Nasazení Microsoft Defenderu for Identity pomocí XDR v programu Microsoft Defender
Tento článek obsahuje přehled celého procesu nasazení pro Microsoft Defender for Identity, včetně kroků pro přípravu, nasazení a dalších kroků pro konkrétní scénáře.
Defender for Identity je primární komponentou strategie nulová důvěra (Zero Trust) a vašeho nasazení Identity Threat Detection and Response (ITDR) nebo rozšířeného nasazení detekce a odpovědi (XDR) v programu Microsoft Defender XDR. Defender for Identity používá signály ze serverů infrastruktury identit, jako jsou řadiče domény, servery AD FS / AD CS a Entra Connect, k detekci hrozeb, jako je eskalace oprávnění nebo vysoce rizikové laterální přesuny, a hlásí problémy s snadno zneužínou identitou, jako je nekontrénované delegování Kerberos, kvůli opravě týmem zabezpečení.
Stručný přehled nasazení najdete v úvodní příručce k instalaci.
Požadavky
Než začnete, ujistěte se, že máte přístup k XDR v programu Microsoft Defender alespoň jako správce zabezpečení a máte jednu z následujících licencí:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Zabezpečení Microsoftu 365 E5/A5/G5/F5*
- Microsoft 365 F5 Security + Compliance*
- Samostatná licence defenderu for Identity
* Obě licence F5 vyžadují Microsoft 365 F1/F3 nebo Office 365 F3 a Enterprise Mobility + Security E3.
Licence můžete získat přímo prostřednictvím portálu Microsoft 365 nebo použít licenční model CSP (Cloud Solution Partner).
Další informace najdete v nejčastějších dotazech k licencování a ochraně osobních údajů a o rolích a oprávněních v programu Defender for Identity?
Začínáme používat XDR v programu Microsoft Defender
Tato část popisuje, jak začít s onboardingem do služby Defender for Identity.
- Přihlaste se k portálu Microsoft Defender.
- V navigační nabídce vyberte libovolnou položku, jako jsou incidenty a výstrahy, proaktivní vyhledávání, centrum akcí nebo analýza hrozeb, a zahajte proces onboardingu.
Pak budete mít možnost nasadit podporované služby, včetně Microsoft Defenderu for Identity. Cloudové komponenty vyžadované pro Defender for Identity se při otevření stránky nastavení defenderu pro identitu automaticky přidají.
Další informace naleznete v tématu:
- Microsoft Defender for Identity v XDR v programu Microsoft Defender
- Začínáme s XDR v programu Microsoft Defender
- Zapnutí XDR v programu Microsoft Defender
- Nasazení podporovaných služeb
- Nejčastější dotazy týkající se zapnutí XDR v programu Microsoft Defender
Důležité
V současné době se datacentra Defender for Identity nasazují v Evropě, Spojeném království, Švýcarsku, Severní Amerika/ Střední Americe/ Karibské oblasti, Austrálie – východ, Asie a Indie. Váš pracovní prostor (instance) se automaticky vytvoří v oblasti Azure, která je nejblíže zeměpisnému umístění vašeho tenanta Microsoft Entra. Po vytvoření se pracovní prostory Defenderu for Identity nedají přesouvat.
Plánování a příprava
Pomocí následujících kroků se připravte na nasazení Defenderu for Identity:
Ujistěte se, že máte všechny požadované požadavky .
Naplánujte kapacitu Defenderu for Identity.
Tip
Doporučujeme spustit skript Test-MdiReadiness.ps1 k otestování a zjistit, jestli vaše prostředí splňuje nezbytné požadavky.
Odkaz na skript Test-MdiReadiness.ps1 je k dispozici také v programu Microsoft Defender XDR na stránce Nástroje identit > (Preview).
Nasazení Defenderu pro identitu
Po přípravě systému pomocí následujících kroků nasaďte Defender for Identity:
- Ověřte připojení ke službě Defender for Identity.
- Stáhněte si senzor defenderu pro identitu.
- Nainstalujte senzor defenderu pro identitu.
- Nakonfigurujte senzor služby Defender for Identity tak, aby začal přijímat data.
Konfigurace po nasazení
Následující postupy vám pomůžou dokončit proces nasazení:
Nakonfigurujte shromažďování událostí Systému Windows. Další informace najdete v tématu Shromažďování událostí pomocí programu Microsoft Defender for Identity a konfigurace zásad auditu pro protokoly událostí Windows.
Povolte a nakonfigurujte jednotné řízení přístupu na základě role (RBAC) pro Defender for Identity.
Nakonfigurujte účet adresářové služby (DSA) pro použití s programem Defender for Identity. I když je DSA v některých scénářích nepovinný, doporučujeme nakonfigurovat DSA pro Defender for Identity pro úplné pokrytí zabezpečení. Pokud máte například nakonfigurovanou službu DSA, dsA se použije k připojení k řadiči domény při spuštění. DsA se dá také použít k dotazování řadiče domény na data o entitách, které se zobrazují v síťovém provozu, monitorovaných událostech a monitorovaných aktivitách tras tras pro Windows.
Podle potřeby nakonfigurujte vzdálená volání do SAM . I když je tento krok volitelný, doporučujeme nakonfigurovat vzdálená volání do SAM-R pro detekci cest laterálního pohybu pomocí defenderu pro identitu.
Tip
Ve výchozím nastavení se senzory Defender for Identity dotazují na adresář pomocí protokolu LDAP na portech 389 a 3268. Pokud chcete přepnout na LDAPS na portech 636 a 3269, otevřete případ podpory. Další informace najdete v tématu Podpora Microsoft Defenderu for Identity.
Důležité
Instalace senzoru defenderu pro identitu na servery AD FS / AD CS a Entra Connect vyžaduje další kroky. Další informace naleznete v tématu Konfigurace senzorů pro AD FS, AD CS a Entra Connect.