試驗和部署 適用於身分識別的 Microsoft Defender
適用於:
- Microsoft Defender XDR
本文提供在組織中試驗和部署 適用於身分識別的 Microsoft Defender 的工作流程。 您可以使用這些建議,將 適用於身分識別的 Microsoft Defender 作為個別的網路安全性工具上線,或作為端對端解決方案的一部分,Microsoft Defender 全面偵測回應。
本文假設您有生產環境Microsoft 365 租使用者,並在此環境中試驗和部署 適用於身分識別的 Microsoft Defender。 此做法會維護您在試驗期間為完整部署所設定的任何設定和自定義。
適用於 Office 365 的 Defender 藉由協助防止或減少因缺口而造成的業務損害,為 零信任 架構做出貢獻。 如需詳細資訊,請參閱 Microsoft 零信任 採用架構中的防止或減少因外泄商務案例造成的業務損害。
Microsoft Defender 全面偵測回應 的端對端部署
這是系列文章 6 的第 2 篇文章,可協助您部署 Microsoft Defender 全面偵測回應 的元件,包括調查和回應事件。
本系列中的文章會對應至下列端對端部署階段:
| 階段 | 連結 |
|---|---|
| 答: 啟動試驗 | 啟動試驗 |
| B. 試驗和部署 Microsoft Defender 全面偵測回應元件 |
- 試驗和部署適用於身分識別的Defender (本文) - 試驗和部署 適用於 Office 365 的 Defender - 試驗和部署適用於端點的Defender - 試驗和部署 Microsoft Defender for Cloud Apps |
| C. 調查和回應威脅 | 練習事件調查和回應 |
試驗和部署適用於身分識別的Defender工作流程
下圖說明在IT環境中部署產品或服務的常見程式。
首先,您會評估產品或服務,以及其在組織內的運作方式。 然後,您可以使用適當的小型生產基礎結構子集來試驗產品或服務,以進行測試、學習和自定義。 然後,逐漸增加部署的範圍,直到涵蓋整個基礎結構或組織為止。
以下是在生產環境中試驗和部署適用於身分識別的Defender的工作流程。
依照下列步驟執行:
- 設定適用於身分識別的Defender實例
- 安裝和設定感測器
- 使用感測器在計算機上設定事件記錄檔和 Proxy 設定
- 允許適用於身分識別的 Defender 識別其他電腦上的本機系統管理員
- 設定身分識別環境的基準檢驗建議
- 試用功能
以下是每個部署階段的建議步驟。
| 部署階段 | 描述 |
|---|---|
| 評估 | 執行適用於身分識別的Defender產品評估。 |
| 試驗 | 針對生產環境中具有感測器的適當伺服器子集,執行步驟 1-6。 |
| 完整部署 | 針對剩餘的伺服器執行步驟 2-5,擴充到試驗之外以包含所有伺服器。 |
保護您的組織免於駭客的攻擊
適用於身分識別的Defender自行提供強大的保護。 不過,結合 Microsoft Defender 全面偵測回應 的其他功能時,適用於身分識別的 Defender 會將數據提供給共用訊號,以協助停止攻擊。
以下是網路攻擊的範例,以及 Microsoft Defender 全面偵測回應元件如何協助偵測並減輕攻擊。
適用於身分識別的 Defender 會從 #DF98E6D77EAE44838B74F37AAAEAF5A45 (AD DS 收集訊號,) 執行 AD FS) 和 Active Directory 憑證 (服務 (AD CS) Active Directory 同盟服務 的域控制器和伺服器。 它會使用這些訊號來保護您的混合式身分識別環境,包括防止駭客使用遭入侵的帳戶橫向在內部部署環境中的工作站之間移動。
Microsoft Defender 全面偵測回應 將來自所有 Microsoft Defender元件的訊號相互關聯,以提供完整的攻擊案例。
適用於身分識別的Defender架構
適用於身分識別的 Microsoft Defender 與 Microsoft Defender 全面偵測回應 完全整合,並利用來自 內部部署的 Active Directory 身分識別的訊號,協助您進一步識別、偵測及調查組織導向的進階威脅。
部署 適用於身分識別的 Microsoft Defender,以協助您的安全性作業 (SecOps) 小組提供跨混合式環境的新式身分識別威脅偵測和回應 (ITDR) 解決方案,包括:
- 使用主動式身分識別安全性狀態評估來防止缺口
- 使用即時分析和數據智慧偵測威脅
- 使用清楚、可採取動作的事件信息調查可疑活動
- 使用自動回應遭入侵的身分識別來回應攻擊。 如需詳細資訊,請參閱什麼是 適用於身分識別的 Microsoft Defender?
