Pilotní nasazení a Microsoft Defender for Identity
Platí pro:
- Microsoft Defender XDR
Tento článek obsahuje pracovní postup pro pilotní nasazení a nasazení Microsoft Defender for Identity ve vaší organizaci. Tato doporučení můžete využít k nasazení Microsoft Defender for Identity jako individuálního nástroje pro kybernetickou bezpečnost nebo jako součást komplexního řešení s Microsoft Defender XDR.
Tento článek předpokládá, že máte produkčního tenanta Microsoftu 365 a v tomto prostředí nasazujete a nasazujete Microsoft Defender for Identity. Tento postup zachová všechna nastavení a přizpůsobení, která nakonfigurujete během pilotního nasazení pro úplné nasazení.
Defender pro Office 365 přispívá k nulová důvěra (Zero Trust) architektuře tím, že pomáhá předcházet obchodním škodám způsobeným porušením zabezpečení nebo je omezit. Další informace najdete v tématu Prevence nebo omezení obchodních škod způsobených porušením zabezpečení v rámci přechodu microsoftu nulová důvěra (Zero Trust).
Kompletní nasazení pro Microsoft Defender XDR
Toto je článek 2 ze 6 série, který vám pomůže nasadit komponenty Microsoft Defender XDR, včetně vyšetřování incidentů a reakce na ně.
Články v této řadě odpovídají následujícím fázím kompletního nasazení:
| Fáze | Propojit |
|---|---|
| A. Spuštění pilotního nasazení | Spuštění pilotního nasazení |
| B. Pilotní nasazení a nasazení komponent Microsoft Defender XDR |
-
Pilotní nasazení Defenderu for Identity (tento článek) - Pilotní nasazení a Defender pro Office 365 - Pilotní nasazení a nasazení Defenderu for Endpoint - Pilotní nasazení a Microsoft Defender for Cloud Apps |
| C. Prošetřování hrozeb a reakce na ně | Procvičte si šetření incidentů a reakce na ně |
Pilotní a nasazení pracovního postupu pro Defender for Identity
Následující diagram znázorňuje běžný proces nasazení produktu nebo služby v IT prostředí.
Začnete vyhodnocením produktu nebo služby a toho, jak budou fungovat ve vaší organizaci. Potom produkt nebo službu pilotujete s vhodně malou podmnožinou produkční infrastruktury pro testování, učení a přizpůsobení. Pak postupně navyšujte rozsah nasazení, dokud nebude pokryta celá vaše infrastruktura nebo organizace.
Tady je pracovní postup pro pilotní nasazení a nasazení Defenderu for Identity v produkčním prostředí.
Postupujte takto:
- Nastavení instance Defenderu for Identity
- Instalace a konfigurace senzorů
- Konfigurace protokolu událostí a nastavení proxy serveru na počítačích se senzorem
- Povolit Defenderu for Identity identifikovat místní správce na jiných počítačích
- Konfigurace doporučení srovnávacích testů pro prostředí identit
- Vyzkoušení funkcí
Tady jsou doporučené kroky pro každou fázi nasazení.
| Fáze nasazení | Popis |
|---|---|
| Hodnotit | Proveďte vyhodnocení produktu defenderu for Identity. |
| Pilot | Proveďte kroky 1 až 6 pro vhodnou podmnožinu serverů se senzory v produkčním prostředí. |
| Úplné nasazení | Proveďte kroky 2 až 5 pro zbývající servery a rozbalte je nad rámec pilotního nasazení, aby zahrnovaly všechny z nich. |
Ochrana organizace před hackery
Defender for Identity poskytuje výkonnou ochranu sám o sobě. V kombinaci s dalšími funkcemi Microsoft Defender XDR ale Defender for Identity poskytuje data do sdílených signálů, které společně pomáhají zastavit útoky.
Tady je příklad kybernetického útoku a toho, jak ho komponenty Microsoft Defender XDR pomoct rozpoznat a zmírnit.
