Distribuera Microsoft Defender for Identity med Microsoft Defender XDR

Den här artikeln innehåller en översikt över den fullständiga distributionsprocessen för Microsoft Defender for Identity, inklusive steg för förberedelse, distribution och extra steg för specifika scenarier.

Defender for Identity är en primär komponent i en Nolltillit strategi och din ITDR-distribution (Identity Threat Detection and Response) eller en XDR-distribution (extended detection and response) med Microsoft Defender XDR. Defender for Identity använder signaler från dina servrar för identitetsinfrastruktur som domänkontrollanter, AD FS/AD CS- och Entra Connect-servrar för att identifiera hot som behörighetseskalering eller lateral förflyttning med hög risk och rapporter om lättutnyttjade identitetsproblem som obegränsad Kerberos-delegering, för korrigering av säkerhetsteamet.

En snabb uppsättning distributionshöjdpunkter finns i Snabbinstallationsguide.

Förhandskrav

Innan du börjar kontrollerar du att du har åtkomst till Microsoft Defender XDR minst som säkerhetsadministratör och att du har någon av följande licenser:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Säkerhet
• Säkerhet och efterlevnad för Microsoft 365 F5*
• En fristående Defender for Identity-licens

* Båda F5-licenserna kräver Microsoft 365 F1/F3 eller Office 365 F3 och Enterprise Mobility + Security E3.

Skaffa licenser direkt via Microsoft 365-portalen eller använd csp-licensieringsmodellen (Cloud Solution Partner).

Mer information finns i Vanliga frågor och svar om licensiering och sekretess och Vad är Defender för identitetsroller och behörigheter?

Börja använda Microsoft Defender XDR

I det här avsnittet beskrivs hur du börjar registrera dig för Defender for Identity.

1. Logga in på Microsoft Defender-portalen.
2. I navigeringsmenyn väljer du valfritt objekt, till exempel Incidenter & aviseringar, Jakt, Åtgärdscenter eller Hotanalys för att initiera registreringsprocessen.

Sedan får du möjlighet att distribuera tjänster som stöds, inklusive Microsoft Defender for Identity. Molnkomponenter som krävs för Defender för identitet läggs automatiskt till när du öppnar sidan Inställningar för Defender för identitet.

Mer information finns i:

• Microsoft Defender for Identity i Microsoft Defender XDR
• Kom igång med Microsoft Defender XDR
• Aktivera Microsoft Defender XDR
• Distribuera tjänster som stöds
• Vanliga frågor och svar när du aktiverar Microsoft Defender XDR

Viktigt

För närvarande distribueras Defender for Identity-datacenter i Europa, Storbritannien, Schweiz, Nordamerika/Centralamerika/Karibien, Australien, östra, Asien och Indien. Din arbetsyta (instans) skapas automatiskt i Azure-regionen närmast den geografiska platsen för din Microsoft Entra klientorganisation. När de har skapats kan inte Defender för identitetsarbetsytor flyttas.

Planera och förbereda

Använd följande steg för att förbereda distributionen av Defender for Identity:

1. Kontrollera att du har alla krav som krävs.

2. Planera din Defender for Identity-kapacitet.

Tips

Vi rekommenderar att du körTest-MdiReadiness.ps1 skriptet för att testa och se om din miljö har de nödvändiga förutsättningarna.

Länken till Test-MdiReadiness.ps1-skriptet är också tillgänglig från Microsoft Defender XDR på sidan Identitetsverktyg > (förhandsversion).

Distribuera Defender for Identity

När du har förberett systemet använder du följande steg för att distribuera Defender for Identity:

1. Verifiera anslutningen till defender för identitetstjänsten.
2. Ladda ned Defender for Identity-sensorn.
3. Installera Defender for Identity-sensorn.
4. Konfigurera Defender for Identity-sensorn för att börja ta emot data.

Konfiguration efter distribution

Följande procedurer hjälper dig att slutföra distributionsprocessen:

• Konfigurera Windows-händelsesamling. Mer information finns i Händelseinsamling med Microsoft Defender for Identity och Konfigurera granskningsprinciper för Windows-händelseloggar.

• Aktivera och konfigurera enhetlig rollbaserad åtkomstkontroll (RBAC) för Defender för identitet.

• Konfigurera ett katalogtjänstkonto (DSA) för användning med Defender för identitet. Även om en DSA är valfri i vissa scenarier rekommenderar vi att du konfigurerar en DSA för Defender för identitet för fullständig säkerhetstäckning. När du till exempel har konfigurerat en DSA används DSA för att ansluta till domänkontrollanten vid start. En DSA kan också användas för att fråga domänkontrollanten efter data om entiteter som visas i nätverkstrafik, övervakade händelser och övervakade ETW-aktiviteter

• Konfigurera fjärranrop till SAM efter behov. Även om det här steget är valfritt rekommenderar vi att du konfigurerar fjärranrop till SAM-R för identifiering av lateral förflyttningssökväg med Defender för identitet.

Tips

Som standard frågar Defender for Identity-sensorer katalogen med hjälp av LDAP på portarna 389 och 3268. Om du vill växla till LDAPS på portarna 636 och 3269 öppnar du ett supportärende. Mer information finns i Microsoft Defender for Identity support.

Viktigt

Installation av en Defender for Identity-sensor på en AD FS/AD CS- och Entra Connect-servrar kräver extra steg. Mer information finns i Konfigurera sensorer för AD FS, AD CS och Entra Connect.

Nästa steg

Krav för Defender för identitet »