適用於身分識別的Defender可保護內部部署AD DS用戶帳戶,以及同步至您 Microsoft Entra ID租使用者的用戶帳戶。 若要保護僅由 Microsoft Entra 用戶帳戶所組成的環境,請參閱 Microsoft Entra ID Protection。
下圖說明適用於身分識別的Defender的架構。
在此圖例中:
- 安裝在 AD DS 域控制器和 AD CS 伺服器上的感測器會剖析記錄和網路流量,並將它們傳送到 適用於身分識別的 Microsoft Defender 進行分析和報告。
- 感測器也可以剖析第三方識別提供者的 AD FS 驗證,以及當 Microsoft Entra ID 設定為使用同盟驗證時, (圖) 中的虛線。
- 適用於身分識別的 Microsoft Defender 與 Microsoft Defender 全面偵測回應 共用訊號。
適用於身分識別的 Defender 感測器可以直接安裝在下列伺服器上:
AD DS 域控制器
感測器會直接監視域控制器流量,而不需要專用伺服器或埠鏡像設定。
AD CS 伺服器
AD FS 伺服器
感測器會直接監視網路流量和驗證事件。
如需深入瞭解適用於身分識別的Defender架構,請參閱 適用於身分識別的 Microsoft Defender架構。
步驟 1:設定適用於身分識別的 Defender 實例
首先,適用於身分識別的 Defender 需要一些必要工作,以確保您的內部部署身分識別和網路元件符合最低需求。 使用 適用於身分識別的 Microsoft Defender 必要條件一文作為檢查清單,以確保您的環境已就緒。
接下來,登入適用於身分識別的Defender入口網站以建立您的實例,然後將此實例連線到您的Active Directory環境。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 建立適用於身分識別的Defender實例 | 快速入門:建立適用於身分識別的 Microsoft Defender 執行個體 |
| 2 | 將適用於身分識別的 Defender 實例連線到您的 Active Directory 樹系 | 快速入門:連線到您的 Active Directory 樹系 |
步驟 2:安裝和設定感測器
接下來,在內部部署環境中的域控制器、AD FS 和 AD CS 伺服器上下載、安裝及設定適用於身分識別的 Defender 感測器。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 判斷您需要多少 適用於身分識別的 Microsoft Defender 感測器。 | 規劃適用於身分識別的 Microsoft Defender 容量 |
| 2 | 下載感測器安裝套件 | 快速入門:下載 適用於身分識別的 Microsoft Defender 感測器安裝套件 |
| 3 | 安裝適用於身分識別的Defender感測器 | 快速入門:安裝 適用於身分識別的 Microsoft Defender 感測器 |
| 4 | 設定感測器 | 設定 適用於身分識別的 Microsoft Defender 感測器設定 |
步驟 3:使用感測器在電腦上設定事件記錄檔和 Proxy 設定
在您安裝感測器的電腦上,設定 Windows 事件記錄檔收集和因特網 Proxy 設定,以啟用和增強偵測功能。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 設定 Windows 事件記錄檔收集 | 設定 Windows 事件集合 |
| 2 | 設定因特網 Proxy 設定 | 設定 適用於身分識別的 Microsoft Defender 感測器的端點 Proxy 和因特網連線設定 |
步驟 4:允許適用於身分識別的 Defender 識別其他電腦上的本機系統管理員
適用於身分識別的 Microsoft Defender 橫向動作路徑偵測依賴可識別特定計算機上本機系統管理員的查詢。 這些查詢是使用適用於身分識別的Defender服務帳戶,以SAM-R 通訊協定執行。
若要確保 Windows 用戶端和伺服器允許適用於身分識別的 Defender 帳戶執行 SAM-R,除了網路存取原則中所列的已設定帳戶之外,還必須修改 群組原則 才能新增適用於身分識別的 Defender 服務帳戶。 請務必將組策略套用至 域控制器以外的所有計算機。
如需如何執行這項操作的指示,請參閱設定 適用於身分識別的 Microsoft Defender 對SAM進行遠端呼叫。
步驟 5:設定身分識別環境的基準檢驗建議
Microsoft為使用 Microsoft 雲端服務的客戶提供安全性基準檢驗建議。 Azure 安全性效能評定 (ASB) 提供規範的最佳做法和建議,以協助改善 Azure 上工作負載、數據和服務的安全性。
實作這些建議可能需要一些時間來規劃和實作。 雖然這些建議可大幅提高身分識別環境的安全性,但不應阻止您繼續評估和實作 適用於身分識別的 Microsoft Defender。 這裡提供這些建議以供您瞭解。
步驟 6:試用功能
適用於身分識別的 Defender 檔包含下列教學課程,逐步解說識別和補救各種攻擊類型的程式:
SIEM 整合
您可以將適用於身分識別的 Defender 與 Microsoft Sentinel 或一般安全性資訊和事件管理整合 (SIEM) 服務,以啟用來自已連線應用程式的警示和活動的集中監視。 透過 Microsoft Sentinel,您可以更全面地分析整個組織的安全性事件,並建置劇本以獲得有效且立即的回應。
Microsoft Sentinel 包含適用於身分識別的Defender連接器。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender connector for Microsoft Sentinel。
如需與第三方 SIEM 系統整合的相關信息,請參閱 一般 SIEM 整合。
下一步
將下列內容併入您的 SecOps 程式中:
Microsoft Defender 全面偵測回應 端對端部署的下一個步驟
使用試驗繼續進行 Microsoft Defender 全面偵測回應 的端對端部署,並部署 適用於 Office 365 的 Defender。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。