Pilottesta och distribuera Microsoft Defender for Identity
Gäller för:
- Microsoft Defender XDR
Den här artikeln innehåller ett arbetsflöde för att testa och distribuera Microsoft Defender for Identity i din organisation. Använd dessa rekommendationer för att publicera Microsoft Defender for Identity som en del av en lösning från slutpunkt till slutpunkt med Microsoft Defender XDR.
Den här artikeln förutsätter att du har en Microsoft 365-produktionsklientorganisation och pilottestar och distribuerar Microsoft Defender for Identity i den här miljön. Den här metoden underhåller alla inställningar och anpassningar som du konfigurerar under pilottestet för din fullständiga distribution.
Defender for Identity bidrar till en Nolltillit arkitektur genom att hjälpa till att förhindra eller minska affärsskador från ett intrång. Mer information finns i Avsnittet om att förhindra eller minska affärsskador från ett scenario med intrång i Microsoft Nolltillit-implementeringsramverket.
Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR
Det här är artikel 2 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.
Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:
| Fas | Länk |
|---|---|
| A. Starta piloten | Starta piloten |
| B. Pilottesta och distribuera Microsoft Defender XDR komponenter |
-
Pilottesta och distribuera Defender for Identity (den här artikeln) - Pilottesta och distribuera Defender för Office 365 - Pilottesta och distribuera Defender för Endpoint - Pilottesta och distribuera Microsoft Defender for Cloud Apps |
| C. Undersöka och svara på hot | Öva incidentundersökning och svar |
Pilot- och distributionsarbetsflöde för Defender for Identity
Följande diagram illustrerar en gemensam process för att distribuera en produkt eller tjänst i en IT-miljö.
Du börjar med att utvärdera produkten eller tjänsten och hur den fungerar i din organisation. Sedan pilottestar du produkten eller tjänsten med en lämplig liten delmängd av produktionsinfrastrukturen för testning, inlärning och anpassning. Öka sedan distributionens omfattning gradvis tills hela infrastrukturen eller organisationen omfattas.
Här är arbetsflödet för att testa och distribuera Defender for Identity i produktionsmiljön.
Gör så här:
- Konfigurera Defender for Identity-instansen
- Installera och konfigurera sensorer
- Konfigurera händelselogg- och proxyinställningar på datorer med sensorn
- Tillåt att Defender för identitet identifierar lokala administratörer på andra datorer
- Prova funktioner
Här är de rekommenderade stegen för varje distributionsfas.
| Distributionssteg | Beskrivning |
|---|---|
| Evaluera | Utför produktutvärdering för Defender for Identity. |
| Pilot | Utför steg 1–5 för en lämplig delmängd servrar med sensorer i produktionsmiljön. |
| Fullständig distribution | Utför steg 2–4 för de återstående servrarna och expandera bortom piloten för att inkludera alla. |
Skydda din organisation från hackare
Defender for Identity ger ett kraftfullt skydd på egen hand. Men i kombination med de andra funktionerna i Microsoft Defender XDR tillhandahåller Defender for Identity data till de delade signalerna som tillsammans hjälper till att stoppa attacker.
Här är ett exempel på en cyberattack och hur komponenterna i Microsoft Defender XDR hjälpa till att identifiera och minimera den.
Defender for Identity samlar in signaler från Active Directory Domain Services (AD DS) domänkontrollanter och servrar som kör Active Directory Federation Services (AD FS) (AD FS) och Active Directory Certificate Services (AD CS). Den använder dessa signaler för att skydda din hybrididentitetsmiljö, inklusive skydd mot hackare som använder komprometterade konton för att flytta i detalj mellan arbetsstationer i den lokala miljön.
Microsoft Defender XDR korrelerar signalerna från alla Microsoft Defender komponenter för att ge den fullständiga attackberättelsen.
Defender for Identity-arkitektur
Microsoft Defender for Identity är helt integrerat med Microsoft Defender XDR och utnyttjar signaler från lokal Active Directory identiteter för att hjälpa dig att bättre identifiera, identifiera och undersöka avancerade hot riktade mot din organisation.
Distribuera Microsoft Defender for Identity för att hjälpa dina SecOps-team (Security Operations) att leverera en modern ITDR-lösning (identifiering och svar för identitetshot) i hybridmiljöer, inklusive:
- Förhindra överträdelser med hjälp av proaktiva utvärderingar av identitetssäkerhetsstatus
- Identifiera hot med hjälp av realtidsanalys och dataintelligens
- Undersök misstänkta aktiviteter med hjälp av tydlig, åtgärdsbar incidentinformation
- Svara på attacker med hjälp av automatiskt svar på komprometterade identiteter. Mer information finns i Vad är Microsoft Defender for Identity?
Defender for Identity skyddar dina lokala AD DS-användarkonton och användarkonton som synkroniserats med din Microsoft Entra ID klientorganisation. Information om hur du skyddar en miljö som endast består av Microsoft Entra användarkonton finns i Microsoft Entra ID Protection.
Följande diagram illustrerar arkitekturen för Defender för identitet.
I den här illustrationen:
- Sensorer installerade på AD DS-domänkontrollanter och AD CS-servrar parsar loggar och nätverkstrafik och skickar dem till Microsoft Defender for Identity för analys och rapportering.
