Ativar Microsoft Defender para Identidade capacidades diretamente num controlador de domínio

Microsoft Defender para Ponto de Extremidade clientes, que já integraram os controladores de domínio no Defender para Endpoint, podem ativar Microsoft Defender para Identidade capacidades diretamente num controlador de domínio em vez de utilizarem um Microsoft Defender para Identidade sensor.

Este artigo descreve como ativar e testar as capacidades de Microsoft Defender para Identidade no controlador de domínio.

Importante

As informações neste artigo estão relacionadas com uma funcionalidade que está atualmente em disponibilidade limitada para um conjunto selecionado de casos de utilização. Se não tiver sido direcionado para utilizar a página Ativação do Defender para Identidade, utilize o nosso guia de implementação main.

Pré-requisitos

Antes de ativar as capacidades do Defender para Identidade no controlador de domínio, certifique-se de que o seu ambiente está em conformidade com os pré-requisitos nesta secção.

Conflitos do sensor do Defender para Identidade

A configuração descrita neste artigo não suporta a instalação lado a lado com um sensor do Defender para Identidade existente e não é recomendada como um substituto do sensor do Defender para Identidade.

Certifique-se de que o controlador de domínio onde está a planear ativar as capacidades do Defender para Identidade não tem um sensor do Defender para Identidade implementado.

Requisitos do sistema

As capacidades do Direct Defender para Identidade são suportadas apenas em controladores de domínio, utilizando um dos seguintes sistemas operativos:

• Windows Server 2019
• Windows Server 2022

Também tem de ter a Atualização Cumulativa de março de 2024 instalada.

Importante

Depois de instalar a Atualização Cumulativa de março de 2024, o LSASS poderá deparar-se com uma fuga de memória nos controladores de domínio quando os pedidos de autenticação Kerberos no local e baseados na cloud e Domínio do Active Directory baseados na cloud.

Este problema é resolvido na atualização fora de banda KB5037422.

Integração do Defender para Endpoint

O controlador de domínio tem de estar integrado no Microsoft Defender para Ponto de Extremidade.

Para obter mais informações, consulte Integrar um servidor Windows.

Permissões obrigatórias

Para aceder à página Ativação do Defender para Identidade, tem de ser Um Administrador de Segurança ou ter as seguintes permissões RBAC Unificadas:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Para saber mais, confira:

• RBAC de controlo de acesso baseado em funções unificado
• Criar uma função para aceder e gerir funções e permissões

Requisitos de conectividade

As capacidades do Defender para Identidade diretamente nos controladores de domínio utilizam pontos finais de URL do Defender para Ponto Final para comunicação, incluindo URLs simplificados.

Para obter mais informações, veja Configurar o ambiente de rede para garantir a conectividade com o Defender para Endpoint.

Configurar a auditoria do Windows

As deteções do Defender para Identidade dependem de entradas específicas do Registo de Eventos do Windows para melhorar as deteções e fornecer informações adicionais sobre os utilizadores que efetuam ações específicas, como inícios de sessão NTLM e modificações de grupos de segurança.

Configure a coleção de eventos do Windows no controlador de domínio para suportar deteções do Defender para Identidade. Para obter mais informações, veja Recolha de eventos com Microsoft Defender para Identidade e Configurar políticas de auditoria para registos de eventos do Windows.

Poderá querer utilizar o módulo do PowerShell do Defender para Identidade para configurar as definições necessárias. Para saber mais, confira:

• Módulo DefenderForIdentity
• Defender para Identidade no Galeria do PowerShell

Por exemplo, o comando seguinte define todas as definições para o domínio, cria objetos de política de grupo e liga-os.

Set-MDIConfiguration -Mode Domain -Configuration All

Ativar as capacidades do Defender para Identidade

Depois de garantir que o ambiente está completamente configurado, ative as capacidades de Microsoft Defender para Identidade no controlador de domínio.

