Pilot und Bereitstellung von Microsoft Defender for Identity
Gilt für:
- Microsoft Defender XDR
Dieser Artikel enthält einen Workflow zum Pilotieren und Bereitstellen von Microsoft Defender for Identity in Ihrem organization. Sie können diese Empfehlungen verwenden, um Microsoft Defender for Identity als individuelles Cybersicherheitstool oder als Teil einer End-to-End-Lösung mit Microsoft Defender XDR zu integrieren.
In diesem Artikel wird davon ausgegangen, dass Sie über einen Microsoft 365-Produktionsmandanten verfügen und Microsoft Defender for Identity in dieser Umgebung pilotieren und bereitstellen. Bei dieser Vorgehensweise werden alle Einstellungen und Anpassungen beibehalten, die Sie während des Pilotprojekts für Ihre vollständige Bereitstellung konfigurieren.
Defender for Office 365 trägt zu einer Zero Trust Architektur bei, indem sie dazu beiträgt, Geschäftsschäden durch eine Sicherheitsverletzung zu verhindern oder zu reduzieren. Weitere Informationen finden Sie unter Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung im Microsoft Zero Trust Adoption Framework.
End-to-End-Bereitstellung für Microsoft Defender XDR
Dies ist Artikel 2 von 6 in einer Reihe, die Ihnen helfen soll, die Komponenten von Microsoft Defender XDR bereitzustellen, einschließlich der Untersuchung und Reaktion auf Vorfälle.
Die Artikel in dieser Reihe entsprechen den folgenden Phasen der End-to-End-Bereitstellung:
| Phase | Link |
|---|---|
| A. Starten des Pilotprojekts | Starten des Pilotprojekts |
| B. Pilot und Bereitstellung Microsoft Defender XDR Komponenten |
-
Pilot und Bereitstellung von Defender for Identity (dieser Artikel) - Pilot und Bereitstellung von Defender for Office 365 - Pilotversuch und Bereitstellung von Defender für Endpunkt - Pilot und Bereitstellung von Microsoft Defender for Cloud Apps |
| C. Untersuchen und Reagieren auf Bedrohungen | Üben der Untersuchung und Reaktion auf Vorfälle |
Pilot- und Bereitstellungsworkflow für Defender for Identity
Das folgende Diagramm veranschaulicht einen allgemeinen Prozess zum Bereitstellen eines Produkts oder Diensts in einer IT-Umgebung.
Sie beginnen damit, das Produkt oder die Dienstleistung zu bewerten und zu bewerten, wie es in Ihrem organization funktioniert. Anschließend pilotieren Sie das Produkt oder den Dienst mit einer entsprechend kleinen Teilmenge Ihrer Produktionsinfrastruktur zum Testen, Lernen und Anpassen. Erweitern Sie dann schrittweise den Umfang der Bereitstellung, bis Ihre gesamte Infrastruktur oder organization abgedeckt ist.
Hier sehen Sie den Workflow zum Pilotieren und Bereitstellen von Defender for Identity in Ihrer Produktionsumgebung.
Gehen Sie folgendermaßen vor:
- Einrichten des Defender for Identity-instance
- Installieren und Konfigurieren von Sensoren
- Konfigurieren von Ereignisprotokoll- und Proxyeinstellungen auf Computern mit dem Sensor
- Zulassen, dass Defender for Identity lokale Administratoren auf anderen Computern identifiziert
- Konfigurieren von Benchmarkempfehlungen für Ihre Identitätsumgebung
- Funktionen ausprobieren
Hier finden Sie die empfohlenen Schritte für jede Bereitstellungsphase.
| Bereitstellungsphase | Beschreibung |
|---|---|
| Auswerten | Führen Sie die Produktauswertung für Defender for Identity aus. |
| Pilotprojekt | Führen Sie die Schritte 1 bis 6 für eine geeignete Teilmenge von Servern mit Sensoren in Ihrer Produktionsumgebung aus. |
| Vollständige Bereitstellung | Führen Sie die Schritte 2 bis 5 für Ihre verbleibenden Server aus, und erweitern Sie diese über das Pilotprojekt hinaus, um alle Server einzuschließen. |
Schützen Ihrer organization vor Hackern
Defender for Identity bietet einen leistungsstarken Schutz für sich allein. In Kombination mit den anderen Funktionen von Microsoft Defender XDR stellt Defender for Identity jedoch Daten in die gemeinsam genutzten Signale bereit, die zusammen dazu beitragen, Angriffe zu stoppen.
Hier ist ein Beispiel für einen Cyberangriff und wie die Komponenten von Microsoft Defender XDR helfen, ihn zu erkennen und zu entschärfen.
