Microsoft Defender for Identityn pilottikoe ja käyttöönotto
Koskee seuraavia:
- Microsoft Defender XDR
Tässä artikkelissa on työnkulku Microsoft Defender for Identityn pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit lisätä Microsoft Defender for Identityn henkilökohtaisena kyberturvallisuustyökaluna tai osana päästä päähän -ratkaisua Microsoft Defender XDR:n kanssa.
Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Identity -sovellusta tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.
Defender for Office 365 osallistuu Zero Trust -arkkitehtuuriin auttamalla estämään tai vähentämään murron aiheuttamia liiketoimintavaurioita. Lisätietoja on Microsoft Zero Trustin käyttöönoton kehyksessä Liiketoimintavaurioiden estäminen tai vähentäminen murron liiketoimintaskenaariosta.
Microsoft Defender XDR:n päästä päähän -käyttöönotto
Tämä on sarjan artikkeli 2/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR:n osia, mukaan lukien tapahtumien tutkiminen ja niihin vastaaminen.
Tämän sarjan artikkelit:
| Vaihe | Linkki |
|---|---|
| A. Käynnistä pilotti | Käynnistä pilotti |
| B. Microsoft Defenderin XDR-osien pilottikoe ja käyttöönotto | - Defender for Identityn pilottikoe ja käyttöönotto (tämä artikkeli) - Defender for Office 365:n pilottikoe ja käyttöönotto - Defender for Endpointin pilottikoe ja käyttöönotto - Microsoft Defender for Cloud Appsin pilottikoe ja käyttöönotto |
| C. Tutki uhkia ja reagoi niihin | Tapausten tutkinnan ja reagointikäytännön harjoittaminen |
Defender for Identityn pilotti- ja käyttöönottotyönkulku
Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.
Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.
Tässä on työnkulku Defender for Identityn pilotointiin ja käyttöönottoon tuotantoympäristössäsi.
Toimi seuraavasti:
- Defender for Identity -esiintymän määrittäminen
- Tunnistimien asentaminen ja määrittäminen
- Tapahtumalokin ja välityspalvelimen asetusten määrittäminen koneissa tunnistimen avulla
- Salli Defender for Identityn tunnistaa muiden tietokoneiden paikalliset järjestelmänvalvojat
- Käyttäjätietoympäristön vertailusuositusten määrittäminen
- Kokeile ominaisuuksia
Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.
| Käyttöönottovaihe | Kuvaus |
|---|---|
| Arvioida | Suorita tuotteen arviointi Defender for Identitylle. |
| Pilot | Suorita vaiheet 1–6 sopivalle palvelinten alijoukolle, jossa on antureita tuotantoympäristössäsi. |
| Täysi käyttöönotto | Suorita vaiheet 2–5 jäljellä olevalle palvelimelle ja laajenna pilottikokeilun ulkopuolelle niin, että ne kaikki ovat mukana. |
Organisaation suojaaminen hakkereilta
Defender for Identity tarjoaa tehokkaan suojauksen. Defender for Identity tarjoaa kuitenkin yhdessä Microsoft Defender XDR:n muiden ominaisuuksien kanssa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.
Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR:n osat auttavat sen havaitsemisessa ja lieventämisessä.
Defender for Identity kerää signaaleja Active Directory Domain Servicesin (AD DS) toimialueen ohjauskoneista ja palvelimista, jotka käyttävät Active Directory -liittoutumispalveluja (AD FS) ja Active Directory -varmennepalveluita (AD CS). Se käyttää näitä signaaleja hybridi-identiteettiympäristön suojaamiseen, mukaan lukien suojautuminen hakkereilta, jotka käyttävät vaarantuneita tilejä siirtyäkseen sivuttain paikallisen ympäristön työasemien välillä.
Microsoft Defender XDR korreloi kaikkien Microsoft Defenderin osien signaalit tarjotakseen koko hyökkäystarinan.
Defender for Identity -arkkitehtuuri
Microsoft Defender for Identity on täysin integroitu Microsoft Defender XDR:ään, ja se hyödyntää paikallisten Active Directory -käyttäjätietojen signaaleja, joiden avulla voit paremmin tunnistaa, tunnistaa ja tutkia organisaatioosi suunnattuja kehittyneitä uhkia.
