Pilotní nasazení a nasazení Microsoft Defenderu for Identity
Platí pro:
- Microsoft Defender XDR
Tento článek obsahuje pracovní postup pro pilotní nasazení a nasazení Microsoft Defenderu for Identity ve vaší organizaci. Tato doporučení můžete využít k onboardingu Microsoft Defenderu for Identity jako individuálního nástroje pro kybernetickou bezpečnost nebo jako součást komplexního řešení pomocí Microsoft DefenderU XDR.
Tento článek předpokládá, že máte produkčního tenanta Microsoft 365 a v tomto prostředí nasazujete a nasazujete Microsoft Defender for Identity. Tento postup zachová všechna nastavení a přizpůsobení, která nakonfigurujete během pilotního nasazení pro úplné nasazení.
Defender pro Office 365 přispívá k architektuře nulové důvěryhodnosti tím, že pomáhá předcházet obchodním škodám způsobeným porušením zabezpečení nebo je omezit. Další informace najdete v tématu Prevence nebo omezení obchodních škod způsobených porušením zabezpečení v rámci přechodu na nulovou důvěryhodnost Microsoftu.
Kompletní nasazení pro Microsoft Defender XDR
Toto je článek 2 ze 6 série, který vám pomůže nasadit komponenty XDR v programu Microsoft Defender, včetně vyšetřování incidentů a reakce na ně.
Články v této sérii:
| Fáze | Propojit |
|---|---|
| A. Spuštění pilotního nasazení | Spuštění pilotního nasazení |
| B. Pilotní nasazení a nasazení komponent XDR v programu Microsoft Defender | - Pilotní nasazení Defenderu for Identity (tento článek) - Pilotní nasazení Defenderu pro Office 365 - Pilotní nasazení a nasazení Defenderu for Endpoint - Pilotní nasazení a nasazení Microsoft Defenderu for Cloud Apps |
| C. Prošetřování hrozeb a reakce na ně | Procvičte si šetření incidentů a reakce na ně |
Pilotní a nasazení pracovního postupu pro Defender for Identity
Následující diagram znázorňuje běžný proces nasazení produktu nebo služby v IT prostředí.
Začnete vyhodnocením produktu nebo služby a toho, jak budou fungovat ve vaší organizaci. Potom produkt nebo službu pilotujete s vhodně malou podmnožinou produkční infrastruktury pro testování, učení a přizpůsobení. Pak postupně navyšujte rozsah nasazení, dokud nebude pokryta celá vaše infrastruktura nebo organizace.
Tady je pracovní postup pro pilotní nasazení a nasazení Defenderu for Identity v produkčním prostředí.
Postupujte takto:
- Nastavení instance Defenderu for Identity
- Instalace a konfigurace senzorů
- Konfigurace protokolu událostí a nastavení proxy serveru na počítačích se senzorem
- Povolit Defenderu for Identity identifikovat místní správce na jiných počítačích
- Konfigurace doporučení srovnávacích testů pro prostředí identit
- Vyzkoušení funkcí
Tady jsou doporučené kroky pro každou fázi nasazení.
| Fáze nasazení | Popis |
|---|---|
| Hodnotit | Proveďte vyhodnocení produktu defenderu for Identity. |
| Pilot | Proveďte kroky 1 až 6 pro vhodnou podmnožinu serverů se senzory v produkčním prostředí. |
| Úplné nasazení | Proveďte kroky 2 až 5 pro zbývající servery a rozbalte je nad rámec pilotního nasazení, aby zahrnovaly všechny z nich. |
Ochrana organizace před hackery
Defender for Identity poskytuje výkonnou ochranu sám o sobě. V kombinaci s dalšími funkcemi Microsoft DefenderU XDR však Defender for Identity poskytuje data do sdílených signálů, které společně pomáhají zastavit útoky.
Tady je příklad kybernetického útoku a toho, jak ho komponenty XDR v programu Microsoft Defender pomáhají detekovat a zmírnit.
Defender for Identity shromažďuje signály z řadičů domény služby Active Directory Domain Services (AD DS) a serverů se službou Active Directory Federation Services (AD FS) a ad CS (Active Directory Certificate Services). Tyto signály používá k ochraně prostředí hybridní identity, včetně ochrany před hackery, kteří používají ohrožené účty k laterálně přesunu mezi pracovními stanicemi v místním prostředí.
Microsoft Defender XDR koreluje signály ze všech komponent Programu Microsoft Defender a poskytuje úplný příběh útoku.
Architektura služby Defender for Identity
Microsoft Defender for Identity je plně integrovaný s Microsoft Defenderem XDR a využívá signály z místních identit Active Directory, které vám pomůžou lépe identifikovat, zjišťovat a prošetřovat pokročilé hrozby zaměřené na vaši organizaci.
Nasaďte Microsoft Defender for Identity, který vašim týmům pro operace zabezpečení (SecOps) pomůže zajistit moderní řešení ITDR (Identity Threat Detection and Response) napříč hybridními prostředími, včetně:
- Prevence porušení zabezpečení pomocí proaktivního posouzení stavu zabezpečení identit
- Detekce hrozeb s využitím analýzy v reálném čase a datové inteligence
- Zkoumání podezřelých aktivit s využitím jasných informací o incidentu s akcemi
- Reagujte na útoky pomocí automatické reakce na ohrožené identity. Další informace najdete v tématu Co je Microsoft Defender for Identity?
Defender for Identity chrání vaše místní uživatelské účty ad DS a uživatelské účty synchronizované s vaším tenantem Microsoft Entra ID. Informace o ochraně prostředí, které se skládá pouze z uživatelských účtů Microsoft Entra, najdete v tématu Ochrana Microsoft Entra ID.
Následující diagram znázorňuje architekturu služby Defender for Identity.
Na tomto obrázku:
- Senzory nainstalované na řadičích domény služby AD DS a na serverech AD CS parsují protokoly a síťový provoz a odesílají je do Microsoft Defenderu for Identity pro účely analýzy a vytváření sestav.
- Senzory také můžou analyzovat ověřování AD FS pro zprostředkovatele identity třetích stran a v případě, že je ID Microsoft Entra nakonfigurované tak, aby používalo federované ověřování (tečkované čáry na obrázku).
- Microsoft Defender for Identity sdílí signály pro Microsoft Defender XDR.
Senzory defenderu for Identity je možné nainstalovat přímo na následující servery:
Řadiče domény služby AD DS
Senzor přímo monitoruje provoz řadiče domény bez nutnosti použití vyhrazeného serveru nebo konfigurace zrcadlení portů.
Servery AD CS
Servery SLUŽBY AD FS
Senzor přímo monitoruje síťový provoz a události ověřování.
Podrobnější pohled na architekturu defenderu for Identity najdete v tématu Architektura Microsoft Defenderu for Identity.
Krok 1: Nastavení instance Defenderu for Identity
Za prvé defender for Identity vyžaduje určitou část nezbytné práce, aby se zajistilo, že místní identity a síťové komponenty splňují minimální požadavky. Jako kontrolní seznam použijte článek s požadavky na Microsoft Defender for Identity , abyste měli jistotu, že je vaše prostředí připravené.
Pak se přihlaste k portálu Defender for Identity, vytvořte instanci a pak tuto instanci připojte k prostředí Služby Active Directory.
| Krok | Popis | Další informace |
|---|---|---|
| 1 | Vytvoření instance Defenderu for Identity | Rychlý start: Vytvoření instance Microsoft Defenderu for Identity |
| 2 | Připojení instance Služby Defender for Identity k doménové struktuře Služby Active Directory | Rychlý start: Připojení k doménové struktuře služby Active Directory |
Krok 2: Instalace a konfigurace senzorů
Dále si stáhněte, nainstalujte a nakonfigurujte senzor Defender for Identity na řadičích domény, AD FS a serverech AD CS ve vašem místním prostředí.
