مشاركة عبر

إصدار تجريبي ونشر Microsoft Defender for Identity

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

توفر هذه المقالة سير عمل لتجربة Microsoft Defender for Identity ونشرها في مؤسستك. يمكنك استخدام هذه التوصيات لإعداد Microsoft Defender for Identity كأداة فردية للأمان عبر الإنترنت أو كجزء من حل شامل مع Microsoft Defender XDR.

تفترض هذه المقالة أن لديك مستأجر Microsoft 365 للإنتاج وتعمل على إصدار تجريبي ونشر Microsoft Defender for Identity في هذه البيئة. ستحافظ هذه الممارسة على أي إعدادات وتخصيصات تقوم بتكوينها أثناء الإصدار التجريبي الخاص بك للتوزيع الكامل.

تساهم Defender لـ Office 365 في بنية ثقة معدومة من خلال المساعدة في منع أو تقليل الضرر التجاري من الخرق. لمزيد من المعلومات، راجع سيناريو منع تلف الأعمال أو تقليله من خرق العمل في إطار عمل اعتماد Microsoft ثقة معدومة.

التوزيع الشامل Microsoft Defender XDR

هذه هي المقالة 2 من 6 في سلسلة لمساعدتك على نشر مكونات Microsoft Defender XDR، بما في ذلك التحقيق في الحوادث والاستجابة لها.

رسم تخطيطي يوضح Microsoft Defender for Identity في عملية الإصدار التجريبي ونشر Microsoft Defender XDR.

تتوافق المقالات الواردة في هذه السلسلة مع المراحل التالية من النشر الشامل:

طور رابط
A. بدء تشغيل الإصدار التجريبي بدء تشغيل الإصدار التجريبي
B. إصدار تجريبي وتوزيع مكونات Microsoft Defender XDR - إصدار تجريبي ونشر Defender for Identity (هذه المقالة)

- إصدار تجريبي ونشر Defender لـ Office 365

- إصدار تجريبي ونشر Defender لنقطة النهاية

- إصدار تجريبي ونشر Microsoft Defender for Cloud Apps
C. التحقق من التهديدات والاستجابة لها ممارسة التحقيق في الحوادث والاستجابة لها

إصدار تجريبي لسير العمل ونشره ل Defender for Identity

يوضح الرسم التخطيطي التالي عملية شائعة لنشر منتج أو خدمة في بيئة تكنولوجيا المعلومات.

رسم تخطيطي لمرحلتي اعتماد الإصدار التجريبي والتقييم والتوزيع الكامل.

تبدأ بتقييم المنتج أو الخدمة وكيفية عملها داخل مؤسستك. بعد ذلك، يمكنك تجربة المنتج أو الخدمة مع مجموعة فرعية صغيرة مناسبة من البنية الأساسية للإنتاج للاختبار والتعلم والتخصيص. بعد ذلك، قم بزيادة نطاق التوزيع تدريجيا حتى تتم تغطية البنية الأساسية أو المؤسسة بأكملها.

فيما يلي سير العمل لتجربة Defender for Identity ونشره في بيئة الإنتاج الخاصة بك.

رسم تخطيطي يوضح خطوات إصدار تجريبي ونشر Microsoft Defender for Identity.

اتبع الخطوات التالية:

  1. إعداد مثيل Defender for Identity
  2. تثبيت أجهزة الاستشعار وتكوينها
  3. تكوين إعدادات سجل الأحداث والوكيل على الأجهزة باستخدام أداة الاستشعار
  4. السماح ل Defender for Identity بتحديد المسؤولين المحليين على أجهزة الكمبيوتر الأخرى
  5. تكوين توصيات المعيار لبيئة الهوية الخاصة بك
  6. تجربة القدرات

فيما يلي الخطوات الموصى بها لكل مرحلة توزيع.

مرحلة التوزيع الوصف
تقييم إجراء تقييم المنتج ل Defender for Identity.
طيار نفذ الخطوات من 1 إلى 6 لمجموعة فرعية مناسبة من الخوادم مع أدوات استشعار في بيئة الإنتاج الخاصة بك.
التوزيع الكامل نفذ الخطوات من 2 إلى 5 للخوادم المتبقية، مع التوسع إلى ما بعد الإصدار التجريبي لتضمينها جميعا.

حماية مؤسستك من المتسللين

يوفر Defender for Identity حماية قوية من تلقاء نفسه. ومع ذلك، عند دمجها مع القدرات الأخرى Microsoft Defender XDR، يوفر Defender for Identity بيانات في الإشارات المشتركة التي تساعد معا في إيقاف الهجمات.

فيما يلي مثال على هجوم إلكتروني وكيف تساعد مكونات Microsoft Defender XDR في اكتشافه والتخفيف من حدته.