Ota Käyttöön Microsoft Defender for Identity, jotta suojaustoimintosi (SecOps) -tiimisi voivat tarjota nykyaikaisen käyttäjätietojen uhkien tunnistamisen ja vastauksen (ITDR) ratkaisun hybridiympäristöissä, mukaan lukien:
- Estä rikkomukset käyttämällä ennakoivia käyttäjätietojen suojausasentojen arviointeja
- Uhkien tunnistaminen reaaliaikaisen analysoinnin ja tietotietojen avulla
- Epäilyttävän toiminnan tutkiminen selkeiden ja toteutettavissa olevien tapahtumatietojen avulla
- Vastaa hyökkäyksiin käyttämällä automaattista vastausta vaarantuneiden käyttäjätietojen avulla. Lisätietoja on artikkelissa Mikä on Microsoft Defender for Identity?
Defender for Identity suojaa paikallisia AD DS -käyttäjätilejä ja käyttäjätilejä, jotka on synkronoitu Microsoft Entra ID -vuokraajaan. Jos haluat suojata vain Microsoft Entra -käyttäjätileistä koostuvan ympäristön, katso Microsoft Entra ID Protection.
Seuraavassa kaaviossa havainnollistetaan Defender for Identityn arkkitehtuuri.
Tässä kuvassa:
- AD DS -toimialueen ohjauskoneisiin ja AD CS -palvelimiin asennetut tunnistimet jäsentävät lokit ja verkkoliikenteen ja lähettävät ne Microsoft Defenderille käyttäjätietoihin analysointia ja raportointia varten.
- Tunnistimet voivat myös jäsentää kolmannen osapuolen tunnistetietojen palveluntarjoajien AD FS -todennukset ja sen, milloin Microsoft Entra -tunnus on määritetty käyttämään liitettyä todennusta (kuvassa olevat pisteviivat).
- Microsoft Defender for Identity jakaa signaaleja Microsoft Defender XDR:lle.
Defender for Identity -tunnistimet voidaan asentaa suoraan seuraaviin palvelimiin:
AD DS -toimialueen ohjauskoneet
Tunnistin valvoo suoraan toimialueen ohjauskoneen liikennettä ilman erillistä palvelinta tai portin peilauksen määritystä.
AD CS -palvelimet
AD FS -palvelimet
Tunnistin valvoo suoraan verkkoliikennettä ja todentamistapahtumia.
Lisätietoja Defender for Identityn arkkitehtuurista on kohdassa Microsoft Defender for Identity -arkkitehtuuri.
Vaihe 1: Defender for Identity -esiintymän määrittäminen
Ensin Defender for Identity edellyttää edellytyksenä olevaa työtä sen varmistamiseksi, että paikalliset käyttäjätiedot ja verkko-osat täyttävät vähimmäisvaatimukset. Käytä Microsoft Defender for Identityn edellytykset - artikkelia tarkistuslistana, jotta voit varmistaa, että ympäristösi on valmis.
Kirjaudu seuraavaksi Defender for Identity -portaaliin esiintymän luomiseksi ja yhdistä sitten tämä esiintymä Active Directory -ympäristöösi.
| Vaihe | Kuvaus | Lisätietoja |
|---|---|---|
| 1 | Luo Defender for Identity -esiintymä | Pikaopas: Luo Microsoft Defender for Identity -esiintymä |
| 2 | Defender for Identity -esiintymän yhdistäminen Active Directory -toimialuepuuryhmään | Pikaopas: Yhteyden muodostaminen Active Directory -toimialuepuuryhmään |
Vaihe 2: Tunnistimien asentaminen ja määrittäminen
Lataa, asenna ja määritä seuraavaksi Defender for Identity -tunnistin toimialueen ohjauskoneissa, AD FS- ja AD CS -palvelimilla paikallisessa ympäristössäsi.
| Vaihe | Kuvaus | Lisätietoja |
|---|---|---|
| 1 | Määritä, kuinka monta Microsoft Defender for Identity -tunnistinta tarvitset. | Microsoft Defender for Identityn suunnittelukapasiteetti |
| 2 | Lataa tunnistimen asennuspaketti | Pikaopas: Lataa Microsoft Defender for Identity -tunnistimen määrityspaketti |
| 3 | Defender for Identity -tunnistimen asentaminen | Pikaopas: Asenna Microsoft Defender for Identity -tunnistin |
| 4 | Tunnistimen määrittäminen | Määritä Microsoft Defender for Identity Sensor -asetukset |
Vaihe 3: Tapahtumalokin ja välityspalvelimen asetusten määrittäminen koneissa tunnistimen avulla
Määritä laitteissa, joihin asensit tunnistimen, Windowsin tapahtumalokien keräämisen ja Internet-välityspalvelimen asetukset tunnistusominaisuuksien mahdollistamiseksi ja parantamiseksi.
