Microsoft Defender for Identity-mogelijkheden rechtstreeks op een domeincontroller activeren

Microsoft Defender voor Eindpunt klanten die hun domeincontrollers al hebben toegevoegd aan Defender for Endpoint, kunnen Microsoft Defender for Identity mogelijkheden rechtstreeks op een domeincontroller activeren in plaats van een Microsoft Defender for Identity sensor.

In dit artikel wordt beschreven hoe u Microsoft Defender for Identity mogelijkheden op uw domeincontroller activeert en test.

Belangrijk

De informatie in dit artikel heeft betrekking op een functie die momenteel beperkt beschikbaar is voor een selecte set use cases. Als u niet bent omgeleid om de activeringspagina van Defender for Identity te gebruiken, gebruikt u in plaats daarvan onze hoofdimplementatiehandleiding .

Vereisten

Voordat u de mogelijkheden van Defender for Identity op uw domeincontroller activeert, moet u ervoor zorgen dat uw omgeving voldoet aan de vereisten in deze sectie.

Defender for Identity-sensorconflicten

De configuratie die in dit artikel wordt beschreven, biedt geen ondersteuning voor installatie naast elkaar met een bestaande Defender for Identity-sensor en wordt niet aanbevolen als vervanging voor de Defender for Identity-sensor.

Zorg ervoor dat op de domeincontroller waarop u defender for Identity-mogelijkheden wilt activeren, geen Defender for Identity-sensor is geïmplementeerd.

Systeemvereisten

Direct Defender for Identity-mogelijkheden worden alleen ondersteund op domeincontrollers, met behulp van een van de volgende besturingssystemen:

• Windows Server 2019
• Windows Server 2022

U moet ook de cumulatieve update van maart 2024 hebben geïnstalleerd.

Belangrijk

Na de installatie van de cumulatieve update van maart 2024 kan LSASS een geheugenlek ondervinden op domeincontrollers wanneer on-premises en cloudgebaseerde Active Directory-domein Controllers-service Kerberos-verificatieaanvragen.

Dit probleem wordt opgelost in de out-of-band update KB5037422.

Onboarding van Defender voor Eindpunt

Uw domeincontroller moet worden ge onboardd naar Microsoft Defender voor Eindpunt.

Zie Een Windows-server onboarden voor meer informatie.

Vereiste machtigingen

Voor toegang tot de pagina Defender for Identity Activation moet u een beveiligingsbeheerder zijn of de volgende Unified RBAC-machtigingen hebben:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Zie voor meer informatie:

• Geïntegreerd op rollen gebaseerd toegangsbeheer RBAC
• Een rol maken om rollen en machtigingen te openen en te beheren

Connectiviteitsvereisten

Defender for Identity-mogelijkheden rechtstreeks op domeincontrollers gebruiken URL-eindpunten van Defender voor Eindpunt voor communicatie, waaronder vereenvoudigde URL's.

Zie Uw netwerkomgeving configureren om connectiviteit met Defender voor Eindpunt te garanderen voor meer informatie.

Windows-controle configureren

Defender for Identity-detecties zijn afhankelijk van specifieke Windows-gebeurtenislogboekvermeldingen om detecties te verbeteren en extra informatie te bieden over de gebruikers die specifieke acties uitvoeren, zoals NTLM-aanmeldingen en wijzigingen in beveiligingsgroepen.

Configureer Windows-gebeurtenisverzameling op uw domeincontroller om Defender for Identity-detecties te ondersteunen. Zie Gebeurtenisverzameling met Microsoft Defender for Identity en Controlebeleid voor Windows-gebeurtenislogboeken configureren voor meer informatie.

U kunt de PowerShell-module Defender for Identity gebruiken om de vereiste instellingen te configureren. Zie voor meer informatie:

• DefenderForIdentity-module
• Defender for Identity in de PowerShell Gallery

Met de volgende opdracht worden bijvoorbeeld alle instellingen voor het domein gedefinieerd, groepsbeleidsobjecten gemaakt en gekoppeld.

Set-MDIConfiguration -Mode Domain -Configuration All

Defender for Identity-mogelijkheden activeren

Nadat u ervoor hebt gezorgd dat uw omgeving volledig is geconfigureerd, activeert u de Microsoft Defender for Identity mogelijkheden op uw domeincontroller.