رسم تخطيطي يوضح كيفية إيقاف Microsoft Defender XDR لسلسلة التهديدات.

يجمع Defender for Identity إشارات من وحدات تحكم المجال خدمات مجال Active Directory (AD DS) والخوادم التي تعمل خدمات الأمان المشترك لـ Active Directory (AD FS) وخدمات شهادات Active Directory (AD CS). ويستخدم هذه الإشارات لحماية بيئة الهوية المختلطة، بما في ذلك الحماية من المتسللين الذين يستخدمون الحسابات المخترقة للتنقل أفقيا عبر محطات العمل في البيئة المحلية.

يربط Microsoft Defender XDR الإشارات من جميع مكونات Microsoft Defender لتوفير قصة الهجوم الكاملة.

بنية Defender for Identity

Microsoft Defender for Identity متكامل تماما مع Microsoft Defender XDR والاستفادة من الإشارات من الهويات Active Directory محلي لمساعدتك على تحديد التهديدات المتقدمة الموجهة إلى مؤسستك واكتشافها والتحقيق فيها بشكل أفضل.

انشر Microsoft Defender for Identity لمساعدة فرق عمليات الأمان (SecOps) على تقديم حل حديث للكشف عن تهديدات الهوية والاستجابة لها (ITDR) عبر البيئات المختلطة، بما في ذلك:

  • منع الخروقات، باستخدام تقييمات وضع أمان الهوية الاستباقية
  • الكشف عن التهديدات، باستخدام التحليلات في الوقت الحقيقي وذكاء البيانات
  • التحقيق في الأنشطة المشبوهة، باستخدام معلومات واضحة وقابلة للتنفيذ عن الحوادث
  • الاستجابة للهجمات، باستخدام الاستجابة التلقائية للهويات المخترقة. لمزيد من المعلومات، راجع ما هي Microsoft Defender for Identity؟

يحمي Defender for Identity حسابات مستخدمي AD DS المحلية وحسابات المستخدمين المتزامنة مع مستأجر Microsoft Entra ID الخاص بك. لحماية بيئة تتكون من حسابات المستخدمين Microsoft Entra فقط، راجع Microsoft Entra ID Protection.

يوضح الرسم التخطيطي التالي بنية Defender for Identity.

رسم تخطيطي يوضح بنية Microsoft Defender for Identity.

في هذا الرسم التوضيحي:

  • تقوم أجهزة الاستشعار المثبتة على وحدات تحكم مجال AD DS وخوادم AD CS بتحليل السجلات وحركة مرور الشبكة وإرسالها إلى Microsoft Defender for Identity للتحليل وإعداد التقارير.
  • يمكن لأجهزة الاستشعار أيضا تحليل مصادقات AD FS لموفري الهوية التابعين لجهة خارجية وعند تكوين Microsoft Entra ID لاستخدام المصادقة الموحدة (الخطوط المنقطة في الرسم التوضيحي).
  • يشارك Microsoft Defender for Identity الإشارات إلى Microsoft Defender XDR.

يمكن تثبيت مستشعرات Defender for Identity مباشرة على الخوادم التالية:

  • وحدات تحكم مجال AD DS

    يراقب المستشعر حركة مرور وحدة التحكم بالمجال مباشرة، دون الحاجة إلى خادم مخصص أو تكوين النسخ المتطابق للمنفذ.

  • خوادم AD CS

  • خوادم AD FS

    يراقب المستشعر حركة مرور الشبكة وأحداث المصادقة مباشرة.

لإلقاء نظرة أعمق على بنية Defender for Identity، راجع Microsoft Defender for Identity البنية.

الخطوة 1: إعداد مثيل Defender for Identity

أولا، يتطلب Defender for Identity بعض العمل الأساسي للتأكد من أن مكونات الهوية والشبكات المحلية تفي بالحد الأدنى من المتطلبات. استخدم مقالة المتطلبات الأساسية Microsoft Defender for Identity كق القائمة المرجعية للتأكد من أن بيئتك جاهزة.

بعد ذلك، سجل الدخول إلى مدخل Defender for Identity لإنشاء المثيل الخاص بك ثم قم بتوصيل هذا المثيل ببيئة Active Directory.

درج الوصف معلومات إضافية
1 إنشاء مثيل Defender for Identity التشغيل السريع: إنشاء مثيل Microsoft Defender for Identity
2 توصيل مثيل Defender for Identity بغابة Active Directory التشغيل السريع: الاتصال بغابة Active Directory

الخطوة 2: تثبيت أجهزة الاستشعار وتكوينها

بعد ذلك، قم بتنزيل وتثبيت وتكوين مستشعر Defender for Identity على وحدات التحكم بالمجال وخوادم AD FS و AD CS في بيئتك المحلية.

