Udostępnij za pośrednictwem


Pilotaż i wdrażanie Microsoft Defender for Identity

Dotyczy:

  • Microsoft Defender XDR

Ten artykuł zawiera przepływ pracy na potrzeby pilotażu i wdrażania Microsoft Defender for Identity w organizacji. Skorzystaj z tych zaleceń, aby dołączyć Microsoft Defender for Identity jako część kompleksowego rozwiązania z Microsoft Defender XDR.

W tym artykule przyjęto założenie, że masz produkcyjną dzierżawę platformy Microsoft 365 i pilotujesz i wdrażasz Microsoft Defender for Identity w tym środowisku. Ta praktyka będzie obsługiwać wszelkie ustawienia i dostosowania skonfigurowane podczas pilotażu dla pełnego wdrożenia.

Usługa Defender for Identity przyczynia się do Zero Trust architektury, pomagając zapobiegać lub zmniejszać szkody biznesowe spowodowane naruszeniem. Aby uzyskać więcej informacji, zobacz Scenariusz dotyczący zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zasad biznesowych w strukturze wdrażania Zero Trust firmy Microsoft.

Kompleksowe wdrożenie dla Microsoft Defender XDR

Jest to artykuł 2 z 6 serii, który ułatwia wdrażanie składników Microsoft Defender XDR, w tym badanie zdarzeń i reagowanie na nie.

Diagram przedstawiający Microsoft Defender for Identity w procesie pilotażowym i wdrażania Microsoft Defender XDR.

Artykuły z tej serii odpowiadają następującym fazom kompleksowego wdrożenia:

Faza Link
Odp. Uruchamianie pilotażu Uruchamianie pilotażu
B. Testowanie i wdrażanie składników Microsoft Defender XDR - Pilotaż i wdrażanie usługi Defender for Identity (w tym artykule)

- Pilotaż i wdrażanie Ochrona usługi Office 365 w usłudze Defender

- Pilotaż i wdrażanie usługi Defender dla punktu końcowego

- Pilotaż i wdrażanie Microsoft Defender for Cloud Apps
C. Badanie zagrożeń i odpowiadanie na nie Badanie i reagowanie na zdarzenia praktyczne

Pilotażowy i wdrażany przepływ pracy dla usługi Defender for Identity

Na poniższym diagramie przedstawiono typowy proces wdrażania produktu lub usługi w środowisku IT.

Diagram fazy wdrożenia pilotażowego, oceny i pełnego wdrożenia.

Rozpoczynasz od oceny produktu lub usługi oraz sposobu jej działania w organizacji. Następnie pilotujesz produkt lub usługę za pomocą odpowiednio małego podzestawu infrastruktury produkcyjnej na potrzeby testowania, uczenia się i dostosowywania. Następnie stopniowo zwiększaj zakres wdrożenia, dopóki nie zostanie uwzględniona cała infrastruktura lub organizacja.

Oto przepływ pracy na potrzeby pilotażu i wdrażania usługi Defender for Identity w środowisku produkcyjnym.

Diagram przedstawiający kroki pilotażu i wdrażania Microsoft Defender for Identity.

Wykonaj następujące czynności:

  1. Konfigurowanie wystąpienia usługi Defender for Identity
  2. Instalowanie i konfigurowanie czujników
  3. Konfigurowanie ustawień dziennika zdarzeń i serwera proxy na maszynach za pomocą czujnika
  4. Zezwalaj usłudze Defender for Identity na identyfikowanie administratorów lokalnych na innych komputerach
  5. Wypróbuj możliwości

Poniżej przedstawiono zalecane kroki dla każdego etapu wdrażania.

Etap wdrażania Opis
Oceniać Przeprowadzanie oceny produktu dla usługi Defender for Identity.
Pilot Wykonaj kroki 1–5 dla odpowiedniego podzestawu serwerów z czujnikami w środowisku produkcyjnym.
Pełne wdrożenie Wykonaj kroki 2–4 dla pozostałych serwerów, rozszerzając się poza pilotaż, aby uwzględnić wszystkie z nich.

Ochrona organizacji przed hakerami

Usługa Defender for Identity zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami Microsoft Defender XDR usługa Defender for Identity dostarcza dane do udostępnionych sygnałów, które razem pomagają zatrzymać ataki.