1. No portal do Defender, selecione Definições >Ativação de Identidades>.

   A página Ativação lista todos os controladores de domínio detetados e elegíveis.

2. Selecione o controlador de domínio onde pretende ativar as capacidades do Defender para Identidade e, em seguida, selecione Ativar. Confirme a seleção quando lhe for pedido.

Quando a ativação estiver concluída, é apresentada uma faixa de êxito verde. Na faixa, selecione Clique aqui para ver os servidores integrados para aceder à página Sensores de Identidades > de Definições>, onde pode marcar o estado de funcionamento do sensor.

Testar capacidades ativadas

A primeira vez que ativar as capacidades do Defender para Identidade no controlador de domínio, poderá demorar até uma hora para que o primeiro sensor seja apresentado como Em execução na página Sensores . As ativações subsequentes são apresentadas dentro de cinco minutos.

As capacidades do Defender para Identidade nos controladores de domínio suportam atualmente a seguinte funcionalidade do Defender para Identidade:

• Funcionalidades de investigação na dashboard ITDR, inventário de identidades e dados de investigação avançada de identidade
• Recomendações de postura de segurança especificadas
• Deteções de alertas especificadas
• Ações de correção
• Interrupção automática do ataque

Utilize os seguintes procedimentos para testar o seu ambiente para capacidades do Defender para Identidade num controlador de domínio.

Verificar a dashboard ITDR

No portal do Defender, selecione Dashboard identidades > e reveja os detalhes apresentados, verificando os resultados esperados do seu ambiente.

Para obter mais informações, veja Work with Defender for Identity's ITDR dashboard (Preview).

Confirmar detalhes da página da entidade

Confirme que as entidades, como controladores de domínio, utilizadores e grupos, estão preenchidas conforme esperado.

No portal do Defender, marcar para obter os seguintes detalhes:

• Entidades do dispositivo: selecione Dispositivos > de Recursos e selecione o computador do novo sensor. Os eventos do Defender para Identidade são apresentados no dispositivo linha do tempo.

• Entidades de utilizador. Selecione Utilizadores de Recursos > e marcar para utilizadores de um domínio recentemente integrado. Em alternativa, utilize a opção pesquisa global para procurar utilizadores específicos. As páginas de detalhes do utilizador devem incluir Descrição Geral, Celebrado na organização e Dados da linha cronológica .

• Entidades de grupo: utilize a pesquisa global para localizar um grupo de utilizadores ou dinamizar a partir de uma página de detalhes do utilizador ou do dispositivo onde são apresentados os detalhes do grupo. Verifique se existem detalhes sobre a associação a grupos, veja os utilizadores do grupo e os dados de linha do tempo de grupo.

  Se não forem encontrados dados de eventos no grupo linha do tempo, poderá ter de criar alguns manualmente. Por exemplo, pode fazê-lo ao adicionar e remover utilizadores do grupo no Active Directory.

Para obter mais informações, veja Investigar recursos.

Testar tabelas de investigação avançadas

Na página Investigação avançada do portal do Defender, utilize as seguintes consultas de exemplo para marcar que os dados são apresentados em tabelas relevantes conforme esperado para o seu ambiente:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Para obter mais informações, veja Investigação avançada no portal do Microsoft Defender.

Testar recomendações de Gestão da Postura de Segurança de Identidade (ISPM)

As capacidades do Defender para Identidade nos controladores de domínio suportam as seguintes avaliações do ISPM:

• Instalar o Sensor do Defender para Identidade em todos os Controladores de Domínio
• Utilização da Microsoft LAPS
• Resolver configurações de domínio não seguras
• Definir uma conta honeytoken
• Anular a secção de atributos de conta
• Atributos do Histórico de SID não inseguros

Recomendamos que simule comportamentos de risco num ambiente de teste para acionar avaliações suportadas e verificar se aparecem como esperado. Por exemplo:

1. Acione uma nova recomendação Resolver configurações de domínio não seguras , definindo a configuração do Active Directory para um estado não conforme e, em seguida, devolvendo-a a um estado em conformidade. Por exemplo, execute os seguintes comandos:

   Para definir um estado não conforme

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Para o devolver a um estado de conformidade:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Para marcar a configuração local:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. Em Classificação de Segurança da Microsoft, selecione Ações Recomendadas para marcar para obter uma nova recomendação Resolver configurações de domínio não seguras. Poderá querer filtrar as recomendações pelo produto Defender para Identidade .

