使用 Microsoft Defender XDR 部署適用於身分識別的 Microsoft Defender
本文提供 適用於身分識別的 Microsoft Defender 的完整部署程式概觀,包括準備、部署和特定案例的額外步驟。
適用於身分識別的 Defender 是 零信任 策略和身分識別威脅偵測和回應 (ITDR) 或具有 Microsoft Defender 全面偵測回應 的擴充偵測和回應 (XDR) 部署的主要元件。 適用於身分識別的 Defender 會使用來自您身分識別基礎結構伺服器的訊號,例如域控制器、AD FS/AD CS 和 Entra Connect 伺服器來偵測許可權提升或高風險橫向移動等威脅,並報告安全性小組可修正容易惡意探索的身分識別問題,例如不受限制的 Kerberos 委派。
如需一組快速部署重點,請參閱 快速安裝指南。
必要條件
開始之前,請確定您至少可以存取 Microsoft Defender 全面偵測回應 為安全性系統管理員,而且您有下列其中一個授權:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* 安全性
- Microsoft 365 F5 安全性 + 合規性
- 適用於身分識別的獨立 Defender 授權
* F5 授權都需要Microsoft 365 F1/F3 或 Office 365 F3 和 企業行動力 + 安全性 E3。
直接透過 Microsoft 365 入口網站 取得授權,或使用雲端解決方案合作夥伴 (CSP) 授權模型。
如需詳細資訊,請參閱 授權和隱私權常見問題 和 什麼是適用於身分識別角色和許可權的Defender?
開始使用 Microsoft Defender 全面偵測回應
本節說明如何開始上線至適用於身分識別的 Defender。
- 登入 Microsoft Defender 入口網站。
- 從導覽功能表中,選取任何專案,例如 事件和警示、 搜捕、 控制中心或 威脅分析 ,以起始上線程式。
接著,您可以選擇部署支援的服務,包括 適用於身分識別的 Microsoft Defender。 當您開啟適用於身分識別的 Defender 設定頁面時,會自動新增適用於身分識別的 Defender 所需的雲端元件。
如需詳細資訊,請參閱
- Microsoft Defender 全面偵測回應中的 適用於身分識別的 Microsoft Defender
- 開始使用 Microsoft 365 Defender XDR
- 開啟 Microsoft Defender 全面偵測回應
- 部署支持的服務
- 開啟 Microsoft Defender 全面偵測回應 時的常見問題
重要
目前,適用於身分識別的 Defender 數據中心部署在歐洲、英國、瑞士、北美洲/中美洲/加勒比、澳大利亞東部、亞洲和印度。 您的工作區 (實例) 會自動在最接近您 Microsoft Entra 租使用者的地理位置的 Azure 區域中建立。 建立之後,適用於身分識別的Defender工作區將無法移動。
規劃和準備
使用下列步驟來準備部署適用於身分識別的Defender:
請確定您具備所有必要的 必要條件 。
提示
建議您執行 Test-MdiReadiness.ps1 腳本來測試,並查看您的環境是否有必要的必要條件。
Test-MdiReadiness.ps1 腳本的連結也可從 [身分識別>工具] 頁面的 [Microsoft Defender 全面偵測回應 取得 。預覽]。
部署適用於身分識別的Defender
準備好系統之後,請使用下列步驟來部署適用於身分識別的Defender:
- 確認與適用於身分識別的 Defender 服務的連線。
- 下載適用於身分識別的 Defender 感測器。
- 安裝適用於身分識別的Defender感測器。
- 設定適用於身分識別的 Defender 感測器 以開始接收數據。
部署後設定
下列程式可協助您完成部署程式:
設定 Windows 事件集合。 如需詳細資訊,請參閱事件收集與 適用於身分識別的 Microsoft Defender 和設定 Windows 事件記錄的稽核原則。
設定目錄服務帳戶 (DSA) 以與適用於身分識別的 Defender 搭配使用。 在某些案例中,DSA 是選擇性的,但建議您為適用於身分識別的 Defender 設定 DSA,以取得完整的安全性涵蓋範圍。 例如,當您設定 DSA 時,DSA 會用來在啟動時連線到域控制器。 DSA 也可用來查詢域控制器,以取得網路流量、受監視事件和受監視 ETW 活動中所見實體的數據
視需要設定對SAM 的遠端呼叫。 雖然此步驟是選擇性的,但建議您使用適用於身分識別的 Defender 來設定 SAM-R 的遠端呼叫,以進行橫向動作路徑偵測。
提示
根據預設,適用於身分識別的 Defender 感測器會使用埠 389 和 3268 上的 LDAP 來查詢目錄。 若要在埠 636 和 3269 上切換至 LDAPS,請開啟支援案例。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 支援。
重要
在AD FS/AD CS和 Entra Connect 伺服器上安裝適用於身分識別的Defender感測器需要額外的步驟。 如需詳細資訊,請參閱 設定AD FS、AD CS和 Entra Connect 的感測器。