Oto przykład cyberataku i sposobu, w jaki składniki Microsoft Defender XDR pomagają go wykrywać i eliminować.

Diagram pokazujący, jak Microsoft Defender XDR zatrzymuje łańcuch zagrożeń.

Usługa Defender for Identity zbiera sygnały z kontrolerów domeny i serwerów Active Directory Domain Services (AD DS) z uruchomionymi usługami Active Directory Federation Services (AD FS) i Active Directory Certificate Services (AD CS). Te sygnały są używane do ochrony środowiska tożsamości hybrydowej, w tym ochrony przed hakerami korzystającymi z kont z naruszeniem zabezpieczeń w celu późniejszego przenoszenia między stacjami roboczymi w środowisku lokalnym.

Microsoft Defender XDR skoreluje sygnały ze wszystkich składników Microsoft Defender, aby zapewnić pełną historię ataku.

Architektura usługi Defender for Identity

Microsoft Defender for Identity jest w pełni zintegrowana z Microsoft Defender XDR i wykorzystuje sygnały z tożsamości lokalna usługa Active Directory, aby ułatwić identyfikowanie, wykrywanie i badanie zaawansowanych zagrożeń skierowanych do organizacji.

Wdróż Microsoft Defender for Identity, aby pomóc zespołom operacji zabezpieczeń (SecOps) w dostarczaniu nowoczesnego rozwiązania do wykrywania i reagowania na zagrożenia tożsamości (ITDR) w środowiskach hybrydowych, w tym:

  • Zapobieganie naruszeniom zabezpieczeń przy użyciu proaktywnych ocen stanu zabezpieczeń tożsamości
  • Wykrywanie zagrożeń przy użyciu analizy w czasie rzeczywistym i analizy danych
  • Badanie podejrzanych działań przy użyciu jasnych, możliwych do działania informacji o zdarzeniu
  • Reagowanie na ataki przy użyciu automatycznej reakcji na naruszone tożsamości. Aby uzyskać więcej informacji, zobacz Co to jest Microsoft Defender for Identity?

Usługa Defender for Identity chroni lokalne konta użytkowników usług AD DS i konta użytkowników zsynchronizowane z dzierżawą Tożsamość Microsoft Entra. Aby chronić środowisko składające się tylko z Microsoft Entra kont użytkowników, zobacz Ochrona tożsamości Microsoft Entra.

Na poniższym diagramie przedstawiono architekturę usługi Defender for Identity.

Diagram przedstawiający architekturę Microsoft Defender for Identity.

Na tej ilustracji:

  • Czujniki zainstalowane na kontrolerach domeny usług AD DS i serwerach usług AD CS analizują dzienniki i ruch sieciowy oraz wysyłają je do Microsoft Defender for Identity w celu analizy i raportowania.
  • Czujniki mogą również analizować uwierzytelniania usług AD FS dla dostawców tożsamości innych firm i gdy Tożsamość Microsoft Entra jest skonfigurowany do korzystania z uwierzytelniania federacyjnego (kropkowane wiersze na ilustracji).
  • Microsoft Defender for Identity udostępnia sygnały Microsoft Defender XDR.

Czujniki usługi Defender for Identity można zainstalować bezpośrednio na następujących serwerach:

  • Kontrolery domeny usług AD DS. Czujnik bezpośrednio monitoruje ruch kontrolera domeny bez konieczności używania dedykowanego serwera lub konfiguracji dublowania portów.
  • Serwery usług AD FS / serwery AD CS. Czujnik bezpośrednio monitoruje ruch sieciowy i zdarzenia uwierzytelniania.

Aby zapoznać się z architekturą usługi Defender for Identity, zobacz architekturę Microsoft Defender for Identity.

Krok 1. Konfigurowanie wystąpienia usługi Defender for Identity

Zaloguj się do portalu usługi Defender, aby rozpocząć wdrażanie obsługiwanych usług, w tym Microsoft Defender for Identity. Aby uzyskać więcej informacji, zobacz Rozpoczynanie korzystania z Microsoft Defender XDR.

Krok 2. Instalowanie czujników

Usługa Defender for Identity wymaga pewnych wymagań wstępnych, aby upewnić się, że lokalne składniki tożsamości i sieci spełniają minimalne wymagania dotyczące instalowania czujnika usługi Defender for Identity w środowisku.

