Pilote e implemente Microsoft Defender para Identidade
Aplica-se a:
- Microsoft Defender XDR
Este artigo fornece um fluxo de trabalho para testar e implementar Microsoft Defender para Identidade na sua organização. Utilize estas recomendações para integrar Microsoft Defender para Identidade como parte de uma solução ponto a ponto com Microsoft Defender XDR.
Este artigo pressupõe que tem um inquilino do Microsoft 365 de produção e está a testar e implementar Microsoft Defender para Identidade neste ambiente. Esta prática irá manter todas as definições e personalizações que configurar durante o piloto para a sua implementação completa.
O Defender para Identidade contribui para uma arquitetura Confiança Zero ajudando a evitar ou reduzir danos comerciais de uma falha de segurança. Para obter mais informações, veja Prevent or reduce business damage from a breach business scenario in the Microsoft Confiança Zero adoption framework (Evitar ou reduzir danos comerciais de um cenário de negócio de falha de segurança) no microsoft Confiança Zero adoption framework.
Implementação ponto a ponto para Microsoft Defender XDR
Este é o artigo 2 de 6 de uma série para ajudá-lo a implementar os componentes de Microsoft Defender XDR, incluindo investigar e responder a incidentes.
Os artigos nesta série correspondem às seguintes fases da implementação ponto a ponto:
| Fase | Link |
|---|---|
| A. Iniciar o piloto | Iniciar o piloto |
| B. Pilotar e implementar componentes de Microsoft Defender XDR |
-
Pilote e implemente o Defender para Identidade (este artigo) - Pilote e implemente Defender para Office 365 - Pilote e implemente o Defender para Endpoint - Pilote e implemente Microsoft Defender para Aplicativos de Nuvem |
| C. Investigar e responder às ameaças | Praticar a investigação e resposta a incidentes |
Testar e implementar o fluxo de trabalho do Defender para Identidade
O diagrama seguinte ilustra um processo comum para implementar um produto ou serviço num ambiente de TI.
Comece por avaliar o produto ou serviço e como irá funcionar na sua organização. Em seguida, vai testar o produto ou serviço com um subconjunto convenientemente pequeno da sua infraestrutura de produção para testes, aprendizagem e personalização. Em seguida, aumente gradualmente o âmbito da implementação até que toda a sua infraestrutura ou organização seja abrangida.
Eis o fluxo de trabalho para testar e implementar o Defender para Identidade no seu ambiente de produção.
Siga estas etapas:
- Configurar a instância do Defender para Identidade
- Instalar e configurar sensores
- Configurar o registo de eventos e as definições de proxy em computadores com o sensor
- Permitir que o Defender para Identidade identifique administradores locais noutros computadores
- Experimentar capacidades
Eis os passos recomendados para cada fase de implementação.
| Fase de implementação | Descrição |
|---|---|
| Avaliar | Efetue a avaliação do produto para o Defender para Identidade. |
| Piloto | Execute os Passos 1 a 5 para um subconjunto adequado de servidores com sensores no seu ambiente de produção. |
| Implantação completa | Execute os Passos 2 a 4 para os servidores restantes, expandindo-se para além do piloto para incluir todos. |
Proteger a sua organização contra hackers
O Defender para Identidade fornece proteção avançada por si só. No entanto, quando combinado com as outras capacidades do Microsoft Defender XDR, o Defender para Identidade fornece dados para os sinais partilhados que, em conjunto, ajudam a parar os ataques.
Eis um exemplo de um ciberataque e como os componentes do Microsoft Defender XDR ajudam a detetá-lo e a mitigá-lo.
O Defender para Identidade recolhe sinais de controladores de domínio do Active Directory Domain Services (AD DS) e servidores com Serviços de Federação do Active Directory (AD FS) (AD FS) e Serviços de Certificados do Active Directory (AD CS). Utiliza estes sinais para proteger o seu ambiente de identidade híbrida, incluindo a proteção contra hackers que utilizam contas comprometidas para se moverem lateralmente entre estações de trabalho no ambiente no local.
Microsoft Defender XDR correlaciona os sinais de todos os componentes Microsoft Defender para fornecer a história completa do ataque.
Arquitetura do Defender para Identidade
Microsoft Defender para Identidade está totalmente integrado com Microsoft Defender XDR e tira partido dos sinais de identidades Active Directory local para o ajudar a identificar, detetar e investigar melhor ameaças avançadas direcionadas para a sua organização.
Implemente Microsoft Defender para Identidade para ajudar as suas equipas de Operações de Segurança (SecOps) a fornecer uma solução moderna de deteção e resposta a ameaças de identidade (ITDR) em ambientes híbridos, incluindo:
- Impedir falhas de segurança através de avaliações proativas da postura de segurança de identidade
- Detetar ameaças com análises em tempo real e inteligência de dados
- Investigar atividades suspeitas com informações claras e acionáveis sobre incidentes
- Responda a ataques através da resposta automática a identidades comprometidas. Para obter mais informações, consulte O que é Microsoft Defender para Identidade?
O Defender para Identidade protege as contas de utilizador do AD DS no local e as contas de utilizador sincronizadas com o seu inquilino Microsoft Entra ID. Para proteger um ambiente composto apenas por Microsoft Entra contas de utilizador, veja Microsoft Entra ID Protection.
O diagrama seguinte ilustra a arquitetura do Defender para Identidade.
Nesta ilustração:
- Os sensores instalados nos controladores de domínio do AD DS e nos servidores do AD CS analisam os registos e o tráfego de rede e enviam-nos para Microsoft Defender para Identidade para análise e relatórios.
