Testen und Bereitstellen von Microsoft Defender for Identity
Gilt für:
- Microsoft Defender XDR
Dieser Artikel enthält einen Workflow zum Pilotieren und Bereitstellen von Microsoft Defender for Identity in Ihrer Organisation. Sie können diese Empfehlungen verwenden, um Microsoft Defender for Identity als individuelles Cybersicherheitstool oder als Teil einer End-to-End-Lösung mit Microsoft Defender XDR zu integrieren.
In diesem Artikel wird davon ausgegangen, dass Sie über einen Microsoft 365-Produktionsmandanten verfügen und Microsoft Defender for Identity in dieser Umgebung pilotieren und bereitstellen. Bei dieser Vorgehensweise werden alle Einstellungen und Anpassungen beibehalten, die Sie während des Pilotprojekts für Ihre vollständige Bereitstellung konfigurieren.
Defender für Office 365 trägt zu einer Zero Trust-Architektur bei, indem es dazu beiträgt, Geschäftsschäden durch eine Sicherheitsverletzung zu verhindern oder zu reduzieren. Weitere Informationen finden Sie unter Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung im Microsoft Zero Trust-Einführungsframework.
End-to-End-Bereitstellung für Microsoft Defender XDR
Dies ist Artikel 2 von 6 einer Reihe, die Ihnen bei der Bereitstellung der Komponenten von Microsoft Defender XDR hilft, einschließlich der Untersuchung und Reaktion auf Vorfälle.
Die Artikel in dieser Reihe entsprechen den folgenden Phasen der End-to-End-Bereitstellung:
| Phase | Link |
|---|---|
| A. Starten des Pilotprojekts | Starten des Pilotprojekts |
| B. Testen und Bereitstellen von Microsoft Defender XDR-Komponenten | - Pilot und Bereitstellung von Defender for Identity (dieser Artikel) - Pilot und Bereitstellung von Defender für Office 365 - Pilotversuch und Bereitstellung von Defender für Endpunkt - Testen und Bereitstellen von Microsoft Defender für Cloud-Apps |
| C. Untersuchen und Reagieren auf Bedrohungen | Üben der Untersuchung und Reaktion auf Vorfälle |
Pilot- und Bereitstellungsworkflow für Defender for Identity
Das folgende Diagramm veranschaulicht einen allgemeinen Prozess zum Bereitstellen eines Produkts oder Diensts in einer IT-Umgebung.
Sie beginnen damit, das Produkt oder den Dienst und dessen Funktionsweise in Ihrer Organisation zu bewerten. Anschließend pilotieren Sie das Produkt oder den Dienst mit einer entsprechend kleinen Teilmenge Ihrer Produktionsinfrastruktur zum Testen, Lernen und Anpassen. Erweitern Sie dann schrittweise den Umfang der Bereitstellung, bis Ihre gesamte Infrastruktur oder Organisation abgedeckt ist.
Hier sehen Sie den Workflow zum Pilotieren und Bereitstellen von Defender for Identity in Ihrer Produktionsumgebung.
Gehen Sie folgendermaßen vor:
- Einrichten der Defender for Identity-Instanz
- Installieren und Konfigurieren von Sensoren
- Konfigurieren von Ereignisprotokoll- und Proxyeinstellungen auf Computern mit dem Sensor
- Zulassen, dass Defender for Identity lokale Administratoren auf anderen Computern identifiziert
- Konfigurieren von Benchmarkempfehlungen für Ihre Identitätsumgebung
- Funktionen ausprobieren
Hier finden Sie die empfohlenen Schritte für jede Bereitstellungsphase.
| Bereitstellungsphase | Beschreibung |
|---|---|
| Auswerten | Führen Sie die Produktauswertung für Defender for Identity aus. |
| Pilotprojekt | Führen Sie die Schritte 1 bis 6 für eine geeignete Teilmenge von Servern mit Sensoren in Ihrer Produktionsumgebung aus. |
| Vollständige Bereitstellung | Führen Sie die Schritte 2 bis 5 für Ihre verbleibenden Server aus, und erweitern Sie diese über das Pilotprojekt hinaus, um alle Server einzuschließen. |
Schützen Ihrer Organisation vor Hackern
Defender for Identity bietet einen leistungsstarken Schutz für sich allein. In Kombination mit den anderen Funktionen von Microsoft Defender XDR stellt Defender for Identity jedoch Daten in die gemeinsamen Signale bereit, die zusammen dazu beitragen, Angriffe zu stoppen.
Hier sehen Sie ein Beispiel für einen Cyberangriff und wie die Komponenten von Microsoft Defender XDR dabei helfen, ihn zu erkennen und zu entschärfen.