1. Selecteer in de Defender-portalInstellingen > Identiteiten >activeren.

   Op de pagina Activering worden alle gedetecteerde en in aanmerking komende domeincontrollers weergegeven.

2. Selecteer de domeincontroller waarop u de Defender for Identity-mogelijkheden wilt activeren en selecteer vervolgens Activeren. Bevestig uw selectie wanneer hierom wordt gevraagd.

Wanneer de activering is voltooid, wordt een groene banner weergegeven. Selecteer in de banner Klik hier om de onboarded servers weer te geven om naar de pagina Instellingen > identiteitensensoren > te gaan, waar u de status van uw sensor kunt controleren.

Geactiveerde mogelijkheden testen

De eerste keer dat u Defender for Identity-mogelijkheden activeert op uw domeincontroller, kan het tot een uur duren voordat de eerste sensor wordt weergegeven als Actief op de pagina Sensoren . Volgende activeringen worden binnen vijf minuten weergegeven.

Defender for Identity-mogelijkheden op domeincontrollers ondersteunen momenteel de volgende Defender for Identity-functionaliteit:

• Onderzoeksfuncties op het ITDR-dashboard, identiteitsinventaris en geavanceerde opsporingsgegevens voor identiteiten
• Opgegeven aanbevelingen voor beveiligingspostuur
• Opgegeven waarschuwingsdetecties
• Herstelacties
• Automatische aanvalsonderbreking

Gebruik de volgende procedures om uw omgeving te testen voor Defender for Identity-mogelijkheden op een domeincontroller.

Het ITDR-dashboard controleren

Selecteer in de Defender-portal identiteitendashboard > en controleer de weergegeven details om te controleren op verwachte resultaten van uw omgeving.

Zie Werken met het ITDR-dashboard (preview) van Defender for Identity voor meer informatie.

Details van entiteitspagina bevestigen

Controleer of entiteiten, zoals domeincontrollers, gebruikers en groepen, worden ingevuld zoals verwacht.

Controleer in de Defender-portal op de volgende details:

• Apparaatentiteiten: selecteer Assets > Apparaten en selecteer de computer voor uw nieuwe sensor. Defender for Identity-gebeurtenissen worden weergegeven op de tijdlijn van het apparaat.

• Gebruikersentiteiten. Selecteer Assets > Gebruikers en controleer op gebruikers uit een nieuw onboarded domein. U kunt ook de optie algemene zoekopdracht gebruiken om te zoeken naar specifieke gebruikers. Pagina's met gebruikersgegevens moeten overzicht, waargenomen in organisatie en tijdlijngegevens bevatten.

• Groepsentiteiten: gebruik de algemene zoekopdracht om een gebruikersgroep te zoeken of draai vanaf een pagina met gebruikers- of apparaatgegevens waarop groepsdetails worden weergegeven. Controleer op details van groepslidmaatschap, bekijk groepsgebruikers en gegevens van de groepstijdlijn.

  Als er geen gebeurtenisgegevens worden gevonden op de tijdlijn van de groep, moet u er mogelijk handmatig een maken. Doe dit bijvoorbeeld door gebruikers toe te voegen aan en te verwijderen uit de groep in Active Directory.

Zie Assets onderzoeken voor meer informatie.

Geavanceerde opsporingstabellen testen

Gebruik op de pagina Geavanceerde opsporing van de Defender-portal de volgende voorbeeldquery's om te controleren of gegevens worden weergegeven in relevante tabellen zoals verwacht voor uw omgeving:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Zie Geavanceerde opsporing in de Microsoft Defender-portal voor meer informatie.

Ispm-aanbevelingen (Identity Security Posture Management) testen

Defender for Identity-mogelijkheden op domeincontrollers ondersteunen de volgende ISPM-evaluaties:

• Defender for Identity Sensor installeren op alle domeincontrollers
• Microsoft LAPS-gebruik
• Onveilige domeinconfiguraties oplossen
• Een honeytoken-account instellen
• Niet-beveiligde accountkenmerken
• Kenmerken van onbeveiligde SID-geschiedenis

We raden u aan riskant gedrag te simuleren in een testomgeving om ondersteunde evaluaties te activeren en te controleren of ze worden weergegeven zoals verwacht. Bijvoorbeeld:

1. Activeer een nieuwe aanbeveling voor het oplossen van onveilige domeinconfiguraties door uw Active Directory-configuratie in te stellen op een niet-compatibele status en deze vervolgens te retourneren naar een compatibele status. Voer bijvoorbeeld de volgende opdrachten uit:

   Een niet-compatibele status instellen

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Ga als volgende te werk om deze te herstellen naar een compatibele status:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Uw lokale configuratie controleren:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. Selecteer in Microsoft Secure Score de optie Aanbevolen acties om te controleren op een nieuwe aanbeveling voor het oplossen van onveilige domeinconfiguraties . U kunt aanbevelingen filteren op het Defender for Identity-product .