Gdy masz pewność, że środowisko jest gotowe, zaplanuj pojemność i sprawdź łączność z usługą Defender for Identity. Następnie, gdy wszystko będzie gotowe, pobierz, zainstaluj i skonfiguruj czujnik Defender for Identity na kontrolerach domeny, serwerach usług AD FS i AD CS w środowisku lokalnym.

Krok Opis Więcej informacji
1 Upewnij się, że środowisko spełnia wymagania wstępne usługi Defender for Identity. Microsoft Defender for Identity wymagania wstępne
2 Określ, ile czujników Microsoft Defender for Identity potrzebujesz. Planowanie pojemności dla Microsoft Defender for Identity
3 Weryfikowanie łączności z usługą Defender for Identity Sprawdzanie aktywności sieci
4 Pobieranie i instalowanie czujnika usługi Defender for Identity Instalowanie usługi Defender for Identity
5 Konfigurowanie czujnika Konfigurowanie ustawień czujnika Microsoft Defender for Identity

Krok 3. Konfigurowanie ustawień dziennika zdarzeń i serwera proxy na maszynach za pomocą czujnika

Na komputerach, na których zainstalowano czujnik, skonfiguruj zbieranie dzienników zdarzeń systemu Windows, aby włączyć i zwiększyć możliwości wykrywania.

Krok Opis Więcej informacji
1 Konfigurowanie zbierania dzienników zdarzeń systemu Windows Kolekcja zdarzeń z Microsoft Defender for Identity

Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows

Krok 4. Zezwalanie usłudze Defender for Identity na identyfikowanie administratorów lokalnych na innych komputerach

Microsoft Defender for Identity wykrywanie ścieżki ruchu bocznego (LMP) opiera się na zapytaniach identyfikujących administratorów lokalnych na określonych maszynach. Te zapytania są wykonywane przy użyciu protokołu SAM-R przy użyciu konta usługi Defender for Identity Service.

Aby upewnić się, że klienci i serwery systemu Windows zezwalają kontu usługi Defender for Identity na wykonywanie funkcji SAM-R, należy wprowadzić modyfikację zasady grupy w celu dodania konta usługi Defender for Identity oprócz skonfigurowanych kont wymienionych w zasadach dostępu do sieci. Pamiętaj, aby zastosować zasady grupy do wszystkich komputerów z wyjątkiem kontrolerów domeny.

Aby uzyskać instrukcje dotyczące tego, jak to zrobić, zobacz Konfigurowanie języka SAM-R w celu włączenia wykrywania ścieżki przenoszenia bocznego w Microsoft Defender for Identity.

Krok 5. Wypróbowanie możliwości

Dokumentacja usługi Defender for Identity zawiera następujące artykuły, w których opisano proces identyfikowania i korygowania różnych typów ataków:

Więcej informacji można znaleźć w następujących artykułach:

Integracja zarządzania informacjami i zdarzeniami zabezpieczeń

Usługę Defender for Identity można zintegrować z usługą Microsoft Sentinel w ramach ujednoliconej platformy operacji zabezpieczeń firmy Microsoft lub ogólnej usługi zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji. Dzięki Microsoft Sentinel można bardziej kompleksowo analizować zdarzenia zabezpieczeń w całej organizacji i tworzyć podręczniki w celu zapewnienia skutecznej i natychmiastowej reakcji.

Microsoft Sentinel zawiera Microsoft Defender łącznika danych XDR umożliwiającego przenoszenie wszystkich sygnałów z Defender XDR, w tym usługi Defender for Identity, do Microsoft Sentinel. Użyj ujednoliconej platformy operacji zabezpieczeń w portalu usługi Defender jako jednej platformy do kompleksowych operacji zabezpieczeń (SecOps).

Więcej informacji można znaleźć w następujących artykułach:

Następny krok

Uwzględnij następujące elementy w procesach SecOps:

Następny krok dla kompleksowego wdrożenia Microsoft Defender XDR

Kontynuuj kompleksowe wdrażanie Microsoft Defender XDR za pomocą Ochrona usługi Office 365 w usłudze Defender pilotażowego i wdrażania.

Diagram przedstawiający Ochrona usługi Office 365 w usłudze Microsoft Defender w procesie pilotażowym i wdrażania Microsoft Defender XDR.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.