Defender for Identity sammelt Signale von Active Directory Domain Services (AD DS)-Domänencontrollern und Servern, auf denen Active Directory-Verbunddienste (AD FS) und Active Directory Certificate Services (AD CS) ausgeführt werden. Es verwendet diese Signale, um Ihre Hybrididentitätsumgebung zu schützen, einschließlich schutz vor Hackern, die kompromittierte Konten verwenden, um sich seitlich über Arbeitsstationen in der lokalen Umgebung zu bewegen.
Microsoft Defender XDR korreliert die Signale aller Microsoft Defender-Komponenten, um die vollständige Angriffsgeschichte bereitzustellen.
Defender for Identity-Architektur
Microsoft Defender for Identity ist vollständig in Microsoft Defender XDR integriert und nutzt Signale von lokalen Active Directory-Identitäten, damit Sie erweiterte Bedrohungen, die gegen Ihre Organisation gerichtet sind, besser identifizieren, erkennen und untersuchen können.
Stellen Sie Microsoft Defender for Identity bereit, um Ihre Security Operations-Teams (SecOps) bei der Bereitstellung einer modernen ITDR-Lösung (Identity Threat Detection and Response) in Hybridumgebungen zu unterstützen, einschließlich:
- Verhindern von Sicherheitsverletzungen mithilfe proaktiver Identitätssicherheitsbewertungen
- Erkennen von Bedrohungen mithilfe von Echtzeitanalysen und Datenintelligenz
- Untersuchen verdächtiger Aktivitäten mithilfe klarer, umsetzbarer Incidentinformationen
- Reagieren Sie auf Angriffe, indem Sie automatische Reaktionen auf kompromittierte Identitäten verwenden. Weitere Informationen finden Sie unter Was ist Microsoft Defender for Identity?
Defender for Identity schützt Ihre lokalen AD DS-Benutzerkonten und Benutzerkonten, die mit Ihrem Microsoft Entra ID-Mandanten synchronisiert werden. Informationen zum Schutz einer Umgebung, die nur aus Microsoft Entra-Benutzerkonten besteht, finden Sie unter Microsoft Entra ID Protection.
Das folgende Diagramm veranschaulicht die Architektur für Defender for Identity.
In dieser Abbildung:
- Sensoren, die auf AD DS-Domänencontrollern und AD CS-Servern installiert sind, analysieren Protokolle und Netzwerkdatenverkehr und senden sie zur Analyse und Berichterstellung an Microsoft Defender for Identity.
- Sensoren können auch AD FS-Authentifizierungen für Identitätsanbieter von Drittanbietern analysieren und wenn Microsoft Entra ID für die Verwendung der Verbundauthentifizierung konfiguriert ist (die gepunkteten Linien in der Abbildung).
- Microsoft Defender for Identity gibt Signale an Microsoft Defender XDR weiter.
Defender for Identity-Sensoren können direkt auf den folgenden Servern installiert werden:
AD DS-Domänencontroller
Der Sensor überwacht den Datenverkehr des Domänencontrollers direkt, ohne dass ein dedizierter Server oder die Konfiguration der Portspiegelung erforderlich ist.
AD CS-Server
AD FS-Server
Der Sensor überwacht den Netzwerkdatenverkehr und Authentifizierungsereignisse direkt.
Einen tieferen Einblick in die Architektur von Defender for Identity finden Sie unter Microsoft Defender for Identity-Architektur.
Schritt 1: Einrichten der Defender for Identity-Instanz
Zunächst erfordert Defender for Identity einige erforderliche Arbeit, um sicherzustellen, dass Ihre lokale Identität und Ihre Netzwerkkomponenten die Mindestanforderungen erfüllen. Verwenden Sie den Artikel Voraussetzungen für Microsoft Defender for Identity als Prüfliste, um sicherzustellen, dass Ihre Umgebung bereit ist.
Melden Sie sich als Nächstes beim Defender for Identity-Portal an, um Ihre Instanz zu erstellen und diese Instanz dann mit Ihrer Active Directory-Umgebung zu verbinden.
| Schritt | Beschreibung | Weitere Informationen |
|---|---|---|
| 1 | Erstellen der Defender for Identity-Instanz | Schnellstart: Microsoft Defender for Identity-Instanz erstellen |
| 2 | Verbinden der Defender for Identity-Instanz mit Ihrer Active Directory-Gesamtstruktur | Schnellstart: Herstellen einer Verbindung mit Ihrer Active Directory-Gesamtstruktur |
Schritt 2: Installieren und Konfigurieren von Sensoren
Laden Sie als Nächstes den Defender for Identity-Sensor auf den Domänencontrollern, AD FS- und AD CS-Servern in Ihrer lokalen Umgebung herunter, installieren und konfigurieren Sie es.