Defender for Identity sammelt Signale von Active Directory Domain Services Domänencontrollern (AD DS) und Servern, auf denen Active Directory-Verbunddienste (AD FS) (AD FS) und Active Directory Certificate Services (AD CS) ausgeführt werden. Es verwendet diese Signale, um Ihre Hybrididentitätsumgebung zu schützen, einschließlich schutz vor Hackern, die kompromittierte Konten verwenden, um sich seitlich über Arbeitsstationen in der lokalen Umgebung zu bewegen.
Microsoft Defender XDR korreliert die Signale aller Microsoft Defender Komponenten, um die vollständige Angriffsgeschichte bereitzustellen.
Defender for Identity-Architektur
Microsoft Defender for Identity ist vollständig in Microsoft Defender XDR integriert und nutzt Signale von lokales Active Directory Identitäten, damit Sie erweiterte Bedrohungen besser erkennen, erkennen und untersuchen können, die gegen Ihre Identität gerichtet sind. organization.
Stellen Sie Microsoft Defender for Identity bereit, um Ihren Security Operations -Teams (SecOps) bei der Bereitstellung einer modernen ITDR-Lösung (Identity Threat Detection and Response) in Hybridumgebungen zu helfen, einschließlich:
- Verhindern von Sicherheitsverletzungen mithilfe proaktiver Identitätssicherheitsbewertungen
- Erkennen von Bedrohungen mithilfe von Echtzeitanalysen und Datenintelligenz
- Untersuchen verdächtiger Aktivitäten mithilfe klarer, umsetzbarer Incidentinformationen
- Reagieren Sie auf Angriffe, indem Sie automatische Reaktionen auf kompromittierte Identitäten verwenden. Weitere Informationen finden Sie unter Was ist Microsoft Defender for Identity?
Defender for Identity schützt Ihre lokalen AD DS-Benutzerkonten und Benutzerkonten, die mit Ihrem Microsoft Entra ID Mandanten synchronisiert werden. Informationen zum Schutz einer Umgebung, die nur aus Microsoft Entra Benutzerkonten besteht, finden Sie unter Microsoft Entra ID Protection.
Das folgende Diagramm veranschaulicht die Architektur für Defender for Identity.
In dieser Abbildung:
- Sensoren, die auf AD DS-Domänencontrollern und AD CS-Servern installiert sind, analysieren Protokolle und Netzwerkdatenverkehr und senden sie zur Analyse und Berichterstellung an Microsoft Defender for Identity.
- Sensoren können auch AD FS-Authentifizierungen für Identitätsanbieter von Drittanbietern analysieren und wenn Microsoft Entra ID für die Verwendung der Verbundauthentifizierung konfiguriert ist (die gepunkteten Linien in der Abbildung).
- Microsoft Defender for Identity gibt Signale an Microsoft Defender XDR weiter.
Defender for Identity-Sensoren können direkt auf den folgenden Servern installiert werden:
AD DS-Domänencontroller
Der Sensor überwacht den Datenverkehr des Domänencontrollers direkt, ohne dass ein dedizierter Server oder die Konfiguration der Portspiegelung erforderlich ist.
AD CS-Server
AD FS-Server
Der Sensor überwacht den Netzwerkdatenverkehr und Authentifizierungsereignisse direkt.
Einen tieferen Einblick in die Architektur von Defender for Identity finden Sie unter Microsoft Defender for Identity Architektur.
Schritt 1: Einrichten des Defender for Identity-instance
Zunächst erfordert Defender for Identity einige erforderliche Arbeit, um sicherzustellen, dass Ihre lokale Identität und Ihre Netzwerkkomponenten die Mindestanforderungen erfüllen. Verwenden Sie den Artikel Microsoft Defender for Identity Voraussetzungen als Prüfliste, um sicherzustellen, dass Ihre Umgebung bereit ist.
Melden Sie sich als Nächstes beim Defender for Identity-Portal an, um Ihre instance zu erstellen, und verbinden Sie diese instance dann mit Ihrer Active Directory-Umgebung.
| Schritt | Beschreibung | Weitere Informationen |
|---|---|---|
| 1 | Erstellen des Defender for Identity-instance | Schnellstart: Microsoft Defender for Identity-Instanz erstellen |
| 2 | Verbinden des Defender for Identity-instance mit Ihrer Active Directory-Gesamtstruktur | Schnellstart: Herstellen einer Verbindung mit Ihrer Active Directory-Gesamtstruktur |
Schritt 2: Installieren und Konfigurieren von Sensoren
Laden Sie als Nächstes den Defender for Identity-Sensor auf den Domänencontrollern, AD FS- und AD CS-Servern in Ihrer lokalen Umgebung herunter, installieren und konfigurieren Sie es.