درج الوصف معلومات إضافية
1 حدد عدد أجهزة الاستشعار Microsoft Defender for Identity التي تحتاجها. تخطيط السعة Microsoft Defender for Identity
2 تنزيل حزمة إعداد المستشعر التشغيل السريع: تنزيل حزمة إعداد مستشعر Microsoft Defender for Identity
3 تثبيت مستشعر Defender for Identity التشغيل السريع: تثبيت مستشعر Microsoft Defender for Identity
4 تكوين أداة الاستشعار تكوين إعدادات مستشعر Microsoft Defender for Identity

الخطوة 3: تكوين سجل الأحداث وإعدادات الوكيل على الأجهزة باستخدام أداة الاستشعار

على الأجهزة التي قمت بتثبيت المستشعر عليها، قم بتكوين مجموعة سجل أحداث Windows وإعدادات وكيل الإنترنت لتمكين قدرات الكشف وتحسينها.

درج الوصف معلومات إضافية
1 تكوين مجموعة سجل أحداث Windows تكوين مجموعة أحداث Windows
2 تكوين إعدادات وكيل الإنترنت تكوين إعدادات وكيل نقطة النهاية والاتصال بالإنترنت لأداة استشعار Microsoft Defender for Identity

الخطوة 4: السماح ل Defender for Identity بتحديد المسؤولين المحليين على أجهزة الكمبيوتر الأخرى

يعتمد الكشف عن مسار الحركة الجانبية Microsoft Defender for Identity على الاستعلامات التي تحدد المسؤولين المحليين على أجهزة معينة. يتم تنفيذ هذه الاستعلامات باستخدام بروتوكول SAM-R، باستخدام حساب Defender for Identity Service.

للتأكد من أن عملاء وخوادم Windows تسمح لحساب Defender for Identity بإجراء SAM-R، يجب إجراء تعديل على نهج المجموعة لإضافة حساب خدمة Defender for Identity بالإضافة إلى الحسابات المكونة المدرجة في نهج الوصول إلى الشبكة. تأكد من تطبيق نهج المجموعة على جميع أجهزة الكمبيوتر باستثناء وحدات التحكم بالمجال.

للحصول على إرشادات حول كيفية القيام بذلك، راجع تكوين Microsoft Defender for Identity لإجراء مكالمات عن بعد إلى SAM.

الخطوة 5: تكوين توصيات المعيار لبيئة الهوية الخاصة بك

توفر Microsoft توصيات معيار الأمان للعملاء الذين يستخدمون خدمات Microsoft Cloud. يوفر معيار أمان Azure (ASB) أفضل الممارسات والتوصيات الإرشادية للمساعدة في تحسين أمان أحمال العمل والبيانات والخدمات على Azure.

يمكن أن يستغرق تنفيذ هذه التوصيات بعض الوقت للتخطيط والتنفيذ. في حين أن هذه التوصيات تزيد بشكل كبير من أمان بيئة الهوية الخاصة بك، لا ينبغي أن تمنعك من الاستمرار في تقييم وتنفيذ Microsoft Defender for Identity. يتم توفير هذه التوصيات هنا لوعيك.

الخطوة 6: تجربة القدرات

تتضمن وثائق Defender for Identity البرامج التعليمية التالية التي تستعرض عملية تحديد ومعالجة أنواع الهجمات المختلفة:

تكامل إدارة معلومات الأمان والأحداث

يمكنك دمج Defender for Identity مع Microsoft Sentinel أو خدمة معلومات الأمان العامة وإدارة الأحداث (SIEM) لتمكين المراقبة المركزية للتنبيهات والأنشطة من التطبيقات المتصلة. باستخدام Microsoft Sentinel، يمكنك تحليل أحداث الأمان بشكل أكثر شمولا عبر مؤسستك وإنشاء أدلة مبادئ للاستجابة الفعالة والفورية.

رسم تخطيطي يوضح بنية Microsoft Defender for Identity مع تكامل SIEM.

يتضمن Microsoft Sentinel موصل Defender for Identity. لمزيد من المعلومات، راجع موصل Microsoft Defender for Identity للحصول على Microsoft Sentinel.

للحصول على معلومات حول التكامل مع أنظمة SIEM التابعة لجهة خارجية، راجع تكامل SIEM العام.

الخطوة التالية

دمج ما يلي في عمليات SecOps الخاصة بك:

الخطوة التالية للتوزيع الشامل Microsoft Defender XDR

تابع التوزيع الشامل Microsoft Defender XDR باستخدام الإصدار التجريبي ونشر Defender لـ Office 365.

رسم تخطيطي يوضح Microsoft Defender لـ Office 365 في عملية الإصدار التجريبي ونشر Microsoft Defender XDR.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.