Microsoft Defender for Identity implementeren met Microsoft Defender XDR

Dit artikel bevat een overzicht van het volledige implementatieproces voor Microsoft Defender for Identity, inclusief stappen voor voorbereiding, implementatie en extra stappen voor specifieke scenario's.

Defender for Identity is een primair onderdeel van een Zero Trust-strategie en uw ITDR-implementatie (Identity Threat Detection and Response) of XDR-implementatie (Extended Detection and Response) met Microsoft Defender XDR. Defender for Identity gebruikt signalen van uw identity infrastructure-servers, zoals domeincontrollers, AD FS/AD CS- en Entra Connect-servers om bedreigingen te detecteren, zoals escalatie van bevoegdheden of laterale verplaatsingen met een hoog risico, en rapporteert over gemakkelijk misbruikte identiteitsproblemen, zoals niet-getrainde Kerberos-delegatie, voor correctie door het beveiligingsteam.

Zie De handleiding voor snelle installatie voor een snelle set implementatie-hoogtepunten.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u ten minste als beveiligingsbeheerder toegang hebt tot Microsoft Defender XDR en dat u een van de volgende licenties hebt:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Veiligheid
• Microsoft 365 F5 Beveiliging en naleving*
• Een zelfstandige Defender for Identity-licentie

* Voor beide F5-licenties is Microsoft 365 F1/F3 of Office 365 F3 en Enterprise Mobility + Security E3 vereist.

Verkrijg licenties rechtstreeks via de Microsoft 365-portal of gebruik het CSP-licentiemodel (Cloud Solution Partner).

Zie Veelgestelde vragen over licenties en privacy enWat zijn Defender for Identity-rollen en -machtigingen? voor meer informatie.

Aan de slag met Microsoft Defender XDR

In deze sectie wordt beschreven hoe u onboarding voor Defender for Identity start.

1. Meld u aan bij de Microsoft Defender-portal.
2. Selecteer in het navigatiemenu een item, zoals Incidenten & waarschuwingen, Opsporing, Actiecentrum of Bedreigingsanalyse om het onboardingproces te initiëren.

U krijgt vervolgens de mogelijkheid om ondersteunde services te implementeren, waaronder Microsoft Defender for Identity. Cloudonderdelen die vereist zijn voor Defender for Identity worden automatisch toegevoegd wanneer u de pagina met instellingen voor Defender for Identity opent.

Zie voor meer informatie:

• Microsoft Defender for Identity in Microsoft Defender XDR
• Aan de slag met Microsoft Defender XDR
• Microsoft Defender XDR inschakelen
• Ondersteunde services implementeren
• Veelgestelde vragen bij het inschakelen van Microsoft Defender XDR

Belangrijk

Momenteel worden Defender for Identity-datacenters geïmplementeerd in Europa, het Vk, Zwitserland, Noord-Amerika/Centraal-Amerika/Caraïben, Australië - oost, Azië en India. Uw werkruimte (exemplaar) wordt automatisch gemaakt in de Azure-regio die het dichtst bij de geografische locatie van uw Microsoft Entra tenant ligt. Na het maken zijn Defender for Identity-werkruimten niet meer verplaatsbaar.

Plannen en voorbereiden

Gebruik de volgende stappen om de implementatie van Defender for Identity voor te bereiden:

1. Zorg ervoor dat u aan alle vereisten voldoet.

2. Plan uw Defender for Identity-capaciteit.

Tip

We raden u aan het Test-MdiReadiness.ps1-script uit te voeren om te testen en te zien of uw omgeving aan de vereiste vereisten voldoet.

De koppeling naar het Test-MdiReadiness.ps1 script is ook beschikbaar via Microsoft Defender XDR op de pagina Hulpmiddelen voor identiteiten > (preview).

Defender for Identity implementeren

Nadat u uw systeem hebt voorbereid, gebruikt u de volgende stappen om Defender for Identity te implementeren:

1. Controleer de verbinding met de Defender for Identity-service.
2. Download de Defender for Identity-sensor.
3. Installeer de Defender for Identity-sensor.
4. Configureer de Defender for Identity-sensor om te beginnen met het ontvangen van gegevens.

Configuratie na implementatie

De volgende procedures helpen u bij het voltooien van het implementatieproces:

• Windows-gebeurtenisverzameling configureren. Zie Gebeurtenisverzameling met Microsoft Defender for Identity en Controlebeleid voor Windows-gebeurtenislogboeken configureren voor meer informatie.

• Geïntegreerd op rollen gebaseerd toegangsbeheer (RBAC) inschakelen en configureren voor Defender for Identity.

• Configureer een Directory Service-account (DSA) voor gebruik met Defender for Identity. Hoewel een DSA in sommige scenario's optioneel is, raden we u aan een DSA voor Defender for Identity te configureren voor volledige beveiligingsdekking. Wanneer u bijvoorbeeld een DSA hebt geconfigureerd, wordt de DSA gebruikt om bij het opstarten verbinding te maken met de domeincontroller. Een DSA kan ook worden gebruikt om een query uit te voeren op de domeincontroller voor gegevens over entiteiten die worden gezien in netwerkverkeer, bewaakte gebeurtenissen en bewaakte ETW-activiteiten

• Configureer zo nodig externe aanroepen naar SAM . Hoewel deze stap optioneel is, raden we u aan om externe aanroepen naar SAM-R te configureren voor detectie van laterale verplaatsingspaden met Defender for Identity.

Tip

Defender for Identity-sensoren voeren standaard een query uit op de directory met ldap op de poorten 389 en 3268. Als u wilt overschakelen naar LDAPS op poorten 636 en 3269, opent u een ondersteuningsaanvraag. Zie Microsoft Defender for Identity ondersteuning voor meer informatie.

Belangrijk

Voor het installeren van een Defender for Identity-sensor op een AD FS-/AD CS- en Entra Connect-server zijn extra stappen vereist. Zie Sensoren configureren voor AD FS, AD CS en Entra Connect voor meer informatie.

Volgende stap

Vereisten voor Defender for Identity »