| Schritt | Beschreibung | Weitere Informationen |
|---|---|---|
| 1 | Bestimmen Sie, wie viele Microsoft Defender for Identity Sensoren Sie benötigen. | Planen der Kapazität für Microsoft Defender for Identity |
| 2 | Herunterladen des Sensorsetuppakets | Schnellstart: Herunterladen des Microsoft Defender for Identity-Sensor-Setuppakets |
| 3 | Installieren des Defender for Identity-Sensors | Schnellstart: Installieren des Microsoft Defender for Identity-Sensors |
| 4 | Konfigurieren des Sensors | Konfigurieren Microsoft Defender for Identity Sensoreinstellungen |
Schritt 3: Konfigurieren von Ereignisprotokoll- und Proxyeinstellungen auf Computern mit dem Sensor
Konfigurieren Sie auf den Computern, auf denen Sie den Sensor installiert haben, die Einstellungen für die Windows-Ereignisprotokollsammlung und den Internetproxy, um die Erkennungsfunktionen zu aktivieren und zu verbessern.
| Schritt | Beschreibung | Weitere Informationen |
|---|---|---|
| 1 | Konfigurieren der Windows-Ereignisprotokollsammlung | Konfigurieren der Windows-Ereignissammlung |
| 2 | Konfigurieren von Internetproxyeinstellungen | Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen für Ihren Microsoft Defender for Identity Sensor |
Schritt 4: Zulassen, dass Defender for Identity lokale Administratoren auf anderen Computern identifiziert
Die laterale Bewegungspfaderkennung von Microsoft Defender for Identity basiert auf Abfragen, die lokale Administratoren auf bestimmten Computern identifizieren. Diese Abfragen werden mit dem SAM-R-Protokoll unter Verwendung des Defender for Identity Service-Kontos ausgeführt.
Um sicherzustellen, dass Windows-Clients und -Server Ihrem Defender for Identity-Konto die Ausführung von SAM-R erlauben, muss eine Änderung an Gruppenrichtlinie vorgenommen werden, um das Defender for Identity-Dienstkonto zusätzlich zu den konfigurierten Konten hinzuzufügen, die in der Netzwerkzugriffsrichtlinie aufgeführt sind. Stellen Sie sicher, dass Sie Gruppenrichtlinien auf alle Computer mit Ausnahme von Domänencontrollern anwenden.
Anweisungen hierzu finden Sie unter Konfigurieren von Microsoft Defender for Identity, um Remoteaufrufe an SAM zu tätigen.
Schritt 5: Konfigurieren von Benchmarkempfehlungen für Ihre Identitätsumgebung
Microsoft bietet Empfehlungen zum Sicherheitsvergleichstest für Kunden, die Microsoft Cloud Services verwenden. Der Azure-Sicherheitsvergleichstest (ASB ) bietet ausführliche bewährte Methoden und Empfehlungen, um die Sicherheit von Workloads, Daten und Diensten in Azure zu verbessern.
Die Implementierung dieser Empfehlungen kann einige Zeit in Anspruch nehmen, um sie zu planen und zu implementieren. Obwohl diese Empfehlungen die Sicherheit Ihrer Identitätsumgebung erheblich erhöhen, sollten sie Sie nicht daran hindern, weiterhin Microsoft Defender for Identity zu evaluieren und zu implementieren. Diese Empfehlungen finden Sie hier für Ihr Bewusstsein.
Schritt 6: Testen von Funktionen
Die Defender for Identity-Dokumentation enthält die folgenden Tutorials, die den Prozess der Identifizierung und Behebung verschiedener Angriffstypen durchlaufen:
- Reconnaissance-Warnungen
- Warnungen zu kompromittierten Anmeldeinformationen
- Lateral Movement-Warnungen
- Domänendominanzwarnungen
- Exfiltrationswarnungen
- Untersuchen eines Benutzers
- Untersuchen eines Computers
- Untersuchen von Lateral Movement-Pfaden
- Untersuchen von Entitäten
SIEM-Integration
Sie können Defender for Identity in Microsoft Sentinel oder einen generischen SIEM-Dienst (Security Information and Event Management) integrieren, um die zentralisierte Überwachung von Warnungen und Aktivitäten von verbundenen Apps zu ermöglichen. Mit Microsoft Sentinel können Sie Sicherheitsereignisse in Ihren organization umfassender analysieren und Playbooks für eine effektive und sofortige Reaktion erstellen.
Microsoft Sentinel enthält einen Defender for Identity-Connector. Weitere Informationen finden Sie unter Microsoft Defender for Identity Connector für Microsoft Sentinel.
Informationen zur Integration in SIEM-Systeme von Drittanbietern finden Sie unter Generische SIEM-Integration.
Nächster Schritt
Integrieren Sie Folgendes in Ihre SecOps-Prozesse:
Nächster Schritt für die End-to-End-Bereitstellung von Microsoft Defender XDR
Setzen Sie Ihre End-to-End-Bereitstellung von Microsoft Defender XDR mit Pilot fort, und stellen Sie Defender for Office 365 bereit.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.