Sdílet prostřednictvím


Pilotní nasazení a Microsoft Defender for Identity

Platí pro:

  • Microsoft Defender XDR

Tento článek obsahuje pracovní postup pro pilotní nasazení a nasazení Microsoft Defender for Identity ve vaší organizaci. Tato doporučení můžete využít k nasazení Microsoft Defender for Identity jako individuálního nástroje pro kybernetickou bezpečnost nebo jako součást komplexního řešení s Microsoft Defender XDR.

Tento článek předpokládá, že máte produkčního tenanta Microsoftu 365 a v tomto prostředí nasazujete a nasazujete Microsoft Defender for Identity. Tento postup zachová všechna nastavení a přizpůsobení, která nakonfigurujete během pilotního nasazení pro úplné nasazení.

Defender pro Office 365 přispívá k nulová důvěra (Zero Trust) architektuře tím, že pomáhá předcházet obchodním škodám způsobeným porušením zabezpečení nebo je omezit. Další informace najdete v tématu Prevence nebo omezení obchodních škod způsobených porušením zabezpečení v rámci přechodu microsoftu nulová důvěra (Zero Trust).

Kompletní nasazení pro Microsoft Defender XDR

Toto je článek 2 ze 6 série, který vám pomůže nasadit komponenty Microsoft Defender XDR, včetně vyšetřování incidentů a reakce na ně.

Diagram znázorňující Microsoft Defender for Identity v procesu pilotního nasazení a nasazení Microsoft Defender XDR

Články v této řadě odpovídají následujícím fázím kompletního nasazení:

Fáze Propojit
A. Spuštění pilotního nasazení Spuštění pilotního nasazení
B. Pilotní nasazení a nasazení komponent Microsoft Defender XDR - Pilotní nasazení Defenderu for Identity (tento článek)

- Pilotní nasazení a Defender pro Office 365

- Pilotní nasazení a nasazení Defenderu for Endpoint

- Pilotní nasazení a Microsoft Defender for Cloud Apps
C. Prošetřování hrozeb a reakce na ně Procvičte si šetření incidentů a reakce na ně

Pilotní a nasazení pracovního postupu pro Defender for Identity

Následující diagram znázorňuje běžný proces nasazení produktu nebo služby v IT prostředí.

Diagram fází pilotního nasazení, vyhodnocení a úplného přijetí nasazení

Začnete vyhodnocením produktu nebo služby a toho, jak budou fungovat ve vaší organizaci. Potom produkt nebo službu pilotujete s vhodně malou podmnožinou produkční infrastruktury pro testování, učení a přizpůsobení. Pak postupně navyšujte rozsah nasazení, dokud nebude pokryta celá vaše infrastruktura nebo organizace.

Tady je pracovní postup pro pilotní nasazení a nasazení Defenderu for Identity v produkčním prostředí.

Diagram znázorňující kroky pro pilotní nasazení a nasazení Microsoft Defender for Identity

Postupujte takto:

  1. Nastavení instance Defenderu for Identity
  2. Instalace a konfigurace senzorů
  3. Konfigurace protokolu událostí a nastavení proxy serveru na počítačích se senzorem
  4. Povolit Defenderu for Identity identifikovat místní správce na jiných počítačích
  5. Konfigurace doporučení srovnávacích testů pro prostředí identit
  6. Vyzkoušení funkcí

Tady jsou doporučené kroky pro každou fázi nasazení.

Fáze nasazení Popis
Hodnotit Proveďte vyhodnocení produktu defenderu for Identity.
Pilot Proveďte kroky 1 až 6 pro vhodnou podmnožinu serverů se senzory v produkčním prostředí.
Úplné nasazení Proveďte kroky 2 až 5 pro zbývající servery a rozbalte je nad rámec pilotního nasazení, aby zahrnovaly všechny z nich.

Ochrana organizace před hackery

Defender for Identity poskytuje výkonnou ochranu sám o sobě. V kombinaci s dalšími funkcemi Microsoft Defender XDR ale Defender for Identity poskytuje data do sdílených signálů, které společně pomáhají zastavit útoky.

