توزيع Microsoft Defender for Identity باستخدام Microsoft Defender XDR
توفر هذه المقالة نظرة عامة على عملية التوزيع الكاملة Microsoft Defender for Identity، بما في ذلك خطوات الإعداد والتوزيع والخطوات الإضافية لسيناريوهات معينة.
Defender for Identity هو مكون أساسي لاستراتيجية ثقة معدومة والكشف عن تهديدات الهوية والاستجابة لها (ITDR) أو الكشف والاستجابة الموسعة (XDR) مع Microsoft Defender XDR. يستخدم Defender for Identity إشارات من خوادم البنية الأساسية للهوية مثل وحدات التحكم بالمجال وخوادم AD FS / AD CS و Entra Connect للكشف عن التهديدات مثل تصعيد الامتيازات أو الحركة الجانبية عالية المخاطر، وتقارير عن مشكلات الهوية التي يتم استغلالها بسهولة مثل تفويض Kerberos غير المقيد، لتصحيحها من قبل فريق الأمان.
للحصول على مجموعة سريعة من تمييزات التوزيع، راجع دليل التثبيت السريع.
المتطلبات الأساسية
قبل البدء، تأكد من أن لديك حق الوصول إلى Microsoft Defender XDR على الأقل كمسؤول أمان، ولديك أحد التراخيص التالية:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* أمن
- Microsoft 365 F5 Security + Compliance*
- ترخيص Defender for Identity مستقل
* يتطلب كلا الترخيصين F5 Microsoft 365 F1/F3 أو Office 365 F3 Enterprise Mobility + Security E3.
احصل على التراخيص مباشرة عبر مدخل Microsoft 365 أو استخدم نموذج ترخيص شريك حلول السحابة (CSP).
لمزيد من المعلومات، راجع الأسئلة المتداولة حول الترخيص والخصوصيةوما هي أدوار وأذونات Defender for Identity؟
بدء استخدام Microsoft Defender XDR
يصف هذا القسم كيفية بدء الإعداد إلى Defender for Identity.
- سجل الدخول إلى مدخل Microsoft Defender.
- من قائمة التنقل، حدد أي عنصر، مثل الحوادث & التنبيهات أو التتبع أو مركز الصيانة أو تحليلات التهديدات لبدء عملية الإلحاق.
سيمنحك بعد ذلك خيار توزيع الخدمات المدعومة، بما في ذلك Microsoft Defender for Identity. تتم إضافة مكونات السحابة المطلوبة ل Defender for Identity تلقائيا عند فتح صفحة إعدادات Defender for Identity.
لمزيد من المعلومات، اطلع على:
- Microsoft Defender for Identity في Microsoft Defender XDR
- بدء استخدام Microsoft Defender XDR
- تشغيل Microsoft Defender XDR
- نشر الخدمات المعتمدة
- الأسئلة المتداولة عند تشغيل Microsoft Defender XDR
هام
حاليا، يتم نشر مراكز بيانات Defender for Identity في أوروبا والمملكة المتحدة وسويسرا وأمريكا الشمالية/أمريكا الوسطى/الكاريبي وشرق أستراليا وآسيا والهند. يتم إنشاء مساحة العمل الخاصة بك (المثيل) تلقائيا في منطقة Azure الأقرب إلى الموقع الجغرافي للمستأجر Microsoft Entra. بمجرد الإنشاء، لا تكون مساحات عمل Defender for Identity قابلة للنقل.
التخطيط والتحضير
استخدم الخطوات التالية للتحضير لنشر Defender for Identity:
تأكد من أن لديك جميع المتطلبات الأساسية المطلوبة.
تلميح
نوصي بتشغيل البرنامج النصي Test-MdiReadiness.ps1 لاختبار ومعرفة ما إذا كانت بيئتك تحتوي على المتطلبات الأساسية اللازمة.
يتوفر الارتباط إلى البرنامج النصي Test-MdiReadiness.ps1 أيضا من Microsoft Defender XDR، في صفحة أدوات الهويات > (معاينة).
توزيع Defender for Identity
بعد إعداد النظام الخاص بك، استخدم الخطوات التالية لنشر Defender for Identity:
- تحقق من الاتصال بخدمة Defender for Identity.
- قم بتنزيل مستشعر Defender for Identity.
- تثبيت مستشعر Defender for Identity.
- تكوين مستشعر Defender for Identity لبدء تلقي البيانات.
تكوين ما بعد التوزيع
تساعدك الإجراءات التالية على إكمال عملية التوزيع:
تكوين مجموعة أحداث Windows. لمزيد من المعلومات، راجع جمع الأحداث مع Microsoft Defender for Identity وتكوين نهج التدقيق لسجلات أحداث Windows.
تمكين وتكوين التحكم الموحد في الوصول المستند إلى الدور (RBAC) ل Defender for Identity.
تكوين حساب خدمة الدليل (DSA) للاستخدام مع Defender for Identity. في حين أن DSA اختياري في بعض السيناريوهات، نوصي بتكوين DSA ل Defender for Identity لتغطية الأمان الكاملة. على سبيل المثال، عندما يكون لديك DSA تم تكوينه، يتم استخدام DSA للاتصال بوحدة التحكم بالمجال عند بدء التشغيل. يمكن أيضا استخدام DSA للاستعلام عن وحدة تحكم المجال للبيانات على الكيانات التي تظهر في حركة مرور الشبكة والأحداث المراقبة وأنشطة ETW المراقبة
تكوين المكالمات عن بعد إلى SAM حسب الحاجة. على الرغم من أن هذه الخطوة اختيارية، نوصي بتكوين المكالمات عن بعد إلى SAM-R للكشف عن مسار الحركة الجانبية باستخدام Defender for Identity.
تلميح
بشكل افتراضي، تستعلم مستشعرات Defender for Identity عن الدليل باستخدام LDAP على المنفذين 389 و3268. للتبديل إلى LDAPS على المنفذين 636 و3269، يرجى فتح حالة دعم. لمزيد من المعلومات، راجع دعم Microsoft Defender for Identity.
هام
يتطلب تثبيت مستشعر Defender for Identity على خوادم AD FS / AD CS و Entra Connect خطوات إضافية. لمزيد من المعلومات، راجع تكوين أدوات الاستشعار ل AD FS و AD CS و Entra Connect.