Defender for Identity shromažďuje signály z řadičů domény Active Directory Domain Services (AD DS) a serverů, na kterých běží služba Active Directory Federation Services (AD FS) (AD FS) a služba AD CS (Active Directory Certificate Services). Tyto signály používá k ochraně prostředí hybridní identity, včetně ochrany před hackery, kteří používají ohrožené účty k laterálně přesunu mezi pracovními stanicemi v místním prostředí.
Microsoft Defender XDR koreluje signály ze všech komponent Microsoft Defender a poskytuje kompletní příběh útoku.
Architektura služby Defender for Identity
Microsoft Defender for Identity je plně integrovaná s Microsoft Defender XDR a využívá signály z místní Active Directory identit, aby vám pomohla lépe identifikovat, zjišťovat a prošetřovat pokročilé hrozby zaměřené na vaši organizaci.
Nasazení Microsoft Defender for Identity, které vašim týmům pro operace zabezpečení (SecOps) pomůžou zajistit moderní řešení ITDR (Identity Threat Detection and Response) napříč hybridními prostředími, včetně:
- Prevence porušení zabezpečení pomocí proaktivního posouzení stavu zabezpečení identit
- Detekce hrozeb s využitím analýzy v reálném čase a datové inteligence
- Zkoumání podezřelých aktivit s využitím jasných informací o incidentu s akcemi
- Reagujte na útoky pomocí automatické reakce na ohrožené identity. Další informace najdete v tématu Co je Microsoft Defender for Identity?
Defender for Identity chrání vaše místní uživatelské účty ad DS a uživatelské účty synchronizované s Microsoft Entra ID tenantem. Informace o ochraně prostředí, které se skládá jenom z Microsoft Entra uživatelských účtů, najdete v tématu Microsoft Entra ID Protection.
Následující diagram znázorňuje architekturu služby Defender for Identity.
Na tomto obrázku:
- Senzory nainstalované na řadičích domény služby AD DS a na serverech AD CS parsují protokoly a síťový provoz a odesílají je do Microsoft Defender for Identity pro účely analýzy a generování sestav.
- Senzory také můžou analyzovat ověřování AD FS pro zprostředkovatele identity třetích stran a pokud je Microsoft Entra ID nakonfigurované tak, aby používaly federované ověřování (tečkované čáry na obrázku).
- Microsoft Defender for Identity sdílí signály pro Microsoft Defender XDR.
Senzory defenderu for Identity je možné nainstalovat přímo na následující servery:
Řadiče domény služby AD DS
Senzor přímo monitoruje provoz řadiče domény bez nutnosti použití vyhrazeného serveru nebo konfigurace zrcadlení portů.
Servery AD CS
Servery SLUŽBY AD FS
Senzor přímo monitoruje síťový provoz a události ověřování.
Podrobnější informace o architektuře defenderu for Identity najdete v tématu Microsoft Defender for Identity architektura.
Krok 1: Nastavení instance Defenderu for Identity
Za prvé defender for Identity vyžaduje určitou část nezbytné práce, aby se zajistilo, že místní identity a síťové komponenty splňují minimální požadavky. Jako kontrolní seznam použijte článek s požadavky Microsoft Defender for Identity, abyste měli jistotu, že je vaše prostředí připravené.
Pak se přihlaste k portálu Defender for Identity, vytvořte instanci a pak tuto instanci připojte k prostředí Služby Active Directory.
| Krok | Popis | Další informace |
|---|---|---|
| 1 | Vytvoření instance Defenderu for Identity | Rychlý start: Vytvoření instance Microsoft Defender for Identity |
| 2 | Připojení instance Služby Defender for Identity k doménové struktuře Služby Active Directory | Rychlý start: Připojení k doménové struktuře služby Active Directory |
Krok 2: Instalace a konfigurace senzorů
Dále si stáhněte, nainstalujte a nakonfigurujte senzor Defender for Identity na řadičích domény, AD FS a serverech AD CS ve vašem místním prostředí.