| Schritt | Beschreibung | Weitere Informationen |
|---|---|---|
| 1 | Bestimmen Sie, wie viele Microsoft Defender for Identity-Sensoren Sie benötigen. | Planen der Kapazität für Microsoft Defender for Identity |
| 2 | Herunterladen des Sensorsetuppakets | Schnellstart: Herunterladen des Setuppakets für den Microsoft Defender for Identity-Sensor |
| 3 | Installieren des Defender for Identity-Sensors | Schnellstart: Installieren des Microsoft Defender for Identity-Sensors |
| 4 | Konfigurieren des Sensors | Konfigurieren von Microsoft Defender for Identity-Sensoreinstellungen |
Schritt 3: Konfigurieren von Ereignisprotokoll- und Proxyeinstellungen auf Computern mit dem Sensor
Konfigurieren Sie auf den Computern, auf denen Sie den Sensor installiert haben, die Einstellungen für die Windows-Ereignisprotokollsammlung und den Internetproxy, um die Erkennungsfunktionen zu aktivieren und zu verbessern.
| Schritt | Beschreibung | Weitere Informationen |
|---|---|---|
| 1 | Konfigurieren der Windows-Ereignisprotokollsammlung | Konfigurieren der Windows-Ereignissammlung |
| 2 | Konfigurieren von Internetproxyeinstellungen | Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen für Ihren Microsoft Defender for Identity Sensor |
Schritt 4: Zulassen, dass Defender for Identity lokale Administratoren auf anderen Computern identifiziert
Die laterale Bewegungspfaderkennung von Microsoft Defender for Identity basiert auf Abfragen, die lokale Administratoren auf bestimmten Computern identifizieren. Diese Abfragen werden mit dem SAM-R-Protokoll unter Verwendung des Defender for Identity Service-Kontos ausgeführt.
Um sicherzustellen, dass Windows-Clients und -Server Ihrem Defender for Identity-Konto die Ausführung von SAM-R erlauben, muss eine Änderung an der Gruppenrichtlinie vorgenommen werden, um das Defender for Identity-Dienstkonto zusätzlich zu den konfigurierten Konten hinzuzufügen, die in der Netzwerkzugriffsrichtlinie aufgeführt sind. Stellen Sie sicher, dass Sie Gruppenrichtlinien auf alle Computer mit Ausnahme von Domänencontrollern anwenden.
Anweisungen hierzu finden Sie unter Konfigurieren von Microsoft Defender for Identity für Remoteaufrufe an SAM.
Schritt 5: Konfigurieren von Benchmarkempfehlungen für Ihre Identitätsumgebung
Microsoft bietet Empfehlungen zum Sicherheitsvergleichstest für Kunden, die Microsoft Cloud Services verwenden. Der Azure-Sicherheitsvergleichstest (ASB ) bietet ausführliche bewährte Methoden und Empfehlungen, um die Sicherheit von Workloads, Daten und Diensten in Azure zu verbessern.
Die Implementierung dieser Empfehlungen kann einige Zeit in Anspruch nehmen, um sie zu planen und zu implementieren. Diese Empfehlungen erhöhen zwar die Sicherheit Ihrer Identitätsumgebung erheblich, sollten Sie aber nicht daran hindern, Microsoft Defender for Identity weiterhin zu evaluieren und zu implementieren. Diese Empfehlungen finden Sie hier für Ihr Bewusstsein.
Schritt 6: Testen von Funktionen
Die Defender for Identity-Dokumentation enthält die folgenden Tutorials, die den Prozess der Identifizierung und Behebung verschiedener Angriffstypen durchlaufen:
- Reconnaissance-Warnungen
- Warnungen zu kompromittierten Anmeldeinformationen
- Lateral Movement-Warnungen
- Domänendominanzwarnungen
- Exfiltrationswarnungen
- Untersuchen eines Benutzers
- Untersuchen eines Computers
- Untersuchen von Lateral Movement-Pfaden
- Untersuchen von Entitäten
SIEM-Integration
Sie können Defender for Identity in Microsoft Sentinel oder einen generischen SIEM-Dienst (Security Information and Event Management) integrieren, um die zentralisierte Überwachung von Warnungen und Aktivitäten von verbundenen Apps zu ermöglichen. Mit Microsoft Sentinel können Sie Sicherheitsereignisse in Ihrer Organisation umfassender analysieren und Playbooks für eine effektive und sofortige Reaktion erstellen.
Microsoft Sentinel enthält einen Defender for Identity-Connector. Weitere Informationen finden Sie unter Microsoft Defender for Identity-Connector für Microsoft Sentinel.
Informationen zur Integration in SIEM-Systeme von Drittanbietern finden Sie unter Generische SIEM-Integration.
Nächster Schritt
Integrieren Sie Folgendes in Ihre SecOps-Prozesse:
Nächster Schritt für die End-to-End-Bereitstellung von Microsoft Defender XDR
Setzen Sie Ihre End-to-End-Bereitstellung von Microsoft Defender XDR mit Pilot fort, und stellen Sie Defender für Office 365 bereit.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für