- Os sensores também podem analisar autenticações do AD FS para fornecedores de identidade de terceiros e quando Microsoft Entra ID está configurada para utilizar a autenticação federada (as linhas pontilhadas na ilustração).
- Microsoft Defender para Identidade partilha sinais para Microsoft Defender XDR.
Os sensores do Defender para Identidade podem ser instalados diretamente nos seguintes servidores:
- Controladores de domínio do AD DS. O sensor monitoriza diretamente o tráfego do controlador de domínio, sem a necessidade de um servidor dedicado ou a configuração do espelhamento de porta.
- Servidores do AD FS/servidores AD CS. O sensor monitoriza diretamente o tráfego de rede e os eventos de autenticação.
Para obter uma visão mais aprofundada da arquitetura do Defender para Identidade, veja arquitetura Microsoft Defender para Identidade.
Passo 1: Configurar a instância do Defender para Identidade
Inicie sessão no portal do Defender para começar a implementar serviços suportados, incluindo Microsoft Defender para Identidade. Para obter mais informações, consulte Começar a utilizar Microsoft Defender XDR.
Passo 2: Instalar os sensores
O Defender para Identidade requer algum trabalho de pré-requisitos para garantir que os seus componentes de rede e identidade no local cumprem os requisitos mínimos para instalar o sensor do Defender para Identidade no seu ambiente.
Assim que tiver a certeza da preparação do seu ambiente, planeie a sua capacidade e verifique a conectividade com o Defender para Identidade. Em seguida, quando estiver pronto, transfira, instale e configure o sensor do Defender para Identidade nos controladores de domínio, no AD FS e nos servidores do AD CS no seu ambiente no local.
| Etapa | Descrição | Mais informações |
|---|---|---|
| 1 | Confirme que o seu ambiente cumpre os pré-requisitos do Defender para Identidade. | Pré-requisitos do Microsoft Defender para Identidade |
| 2 | Determine quantos sensores de Microsoft Defender para Identidade precisa. | Capacidade de planejamento para Microsoft Defender para Identidade |
| 3 | Verificar a conectividade ao serviço Defender para Identidade | Verificar a atividade de rede |
| 4 | Transferir e instalar o sensor do Defender para Identidade | Instalar o Defender para Identidade |
| 5 | Configurar o sensor | Configurar as definições do sensor Microsoft Defender para Identidade |
Passo 3: Configurar o registo de eventos e as definições de proxy em computadores com o sensor
Nos computadores onde instalou o sensor, configure a recolha de registos de eventos do Windows para ativar e melhorar as capacidades de deteção.
| Etapa | Descrição | Mais informações |
|---|---|---|
| 1 | Configurar a recolha de registos de eventos do Windows |
Coleção de eventos com Microsoft Defender para Identidade Configurar políticas de auditoria para registos de eventos do Windows |
Passo 4: Permitir que o Defender para Identidade identifique administradores locais noutros computadores
Microsoft Defender para Identidade deteção do caminho de movimento lateral (LMP) baseia-se em consultas que identificam administradores locais em computadores específicos. Estas consultas são efetuadas com o protocolo SAM-R, utilizando a conta do Serviço defender para identidade.
Para garantir que os clientes e servidores do Windows permitem que a sua conta do Defender para Identidade execute SAM-R, tem de ser efetuada uma modificação ao Política de Grupo para adicionar a conta de serviço do Defender para Identidade, além das contas configuradas listadas na política de acesso à Rede. Certifique-se de que aplica políticas de grupo a todos os computadores , exceto aos controladores de domínio.
Para obter instruções sobre como fazê-lo, veja Configurar SAM-R para ativar a deteção de caminhos de movimento lateral no Microsoft Defender para Identidade.
Passo 5: Experimentar as capacidades
A documentação do Defender para Identidade inclui os seguintes artigos que explicam o processo de identificação e remediação de vários tipos de ataque:
- Investigar recursos, incluindo utilizadores, grupos e dispositivos suspeitos
- Compreender e investigar LMPs com Microsoft Defender para Identidade
- Compreender os alertas de segurança
Para saber mais, confira:
- Alertas de reconhecimento
- Alertas de credenciais comprometidos
- Alertas de movimento lateral
- Alertas de dominância de domínio
- Alertas de exfiltração
- Investigar um utilizador
- Investigar um computador
- Investigar caminhos de movimento lateral
- Investigar entidades nos dispositivos
Integração SIEM
Pode integrar o Defender para Identidade com Microsoft Sentinel como parte da plataforma de operações de segurança unificada da Microsoft ou um serviço genérico de gestão de informações e eventos de segurança (SIEM) para ativar a monitorização centralizada de alertas e atividades de aplicações ligadas. Com Microsoft Sentinel, pode analisar eventos de segurança em toda a sua organização de forma mais abrangente e criar manuais de procedimentos para obter uma resposta eficaz e imediata.
Microsoft Sentinel inclui um Microsoft Defender para o conector de dados XDR para trazer todos os sinais de Defender XDR, incluindo o Defender para Identidade, para Microsoft Sentinel. Utilize a plataforma de operações de segurança unificada no portal do Defender como uma única plataforma para operações de segurança ponto a ponto (SecOps).
Para saber mais, confira:
Próxima etapa
Incorpore o seguinte nos seus processos secOps:
Passo seguinte para a implementação ponto a ponto do Microsoft Defender XDR
Continue a implementação ponto a ponto do Microsoft Defender XDR com o Piloto e implemente Defender para Office 365.
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.