| Krok | Popis | Další informace |
|---|---|---|
| 1 | Určete, kolik snímačů Microsoft Defender for Identity potřebujete. | Plánování kapacity pro Microsoft Defender for Identity |
| 2 | Stažení instalačního balíčku senzoru | Rychlý start: Stažení instalačního balíčku senzoru Microsoft Defender for Identity |
| 3 | Instalace senzoru Defenderu for Identity | Rychlý start: Instalace senzoru Microsoft Defender for Identity |
| 4 | Konfigurace senzoru | Konfigurace nastavení senzoru Microsoft Defender for Identity |
Krok 3: Konfigurace protokolu událostí a nastavení proxy serveru na počítačích pomocí senzoru
Na počítačích, na které jste senzor nainstalovali, nakonfigurujte shromažďování protokolů událostí Systému Windows a nastavení internetového proxy serveru, abyste povolili a vylepšili možnosti detekce.
| Krok | Popis | Další informace |
|---|---|---|
| 1 | Konfigurace shromažďování protokolů událostí Systému Windows | Konfigurace shromažďování událostí Windows |
| 2 | Konfigurace nastavení internetového proxy serveru | Konfigurace proxy koncového bodu a nastavení připojení k internetu pro senzor Microsoft Defender for Identity |
Krok 4: Povolení defenderu for Identity identifikovat místní správce na jiných počítačích
Microsoft Defender for Identity detekce cesty laterálního pohybu závisí na dotazech, které identifikují místní správce na konkrétních počítačích. Tyto dotazy se provádějí pomocí protokolu SAM-R s využitím účtu služby Defender for Identity Service.
Pokud chcete zajistit, aby klienti a servery systému Windows umožňovali vašemu účtu Defenderu for Identity provádět SAM-R, je potřeba kromě nakonfigurovaných účtů uvedených v zásadách přístupu k síti změnit Zásady skupiny přidat účet služby Defender for Identity. Nezapomeňte použít zásady skupiny na všechny počítače kromě řadičů domény.
Pokyny k tomu najdete v tématu Konfigurace Microsoft Defender for Identity pro vzdálená volání sam.
Krok 5: Konfigurace doporučení srovnávacích testů pro prostředí identit
Microsoft poskytuje zákazníkům, kteří používají cloudové služby Microsoftu, doporučení k srovnávacím testům zabezpečení. Srovnávací test zabezpečení Azure (ASB) poskytuje doporučené osvědčené postupy a doporučení, které pomáhají zlepšit zabezpečení úloh, dat a služeb v Azure.
Plánování a implementace těchto doporučení může nějakou dobu trvat. I když tato doporučení výrazně zvyšují zabezpečení vašeho prostředí identit, neměla by vám bránit v dalším vyhodnocování a implementaci Microsoft Defender for Identity. Tato doporučení jsou zde uvedena pro vaše povědomí.
Krok 6: Vyzkoušení funkcí
Dokumentace k Defenderu for Identity obsahuje následující kurzy, které vás provedou procesem identifikace a nápravy různých typů útoků:
- Upozornění na rekognoskaci
- Upozornění na ohrožení zabezpečení přihlašovacích údajů
- Upozornění na laterální pohyb
- Upozornění na dominanci v doméně
- Upozornění na exfiltraci
- Prozkoumání uživatele
- Prozkoumání počítače
- Prozkoumání cest laterálního pohybu
- Zkoumání entit
Integrace SIEM
Defender for Identity můžete integrovat se službou Microsoft Sentinel nebo obecnou službou pro správu událostí a informací o zabezpečení (SIEM) a povolit tak centralizované monitorování výstrah a aktivit z připojených aplikací. S Microsoft Sentinel můžete komplexněji analyzovat události zabezpečení ve vaší organizaci a vytvářet playbooky pro efektivní a okamžitou reakci.
Microsoft Sentinel zahrnuje konektor Defender for Identity. Další informace najdete v tématu Microsoft Defender for Identity konektor pro Microsoft Sentinel.
Informace o integraci se systémy SIEM třetích stran najdete v tématu Obecná integrace SIEM.
Další krok
Do svých procesů SecOps začleníte následující:
Další krok pro kompletní nasazení Microsoft Defender XDR
Pokračujte v kompletním nasazení Microsoft Defender XDR pomocí pilotního nasazení a nasazení Defender pro Office 365.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.