS / AD CS og Entra Connect-servere krever ekstra trinn. Hvis du vil ha mer informasjon, kan du se Konfigurere sensorer for AD FS, AD CS og Entra Connect.

Neste trinn:

Forutsetninger for Defender for identitet »