Настройка датчика Microsoft Defender для удостоверений

  • 5 мин

На высоком уровне для включения Microsoft Defender для удостоверений требуются следующие шаги:

  1. Создайте экземпляр на портале управления в Microsoft Defender для удостоверений.
  2. Укажите локальную учетную запись службы AD на портале Microsoft Defender для удостоверений.
  3. Скачивание и установка пакета датчиков.
  4. Установка датчика Microsoft Defender для удостоверений на всех контроллерах домена.
  5. Интегрируйте ваше VPN-решение (необязательно).
  6. Исключите конфиденциальные учетные записи, указанные вами в процессе проектирования.
  7. Настройте необходимые разрешения для датчика, чтобы он мог выполнять вызовы SAM-R.
  8. Настройте интеграцию с Microsoft Defender for Cloud Apps.
  9. Настройка интеграции с XDR в Microsoft Defender (необязательно).

На следующей схеме показана архитектура Microsoft Defender для удостоверений. В этом разделе мы обсудим, как настроить датчик Microsoft Defender для удостоверений.

Архитектура Microsoft Defender для удостоверений

Установленный непосредственно на ваши контроллеры домена, датчик Microsoft Defender для удостоверений получает доступ к необходимым журналам событий непосредственно с контроллера домена. После анализа журналов и сетевого трафика датчиком, Microsoft Defender для удостоверений отправляет только обработанную информацию в облачную службу Microsoft Defender для удостоверений (отправляется только процент журналов).

Датчик Microsoft Defender для удостоверений имеет следующие основные функции:

  • Сбор и проверка сетевого трафика контроллера домена (локальный трафик контроллера домена)
  • Получение событий Windows непосредственно с контроллера домена
  • Получение учетных данных RADIUS от поставщика услуг VPN
  • Извлечение данных о пользователях и компьютерах из домена Active Directory
  • Выполнение разрешения сетевых объектов (пользователей, групп и компьютеров)
  • Передача соответствующих данных в облачную службу Microsoft Defender для удостоверений

Датчик Microsoft Defender для удостоверений имеет следующие требования:

  • KB4487044, установленное на сервере 2019. Датчики Microsoft Defender для удостоверений, уже установленные на серверах 2019 без этого обновления, будут автоматически остановлены.
  • Список ОС контроллера домена, поддерживаемый датчиком Microsoft Defender для удостоверений.
    • Windows Server 2008 R2 с пакетом обновления 1 (без основных серверных компонентов)
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016 (включая основные серверные компоненты Windows, но не Windows Nano Server)
    • Windows Server 2019 (включая основные компоненты Windows, но не Windows Nano Server)
  • Контроллер домена может быть контроллером домена только для чтения (RODC).
  • Рекомендуется 10 ГБ дискового пространства. Это включает пространство, необходимое для двоичных файлов Microsoft Defender для удостоверений, журналов Microsoft Defender для удостоверений и журналов производительности.
  • Для работы датчика Microsoft Defender для удостоверений необходимо как минимум два ядра и 6 ГБ оперативной памяти, установленных на контроллере домена.
  • Возможность мощности датчика Microsoft Defender для удостоверений для достижения высокой производительности.
  • Датчики Microsoft Defender для удостоверений можно развернуть на контроллерах домена с различной нагрузкой и размером, в зависимости от объема сетевого трафика на контроллерах домена и от них, а также количества установленных ресурсов.
  • При работе с виртуальной машиной динамическая память или другие функции расширения памяти не поддерживаются.

Чтобы установить датчик Microsoft Defender для удостоверений, выполните следующие действия:

  1. Скачайте и извлеките файл датчика. Запустите setup.exe датчика Microsoft Defender для удостоверений и следуйте инструкциям мастера настройки.
  2. На странице приветствия выберите нужный язык и нажмите кнопку Далее.

Шаги установки: выбор языка.

  1. Мастер установки автоматически проверяет, является ли сервер контроллером домена или выделенным сервером. Если это контроллер домена, устанавливается датчик Microsoft Defender для удостоверений. Если это выделенный сервер, устанавливается датчик отдельной службы Microsoft Defender для удостоверений. Например, для датчика Microsoft Defender для удостоверений отображается следующий экран с уведомлением о том, что датчик Microsoft Defender для удостоверений установлен на вашем выделенном сервере:

    Шаги установки: определение типа сервера.

  2. В разделе Настройка датчика введите путь установки и ключ доступа в зависимости от вашей среды.

    • Путь установки: Расположение установки датчика Microsoft Defender для удостоверений. По умолчанию используется путь %programfiles%\Microsoft Defender for Identity sensor. Оставьте значение по умолчанию.
    • Клавиша доступа: Получено из портала Microsoft Defender для удостоверений.

    Шаги установки: настройка датчика.

  3. Нажмите Установить.

После установки датчика Microsoft Defender для удостоверений, выполните указанные ниже действия, чтобы настроить параметры датчика Microsoft Defender для удостоверений:

  1. Нажмите Запустить, чтобы открыть браузер и войти на портал Microsoft Defender для удостоверений.

  2. На портале Microsoft Defender для удостоверения откройте вкладку Конфигурация. В разделе "Система" выберите Датчики.

    Шаги установки: выбор датчиков на портале Microsoft Defender для Office 365.

  3. Щелкните на датчик, который хотите настроить, и введите следующую информацию:

    • Описание: Введите описание для датчика Microsoft Defender для удостоверений (необязательно).

    • Контроллеры домена (Полное доменное имя) (требуется для датчика отдельной службы Microsoft Defender для удостоверений; нельзя изменить для датчика Microsoft Defender для удостоверений): введите полное доменное имя вашего контроллера домена и щелкните на знак плюса, чтобы добавить его в список. Например, dc01.contoso.com.

      Следующая информация относится к серверам, которые вы вводите в список контроллеров домена:

      • Все контроллеры домена, трафик которых отслеживается через зеркалирование портов датчиком отдельной службы Microsoft Defender для удостоверений, должны быть перечислены в списке контроллеров домена. Если контроллер домена не указан в списке контроллеров домена, обнаружение подозрительных действий может работать неправильно.
      • По крайней мере один контроллер домена в списке должен быть глобальным каталогом. Это позволяет Microsoft Defender для удостоверений обрабатывать объекты компьютеров и пользователей в других доменах леса.

    • Снимок экрана сетевых адаптеров (обязательно).

      • Для датчиков Microsoft Defender для удостоверений все сетевые адаптеры, которые используются для связи с другими компьютерами в вашей организации.
      • Для датчика отдельной службы Microsoft Defender для удостоверений на выделенном сервере выберите сетевые адаптеры, которые настроены в качестве целевого порта зеркалирования. Такие сетевые адаптеры получают зеркальный трафик контроллера домена.

    Шаги установки. Введите сведения для настройки датчика.

  4. Нажмите кнопку Сохранить.