| Vaihe | Kuvaus | Lisätietoja |
|---|---|---|
| 1 | Windowsin tapahtumalokien keräämisen määrittäminen | Määritä Windowsin tapahtumakokoelma |
| 2 | Määritä Internet-välityspalvelimen asetukset | Microsoft Defender for Identity Sensorin päätepisteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen |
Vaihe 4: Salli Defender for Identityn tunnistaa muiden tietokoneiden paikalliset järjestelmänvalvojat
Microsoft Defender for Identityn sivuttaisten siirtojen polun tunnistus perustuu kyselyihin, jotka tunnistavat tiettyjen koneiden paikalliset järjestelmänvalvojat. Nämä kyselyt suoritetaan SAM-R-protokollan avulla käyttämällä Defender for Identity Service -tiliä.
Jotta Windows-asiakasohjelmat ja -palvelimet sallivat Defender for Identity -tilisi suorittaa SAM-R:n, ryhmäkäytäntöä on muokattava, jotta Defender for Identity -palvelutili voidaan lisätä verkkokäyttökäytännössä lueteltujen määritettyjen tilien lisäksi. Varmista, että käytät ryhmäkäytäntöjä kaikissa tietokoneissa paitsi toimialueen ohjauskoneissa.
Katso ohjeet tähän ohjeartikkelista Microsoft Defender for Identityn määrittäminen SAM:n etäpuheluita varten.
Vaihe 5: Käyttäjätietoympäristösi vertailusuositusten määrittäminen
Microsoft antaa suojauksen vertailusuosituksia Asiakkaille, jotka käyttävät Microsoftin pilvipalveluja. Azure Security Benchmark (ASB) tarjoaa ohjailevia parhaita käytäntöjä ja suosituksia, jotka auttavat parantamaan Azuren kuormitusten, tietojen ja palveluiden suojausta.
Näiden suositusten toteuttaminen voi kestää jonkin aikaa. Vaikka nämä suositukset parantavat huomattavasti käyttäjätietoympäristösi suojausta, niiden ei pitäisi estää sinua jatkamasta Microsoft Defender for Identityn arvioimista ja käyttöönottoa. Nämä suositukset annetaan tässä tietoisuuttasi varten.
Vaihe 6: Kokeile ominaisuuksia
Defender for Identity -dokumentaatio sisältää seuraavat opetusohjelmat, joissa käydään läpi eri hyökkäystyyppien tunnistaminen ja korjaaminen:
- Tiedusteluilmoitukset
- Vaarantuneet tunnistetietoilmoitukset
- Sivusuuntaiset liikehälytykset
- Toimialueen määräävän aseman hälytykset
- Suodatusilmoitukset
- Käyttäjän tutkiminen
- Tietokoneen tutkiminen
- Tutki sivusuuntaisia liikepolkuja
- Entiteettien tutkiminen
SIEM-integrointi
Voit integroida Defender for Identityn Microsoft Sentineliin tai yleiseen suojaustietoihin ja tapahtumienhallintapalveluun (SIEM), jotta yhdistettyjen sovellusten hälytyksiä ja toimintoja voidaan valvoa keskitetysti. Microsoft Sentinelin avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja tehokkaaksi ja välittömäksi reagoinnille.
Microsoft Sentinel sisältää Defender for Identity -liittimen. Lisätietoja on artikkelissa Microsoft Defender for Identity -yhdistin Microsoft Sentinelille.
Lisätietoja integroinnista kolmannen osapuolen SIEM-järjestelmiin on kohdassa Yleinen SIEM-integrointi.
Seuraavat vaiheet
Sisällytä seuraavat SecOps-prosesseihin:
- ITDR-koontinäytön tarkasteleminen
- Defender for Identityn kunto-ongelmien tarkasteleminen ja hallinta
Seuraava vaihe Microsoft Defender XDR:n päästä päähän -käyttöönotossa
Jatka Microsoft Defender XDR:n päästä päähän -käyttöönottoa Pilotilla ja ota Defender for Office 365 käyttöön.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle