Nasazení Microsoft Defenderu for Identity pomocí XDR v programu Microsoft Defender
Tento článek obsahuje přehled celého procesu nasazení pro Microsoft Defender for Identity, včetně kroků pro přípravu, nasazení a dalších kroků pro konkrétní scénáře.
Defender for Identity je primární komponentou strategie nulová důvěra (Zero Trust) a detekce hrozeb identity a reakce (ITDR) nebo rozšířeného nasazení detekce a odpovědi (XDR) v programu Microsoft Defender XDR. Defender for Identity používá signály služby Active Directory k detekci náhlé změny účtu, jako jsou eskalace oprávnění nebo vysoce rizikové laterální přesuny, a hlásí problémy s snadno zneužínou identitou, jako je nekontrénované delegování Kerberos, kvůli opravě týmem zabezpečení.
Stručný přehled nasazení najdete v úvodní příručce k instalaci.
Požadavky
Než začnete, ujistěte se, že máte přístup k XDR v programu Microsoft Defender alespoň jako správce zabezpečení a máte jednu z následujících licencí:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Zabezpečení Microsoftu 365 E5/A5/G5/F5*
- Microsoft 365 F5 Security + Compliance*
- Samostatná licence defenderu for Identity
* Obě licence F5 vyžadují Microsoft 365 F1/F3 nebo Office 365 F3 a Enterprise Mobility + Security E3.
Licence můžete získat přímo prostřednictvím portálu Microsoft 365 nebo použít licenční model CSP (Cloud Solution Partner).
Další informace najdete v nejčastějších dotazech k licencování a ochraně osobních údajů a o rolích a oprávněních v programu Defender for Identity?
Začínáme používat XDR v programu Microsoft Defender
Tato část popisuje, jak začít s onboardingem do služby Defender for Identity.
- Přihlaste se k portálu Microsoft Defender.
- V navigační nabídce vyberte libovolnou položku, jako jsou incidenty a výstrahy, proaktivní vyhledávání, centrum akcí nebo analýza hrozeb, a zahajte proces onboardingu.
Pak budete mít možnost nasadit podporované služby, včetně Microsoft Defenderu for Identity. Cloudové komponenty vyžadované pro Defender for Identity se při otevření stránky nastavení defenderu pro identitu automaticky přidají.
Další informace naleznete v tématu:
- Microsoft Defender for Identity v XDR v programu Microsoft Defender
- Začínáme s XDR v programu Microsoft Defender
- Zapnutí XDR v programu Microsoft Defender
- Nasazení podporovaných služeb
- Nejčastější dotazy týkající se zapnutí XDR v programu Microsoft Defender
Důležité
Datacentra Defender for Identity se v současné době nasazují v Evropě, Spojeném království, Severní Amerika/ Střední Americe/ Karibské oblasti, Austrálii – východ a Asii. Váš pracovní prostor (instance) se automaticky vytvoří v oblasti Azure, která je nejblíže zeměpisnému umístění vašeho tenanta Microsoft Entra. Po vytvoření se pracovní prostory Defenderu for Identity nedají přesouvat.
Plánování a příprava
Pomocí následujících kroků se připravte na nasazení Defenderu for Identity:
Ujistěte se, že máte všechny požadované požadavky .
Naplánujte kapacitu Defenderu for Identity.
Tip
Doporučujeme spustit skript Test-MdiReadiness.ps1 k otestování a zjistit, jestli vaše prostředí splňuje nezbytné požadavky.
Odkaz na skript Test-MdiReadiness.ps1 je k dispozici také v programu Microsoft Defender XDR na stránce Nástroje identit > (Preview).
Nasazení Defenderu pro identitu
Po přípravě systému pomocí následujících kroků nasaďte Defender for Identity:
- Ověřte připojení ke službě Defender for Identity.
- Stáhněte si senzor defenderu pro identitu.
- Nainstalujte senzor defenderu pro identitu.
- Nakonfigurujte senzor služby Defender for Identity tak, aby začal přijímat data.
Konfigurace po nasazení
Následující postupy vám pomůžou dokončit proces nasazení:
Nakonfigurujte shromažďování událostí Systému Windows. Další informace najdete v tématu Shromažďování událostí pomocí programu Microsoft Defender for Identity a konfigurace zásad auditu pro protokoly událostí Windows.
Povolte a nakonfigurujte jednotné řízení přístupu na základě role (RBAC) pro Defender for Identity.
Nakonfigurujte účet adresářové služby (DSA) pro použití s programem Defender for Identity. I když je DSA v některých scénářích nepovinný, doporučujeme nakonfigurovat DSA pro Defender for Identity pro úplné pokrytí zabezpečení.
Podle potřeby nakonfigurujte vzdálená volání do SAM . I když je tento krok volitelný, doporučujeme nakonfigurovat vzdálená volání do SAM-R pro detekci cest laterálního pohybu pomocí defenderu pro identitu.
Důležité
Instalace senzoru defenderu pro identitu na server AD FS nebo AD CS vyžaduje další kroky. Další informace najdete v tématu Konfigurace senzorů pro SLUŽBU AD FS a AD CS.