Wdrażanie Microsoft Defender for Identity za pomocą Microsoft Defender XDR

Ten artykuł zawiera omówienie pełnego procesu wdrażania dla Microsoft Defender for Identity, w tym kroki przygotowania, wdrożenia i dodatkowych kroków dla konkretnych scenariuszy.

Usługa Defender for Identity jest podstawowym składnikiem strategii Zero Trust oraz wdrożenia funkcji wykrywania i reagowania na zagrożenia tożsamości (ITDR) lub rozszerzonego wykrywania i reagowania (XDR) z Microsoft Defender XDR. Usługa Defender for Identity używa sygnałów z serwerów infrastruktury tożsamości, takich jak kontrolery domeny, serwery usług AD FS/AD CS i Entra Connect, do wykrywania zagrożeń, takich jak eskalacja uprawnień lub przenoszenie boczne wysokiego ryzyka, oraz raportuje problemy z łatwo wykorzystywaną tożsamością, takie jak nieograniczone delegowanie protokołu Kerberos, w celu skorygowania przez zespół ds. zabezpieczeń.

Aby uzyskać szybki zestaw wyróżnień wdrożenia, zobacz Przewodnik szybkiej instalacji.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz dostęp do Microsoft Defender XDR co najmniej jako administrator zabezpieczeń i masz jedną z następujących licencji:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Bezpieczeństwo
• Zabezpieczenia i zgodność platformy Microsoft 365 F5*
• Autonomiczna licencja usługi Defender for Identity

* Obie licencje F5 wymagają Microsoft 365 F1/F3 lub Office 365 F3 i Enterprise Mobility + Security E3.

Uzyskaj licencje bezpośrednio za pośrednictwem portalu platformy Microsoft 365 lub użyj modelu licencjonowania cloud solution partner (CSP).

Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące licencjonowania i prywatności oraz Co to są role i uprawnienia usługi Defender for Identity?

Rozpoczynanie korzystania z Microsoft Defender XDR

W tej sekcji opisano, jak rozpocząć dołączanie do usługi Defender for Identity.

1. Zaloguj się do portalu Microsoft Defender.
2. W menu nawigacji wybierz dowolny element, taki jak Zdarzenia & alerty, Wyszukiwanie zagrożeń, Centrum akcji lub Analiza zagrożeń , aby zainicjować proces dołączania.

Następnie otrzymasz możliwość wdrożenia obsługiwanych usług, w tym Microsoft Defender for Identity. Składniki chmury wymagane dla usługi Defender for Identity są automatycznie dodawane po otwarciu strony ustawień usługi Defender for Identity.

Więcej informacji można znaleźć w następujących artykułach:

• Microsoft Defender for Identity w Microsoft Defender XDR
• Wprowadzenie do Microsoft Defender XDR
• Włącz Microsoft Defender XDR
• Wdrażanie obsługiwanych usług
• Często zadawane pytania podczas włączania Microsoft Defender XDR

Ważna

Obecnie centra danych usługi Defender for Identity są wdrażane w Europie, Wielkiej Brytanii, Szwajcarii, Ameryka Północna/Ameryce Środkowej/Karaibach, Australii Wschodniej, Azji i Indiach. Obszar roboczy (wystąpienie) jest tworzony automatycznie w regionie platformy Azure znajdującym się najbliżej lokalizacji geograficznej dzierżawy Microsoft Entra. Po utworzeniu obszary robocze usługi Defender for Identity nie są ruchome.

Planowanie i przygotowywanie

Wykonaj następujące kroki, aby przygotować się do wdrożenia usługi Defender for Identity:

1. Upewnij się, że są wymagane wszystkie wymagania wstępne .

2. Zaplanuj pojemność usługi Defender for Identity.

Porada

Zalecamy uruchomienie skryptu Test-MdiReadiness.ps1 w celu przetestowania i sprawdzenia, czy środowisko ma wymagane wymagania wstępne.

Link do skryptu Test-MdiReadiness.ps1 jest również dostępny w Microsoft Defender XDR na stronie Narzędzia tożsamości > (wersja zapoznawcza).

Wdrażanie usługi Defender for Identity

Po przygotowaniu systemu wykonaj następujące kroki, aby wdrożyć usługę Defender for Identity:

1. Sprawdź łączność z usługą Defender for Identity.
2. Pobierz czujnik usługi Defender for Identity.
3. Zainstaluj czujnik usługi Defender for Identity.
4. Skonfiguruj czujnik usługi Defender for Identity , aby rozpocząć odbieranie danych.

Konfiguracja po wdrożeniu

Poniższe procedury ułatwiają ukończenie procesu wdrażania:

• Konfigurowanie kolekcji zdarzeń systemu Windows. Aby uzyskać więcej informacji, zobacz Zbieranie zdarzeń za pomocą Microsoft Defender for Identity i Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows.

• Włączanie i konfigurowanie ujednoliconej kontroli dostępu opartej na rolach (RBAC) dla usługi Defender for Identity.

• Skonfiguruj konto usługi katalogowej (DSA) do użycia z usługą Defender for Identity. Chociaż usługa DSA jest opcjonalna w niektórych scenariuszach, zalecamy skonfigurowanie usługi DSA dla usługi Defender for Identity w celu uzyskania pełnego pokrycia zabezpieczeń. Jeśli na przykład skonfigurowano usługę DSA, usługa DSA jest używana do nawiązywania połączenia z kontrolerem domeny podczas uruchamiania. Usługa DSA może również służyć do wykonywania zapytań względem kontrolera domeny w poszukiwaniu danych dotyczących jednostek widocznych w ruchu sieciowym, monitorowanych zdarzeń i monitorowanych działań ETW

• Skonfiguruj zdalne wywołania sam zgodnie z potrzebami. Chociaż ten krok jest opcjonalny, zalecamy skonfigurowanie wywołań zdalnych do języka SAM-R w celu wykrywania ścieżki ruchu bocznego za pomocą usługi Defender for Identity.

Porada

Domyślnie czujniki usługi Defender for Identity wysyłają zapytania do katalogu przy użyciu protokołu LDAP na portach 389 i 3268. Aby przełączyć się na protokół LDAPS na portach 636 i 3269, otwórz zgłoszenie do pomocy technicznej. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity pomoc techniczną.

Ważna

Zainstalowanie czujnika usługi Defender for Identity na serwerach usług AD FS/AD CS i Entra Connect wymaga dodatkowych kroków. Aby uzyskać więcej informacji, zobacz Konfigurowanie czujników dla usług AD FS, AD CS i Entra Connect.

Następny krok

Wymagania wstępne usługi Defender for Identity »