Tady je příklad kybernetického útoku a toho, jak ho komponenty Microsoft Defender XDR pomoct rozpoznat a zmírnit.

Diagram znázorňující, jak Microsoft Defender XDR zastavit řetěz hrozeb

Defender for Identity shromažďuje signály z řadičů domény Active Directory Domain Services (AD DS) a serverů, na kterých běží služba Active Directory Federation Services (AD FS) (AD FS) a služba AD CS (Active Directory Certificate Services). Tyto signály používá k ochraně prostředí hybridní identity, včetně ochrany před hackery, kteří používají ohrožené účty k laterálně přesunu mezi pracovními stanicemi v místním prostředí.

Microsoft Defender XDR koreluje signály ze všech komponent Microsoft Defender a poskytuje kompletní příběh útoku.

Architektura služby Defender for Identity

Microsoft Defender for Identity je plně integrovaná s Microsoft Defender XDR a využívá signály z místní Active Directory identit, aby vám pomohla lépe identifikovat, zjišťovat a prošetřovat pokročilé hrozby zaměřené na vaši organizaci.

Nasazení Microsoft Defender for Identity, které vašim týmům pro operace zabezpečení (SecOps) pomůžou zajistit moderní řešení ITDR (Identity Threat Detection and Response) napříč hybridními prostředími, včetně:

  • Prevence porušení zabezpečení pomocí proaktivního posouzení stavu zabezpečení identit
  • Detekce hrozeb s využitím analýzy v reálném čase a datové inteligence
  • Zkoumání podezřelých aktivit s využitím jasných informací o incidentu s akcemi
  • Reagujte na útoky pomocí automatické reakce na ohrožené identity. Další informace najdete v tématu Co je Microsoft Defender for Identity?

Defender for Identity chrání vaše místní uživatelské účty ad DS a uživatelské účty synchronizované s Microsoft Entra ID tenantem. Informace o ochraně prostředí, které se skládá jenom z Microsoft Entra uživatelských účtů, najdete v tématu Microsoft Entra ID Protection.

Následující diagram znázorňuje architekturu služby Defender for Identity.

Diagram znázorňující architekturu pro Microsoft Defender for Identity

Na tomto obrázku:

  • Senzory nainstalované na řadičích domény služby AD DS a na serverech AD CS parsují protokoly a síťový provoz a odesílají je do Microsoft Defender for Identity pro účely analýzy a generování sestav.
  • Senzory také můžou analyzovat ověřování AD FS pro zprostředkovatele identity třetích stran a pokud je Microsoft Entra ID nakonfigurované tak, aby používaly federované ověřování (tečkované čáry na obrázku).
  • Microsoft Defender for Identity sdílí signály pro Microsoft Defender XDR.

Senzory defenderu for Identity je možné nainstalovat přímo na následující servery:

  • Řadiče domény služby AD DS

    Senzor přímo monitoruje provoz řadiče domény bez nutnosti použití vyhrazeného serveru nebo konfigurace zrcadlení portů.

  • Servery AD CS

  • Servery SLUŽBY AD FS

    Senzor přímo monitoruje síťový provoz a události ověřování.

Podrobnější informace o architektuře defenderu for Identity najdete v tématu Microsoft Defender for Identity architektura.

Krok 1: Nastavení instance Defenderu for Identity

Za prvé defender for Identity vyžaduje určitou část nezbytné práce, aby se zajistilo, že místní identity a síťové komponenty splňují minimální požadavky. Jako kontrolní seznam použijte článek s požadavky Microsoft Defender for Identity, abyste měli jistotu, že je vaše prostředí připravené.

Pak se přihlaste k portálu Defender for Identity, vytvořte instanci a pak tuto instanci připojte k prostředí Služby Active Directory.

Krok Popis Další informace
1 Vytvoření instance Defenderu for Identity Rychlý start: Vytvoření instance Microsoft Defender for Identity
2 Připojení instance Služby Defender for Identity k doménové struktuře Služby Active Directory Rychlý start: Připojení k doménové struktuře služby Active Directory

Krok 2: Instalace a konfigurace senzorů

Dále si stáhněte, nainstalujte a nakonfigurujte senzor Defender for Identity na řadičích domény, AD FS a serverech AD CS ve vašem místním prostředí.