- Sensorer kan också parsa AD FS-autentiseringar för identitetsprovidrar från tredje part och när Microsoft Entra ID har konfigurerats för att använda federerad autentisering (de prickade raderna i bilden).
- Microsoft Defender for Identity delar signaler till Microsoft Defender XDR.
Defender for Identity-sensorer kan installeras direkt på följande servrar:
- AD DS-domänkontrollanter. Sensorn övervakar direkt domänkontrollanttrafik, utan behov av en dedikerad server eller konfiguration av portspegling.
- AD FS-servrar/AD CS-servrar. Sensorn övervakar direkt nätverkstrafik och autentiseringshändelser.
Mer information om arkitekturen för Defender for Identity finns i Microsoft Defender for Identity arkitektur.
Steg 1: Konfigurera Defender for Identity-instansen
Logga in på Defender-portalen för att börja distribuera tjänster som stöds, inklusive Microsoft Defender for Identity. Mer information finns i Börja använda Microsoft Defender XDR.
Steg 2: Installera dina sensorer
Defender for Identity kräver ett visst kravarbete för att säkerställa att dina lokala identitets- och nätverkskomponenter uppfyller minimikraven för att du ska kunna installera Defender for Identity-sensorn i din miljö.
När du är säker på att din miljö är redo kan du planera din kapacitet och verifiera anslutningen till Defender for Identity. När du är klar laddar du sedan ned, installerar och konfigurerar Defender for Identity-sensorn på domänkontrollanterna, AD FS- och AD CS-servrarna i din lokala miljö.
| Steg | Beskrivning | Mer information |
|---|---|---|
| 1 | Bekräfta att din miljö uppfyller kraven för Defender for Identity. | Microsoft Defender for Identity krav |
| 2 | Fastställ hur många Microsoft Defender for Identity sensorer du behöver. | Planera kapacitet för Microsoft Defender for Identity |
| 3 | Verifiera anslutningen till defender för identitetstjänsten | Kontrollera nätverksaktivitet |
| 4 | Ladda ned och installera Defender for Identity-sensorn | Installera Defender for Identity |
| 5 | Konfigurera sensorn | Konfigurera Microsoft Defender for Identity sensorinställningar |
Steg 3: Konfigurera händelselogg- och proxyinställningar på datorer med sensorn
På de datorer som du installerade sensorn på konfigurerar du Insamling av Windows-händelseloggar för att aktivera och förbättra identifieringsfunktionerna.
| Steg | Beskrivning | Mer information |
|---|---|---|
| 1 | Konfigurera insamling av Windows-händelseloggar |
Händelsesamling med Microsoft Defender for Identity Konfigurera granskningsprinciper för Windows-händelseloggar |
Steg 4: Tillåt att Defender for Identity identifierar lokala administratörer på andra datorer
Microsoft Defender for Identity identifiering av lateral förflyttningsväg (LMP) förlitar sig på frågor som identifierar lokala administratörer på specifika datorer. Dessa frågor utförs med SAM-R-protokollet med hjälp av Defender for Identity Service-kontot.
För att säkerställa att Windows-klienter och -servrar tillåter att ditt Defender for Identity-konto utför SAM-R måste en ändring av grupprincip göras för att lägga till defender för identitetstjänstkontot utöver de konfigurerade konton som anges i principen för nätverksåtkomst. Se till att tillämpa grupprinciper på alla datorer utom domänkontrollanter.
Anvisningar om hur du gör detta finns i Konfigurera SAM-R för att aktivera identifiering av lateral förflyttningssökväg i Microsoft Defender for Identity.
Steg 5: Prova funktioner
Dokumentationen om Defender för identitet innehåller följande artiklar som går igenom processen för att identifiera och åtgärda olika attacktyper:
- Undersöka tillgångar, inklusive misstänkta användare, grupper och enheter
- Förstå och undersöka LMPs med Microsoft Defender for Identity
- Förstå säkerhetsaviseringar
Mer information finns i:
- Rekognoseringsaviseringar
- Aviseringar om komprometterade autentiseringsuppgifter
- Laterala förflyttningsaviseringar
- Aviseringar om domändominans
- Exfiltreringsaviseringar
- Undersöka en användare
- Undersöka en dator
- Undersöka laterala rörelsevägar
- Undersöka entiteter
SIEM-integrering
Du kan integrera Defender for Identity med Microsoft Sentinel som en del av Microsofts enhetliga plattform för säkerhetsåtgärder eller en allmän SIEM-tjänst (säkerhetsinformation och händelsehantering) för att möjliggöra centraliserad övervakning av aviseringar och aktiviteter från anslutna appar. Med Microsoft Sentinel kan du mer omfattande analysera säkerhetshändelser i organisationen och skapa spelböcker för effektiv och omedelbar respons.
Microsoft Sentinel innehåller en Microsoft Defender för XDR-dataanslutning för att ta med alla signaler från Defender XDR, inklusive Defender för identitet, till Microsoft Sentinel. Använd den enhetliga säkerhetsåtgärdsplattformen i Defender-portalen som en enda plattform för säkerhetsåtgärder från slutpunkt till slutpunkt (SecOps).
Mer information finns i:
Nästa steg
Införliva följande i dina SecOps-processer:
Nästa steg för distribution från slutpunkt till slutpunkt av Microsoft Defender XDR
Fortsätt distributionen av Microsoft Defender XDR från slutpunkt till slutpunkt med Pilot och distribuera Defender för Office 365.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.