Zie de beveiligingspostuurevaluaties van Microsoft Defender for Identity voor meer informatie

Waarschuwingsfunctionaliteit testen

De volgende waarschuwingen worden ondersteund door de mogelijkheden van Defender for Identity op domeincontrollers:

• Verkenning van accountinventarisatie
• Active Directory-kenmerken Reconnaissance met LDAP
• Exchange Server externe code-uitvoering (CVE-2021-26855)
• Honeytoken-gebruikerskenmerken gewijzigd
• Honeytoken is opgevraagd via LDAP
• Honeytoken-verificatieactiviteit
• Honeytoken-groepslidmaatschap gewijzigd
• Poging om externe code uit te voeren
• LDAP (Security Principal Reconnaissance)
• Verdachte service maken
• Vermoedelijke NTLM Relay-aanval (Exchange-account)

• Verdachte wijziging van het kenmerk Beperkte delegering op basis van resources door een computeraccount
• Verdachte toevoegingen aan gevoelige groepen
• Verdachte wijziging van een kenmerk dNSHostName (CVE-2022-26923)
• Verdachte wijziging van een kenmerk sAMNameAccount (CVE-2021-42278 en CVE-2021-42287)
• Verdachte DCShadow-aanval (promotie van domeincontrollers)
• Vermoedelijke DFSCoerce-aanval met behulp van Distributed File System Protocol 
• Vermoedelijke DCShadow-aanval (replicatieaanvraag voor domeincontrollers)
• Vermoedelijke accountovername met schaduwreferenties
• Vermoedelijke SID-History injectie
• Vermoedelijke AD FS DKM-sleutel gelezen

Test de waarschuwingsfunctionaliteit door riskante activiteit in een testomgeving te simuleren. Bijvoorbeeld:

• Tag een account als een honeytoken-account en probeer u vervolgens aan te melden bij het honeytoken-account via de geactiveerde domeincontroller.
• Maak een verdachte service op uw domeincontroller.
• Voer een externe opdracht uit op uw domeincontroller als beheerder die is aangemeld vanaf uw werkstation.

Zie Defender for Identity-beveiligingswaarschuwingen onderzoeken in Microsoft Defender XDR voor meer informatie.

Herstelacties testen

Herstelacties testen op een testgebruiker. Bijvoorbeeld:

1. Ga in de Defender-portal naar de pagina met gebruikersgegevens voor een testgebruiker.

2. Selecteer in het menu opties een of meer van de volgende opties, één voor één:

   • Gebruiker uitschakelen in AD
   • Gebruiker inschakelen in AD
   • Wachtwoord opnieuw instellen afdwingen

3. Controleer Active Directory op de verwachte activiteit.

Opmerking

De huidige versie verzamelt de vlaggen van gebruikersaccountbeheer (UAC) niet correct. Uitgeschakelde gebruikers worden dus nog steeds weergegeven als Ingeschakeld in de portal.

Zie Herstelacties in Microsoft Defender for Identity voor meer informatie.

Defender for Identity-mogelijkheden deactiveren op uw domeincontroller

Als u de mogelijkheden van Defender for Identity op uw domeincontroller wilt deactiveren, verwijdert u deze van de pagina Sensoren :

1. Selecteer in de Defender-portal Instellingen > IdentiteitenSensoren>.
2. Selecteer de domeincontroller waarop u de mogelijkheden van Defender for Identity wilt deactiveren, selecteer Verwijderen en bevestig uw selectie.

Als u de mogelijkheden van Defender for Identity van uw domeincontroller deactiveert, wordt de domeincontroller niet verwijderd uit Defender voor Eindpunt. Zie de documentatie van Defender voor Eindpunt voor meer informatie.

Volgende stappen

Zie Microsoft Defender for Identity sensoren beheren en bijwerken voor meer informatie.