Krok Popis Další informace
1 Určete, kolik snímačů Microsoft Defender for Identity potřebujete. Plánování kapacity pro Microsoft Defender for Identity
2 Stažení instalačního balíčku senzoru Rychlý start: Stažení instalačního balíčku senzoru Microsoft Defender for Identity
3 Instalace senzoru Defenderu for Identity Rychlý start: Instalace senzoru Microsoft Defender for Identity
4 Konfigurace senzoru Konfigurace nastavení senzoru Microsoft Defender for Identity

Krok 3: Konfigurace protokolu událostí a nastavení proxy serveru na počítačích pomocí senzoru

Na počítačích, na které jste senzor nainstalovali, nakonfigurujte shromažďování protokolů událostí Systému Windows a nastavení internetového proxy serveru, abyste povolili a vylepšili možnosti detekce.

Krok Popis Další informace
1 Konfigurace shromažďování protokolů událostí Systému Windows Konfigurace shromažďování událostí Windows
2 Konfigurace nastavení internetového proxy serveru Konfigurace proxy koncového bodu a nastavení připojení k internetu pro senzor Microsoft Defender for Identity

Krok 4: Povolení defenderu for Identity identifikovat místní správce na jiných počítačích

Microsoft Defender for Identity detekce cesty laterálního pohybu závisí na dotazech, které identifikují místní správce na konkrétních počítačích. Tyto dotazy se provádějí pomocí protokolu SAM-R s využitím účtu služby Defender for Identity Service.

Pokud chcete zajistit, aby klienti a servery systému Windows umožňovali vašemu účtu Defenderu for Identity provádět SAM-R, je potřeba kromě nakonfigurovaných účtů uvedených v zásadách přístupu k síti změnit Zásady skupiny přidat účet služby Defender for Identity. Nezapomeňte použít zásady skupiny na všechny počítače kromě řadičů domény.

Pokyny k tomu najdete v tématu Konfigurace Microsoft Defender for Identity pro vzdálená volání sam.

Krok 5: Konfigurace doporučení srovnávacích testů pro prostředí identit

Microsoft poskytuje zákazníkům, kteří používají cloudové služby Microsoftu, doporučení k srovnávacím testům zabezpečení. Srovnávací test zabezpečení Azure (ASB) poskytuje doporučené osvědčené postupy a doporučení, které pomáhají zlepšit zabezpečení úloh, dat a služeb v Azure.

Plánování a implementace těchto doporučení může nějakou dobu trvat. I když tato doporučení výrazně zvyšují zabezpečení vašeho prostředí identit, neměla by vám bránit v dalším vyhodnocování a implementaci Microsoft Defender for Identity. Tato doporučení jsou zde uvedena pro vaše povědomí.

Krok 6: Vyzkoušení funkcí

Dokumentace k Defenderu for Identity obsahuje následující kurzy, které vás provedou procesem identifikace a nápravy různých typů útoků:

Integrace SIEM

Defender for Identity můžete integrovat se službou Microsoft Sentinel nebo obecnou službou pro správu událostí a informací o zabezpečení (SIEM) a povolit tak centralizované monitorování výstrah a aktivit z připojených aplikací. S Microsoft Sentinel můžete komplexněji analyzovat události zabezpečení ve vaší organizaci a vytvářet playbooky pro efektivní a okamžitou reakci.

Diagram znázorňující architekturu pro Microsoft Defender for Identity s integrací SIEM

Microsoft Sentinel zahrnuje konektor Defender for Identity. Další informace najdete v tématu Microsoft Defender for Identity konektor pro Microsoft Sentinel.

Informace o integraci se systémy SIEM třetích stran najdete v tématu Obecná integrace SIEM.

Další krok

Do svých procesů SecOps začleníte následující:

Další krok pro kompletní nasazení Microsoft Defender XDR

Pokračujte v kompletním nasazení Microsoft Defender XDR pomocí pilotního nasazení a nasazení Defender pro Office 365.

Diagram znázorňující Microsoft Defender pro Office 365 v procesu pilotního nasazení a nasazení Microsoft Defender XDR

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.