Para obter mais informações, veja avaliações da postura de segurança do Microsoft Defender para Identidade

Testar a funcionalidade de alerta

Os seguintes alertas são suportados pelas capacidades do Defender para Identidade em controladores de domínio:

• Reconhecimento de enumeração de conta
• Reconhecimento de atributos do Active Directory com LDAP
• Exchange Server Execução de Código Remoto (CVE-2021-26855)
• Atributos de utilizador honeytoken modificados
• Honeytoken foi consultado através de LDAP
• Atividade de autenticação Honeytoken
• A associação ao grupo Honeytoken foi alterada
• Tentativa de execução remota de código
• Reconhecimento do principal de segurança (LDAP)
• Criação de serviços suspeitos
• Ataque de reencaminhamento NTLM suspeito (conta do Exchange)

• Modificação suspeita do atributo Delegação Restrita Baseada em Recursos por uma conta de computador
• Adições suspeitas a grupos confidenciais
• Modificação suspeita de um atributo dNSHostName (CVE-2022-26923)
• Modificação suspeita de um atributo sAMNameAccount (CVE-2021-42278 e CVE-2021-42287)
• Ataque DCShadow suspeito (promoção do controlador de domínio)
• Suspeita de ataque DFSCoerce com o Protocolo do Sistema de Ficheiros Distribuído 
• Ataque DCShadow suspeito (pedido de replicação do controlador de domínio)
• Aquisição de conta suspeita com credenciais sombra
• Injeção de SID-History suspeita
• Suspeita de leitura da chave DKM do AD FS

Teste a funcionalidade de alerta ao simular atividade de risco num ambiente de teste. Por exemplo:

• Marque uma conta como uma conta honeytoken e, em seguida, tente iniciar sessão na conta honeytoken no controlador de domínio ativado.
• Crie um serviço suspeito no controlador de domínio.
• Execute um comando remoto no controlador de domínio como administrador com sessão iniciada a partir da estação de trabalho.

Para obter mais informações, veja Investigar alertas de segurança do Defender para Identidade no Microsoft Defender XDR.

Testar ações de remediação

Teste as ações de remediação num utilizador de teste. Por exemplo:

1. No portal do Defender, aceda à página de detalhes do utilizador de um utilizador de teste.

2. No menu de opções, selecione um ou todos os seguintes, um de cada vez:

   • Desativar o utilizador no AD
   • Ativar o utilizador no AD
   • Forçar a reposição de palavra-passe

3. Verifique a atividade esperada no Active Directory.

Observação

A versão atual não recolhe corretamente os sinalizadores de Controlo de Conta de Utilizador (UAC). Assim, os utilizadores desativados continuarão a aparecer como Ativados no portal.

Para obter mais informações, veja Remediação de ações no Microsoft Defender para Identidade.

Desativar as capacidades do Defender para Identidade no controlador de domínio

Se quiser desativar as capacidades do Defender para Identidade no controlador de domínio, elimine-o da página Sensores :

1. No portal do Defender, selecione Definições Sensores > de Identidades>.
2. Selecione o controlador de domínio onde pretende desativar as capacidades do Defender para Identidade, selecione Eliminar e confirme a sua seleção.

Desativar as capacidades do Defender para Identidade do controlador de domínio não remove o controlador de domínio do Defender para Endpoint. Para obter mais informações, veja a documentação do Defender para Endpoint.

Próximas etapas

Para obter mais informações, veja Gerir e atualizar sensores de Microsoft Defender para Identidade.