| Krok | Popis | Další informace |
|---|---|---|
| 1 | Zjistěte, kolik senzorů Microsoft Defender for Identity potřebujete. | Plánování kapacity pro Microsoft Defender for Identity |
| 2 | Stažení instalačního balíčku senzoru | Rychlý start: Stažení instalačního balíčku senzoru Microsoft Defenderu for Identity |
| 3 | Instalace senzoru Defenderu for Identity | Rychlý start: Instalace senzoru Microsoft Defender for Identity |
| 4 | Konfigurace senzoru | Konfigurace nastavení senzoru Microsoft Defenderu for Identity |
Krok 3: Konfigurace protokolu událostí a nastavení proxy serveru na počítačích pomocí senzoru
Na počítačích, na které jste senzor nainstalovali, nakonfigurujte shromažďování protokolů událostí Systému Windows a nastavení internetového proxy serveru, abyste povolili a vylepšili možnosti detekce.
| Krok | Popis | Další informace |
|---|---|---|
| 1 | Konfigurace shromažďování protokolů událostí Systému Windows | Konfigurace shromažďování událostí Windows |
| 2 | Konfigurace nastavení internetového proxy serveru | Konfigurace proxy koncového bodu a nastavení připojení k internetu pro senzor Microsoft Defender for Identity Sensor |
Krok 4: Povolení defenderu for Identity identifikovat místní správce na jiných počítačích
Detekce cesty laterálního pohybu v programu Microsoft Defender for Identity spoléhá na dotazy, které identifikují místní správce na konkrétních počítačích. Tyto dotazy se provádějí pomocí protokolu SAM-R s využitím účtu služby Defender for Identity Service.
Pokud chcete zajistit, aby klienti a servery systému Windows umožňovali vašemu účtu Defender for Identity provádět SAM-R, je nutné kromě nakonfigurovaných účtů uvedených v zásadách přístupu k síti přidat účet služby Defender for Identity. Nezapomeňte použít zásady skupiny na všechny počítače kromě řadičů domény.
Pokyny k tomu najdete v tématu Konfigurace Microsoft Defenderu for Identity pro vzdálená volání sam.
Krok 5: Konfigurace doporučení srovnávacích testů pro prostředí identit
Microsoft poskytuje zákazníkům, kteří používají cloudové služby Microsoftu, doporučení k srovnávacím testům zabezpečení. Srovnávací test zabezpečení Azure (ASB) poskytuje doporučené osvědčené postupy a doporučení, které pomáhají zlepšit zabezpečení úloh, dat a služeb v Azure.
Plánování a implementace těchto doporučení může nějakou dobu trvat. I když tato doporučení výrazně zvyšují zabezpečení vašeho prostředí identit, neměla by vám bránit v dalším vyhodnocování a implementaci Microsoft Defenderu for Identity. Tato doporučení jsou zde uvedena pro vaše povědomí.
Krok 6: Vyzkoušení funkcí
Dokumentace k Defenderu for Identity obsahuje následující kurzy, které vás provedou procesem identifikace a nápravy různých typů útoků:
- Upozornění na rekognoskaci
- Upozornění na ohrožení zabezpečení přihlašovacích údajů
- Upozornění na laterální pohyb
- Upozornění na dominanci v doméně
- Upozornění na exfiltraci
- Prozkoumání uživatele
- Prozkoumání počítače
- Prozkoumání cest laterálního pohybu
- Zkoumání entit
Integrace SIEM
Defender for Identity můžete integrovat se službou Microsoft Sentinel nebo obecnou službou pro správu událostí a informací o zabezpečení (SIEM) a umožnit tak centralizované monitorování výstrah a aktivit z připojených aplikací. Se službou Microsoft Sentinel můžete komplexněji analyzovat události zabezpečení ve vaší organizaci a vytvářet playbooky pro efektivní a okamžitou reakci.
Microsoft Sentinel zahrnuje konektor Defenderu for Identity. Další informace najdete v tématu Konektor Microsoft Defenderu for Identity pro Microsoft Sentinel.
Informace o integraci se systémy SIEM třetích stran najdete v tématu Obecná integrace SIEM.
Další krok
Do svých procesů SecOps začleníte následující:
Další krok pro kompletní nasazení XDR v programu Microsoft Defender
Pokračujte v kompletním nasazení Microsoft DefenderU XDR pomocí pilotního nasazení a nasaďte Defender pro Office 365.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro