Pilottikoe ja käyttöönotto Microsoft Defender for Identity
Koskee seuraavia:
- Microsoft Defender XDR
Tässä artikkelissa on työnkulku Microsoft Defender for Identity pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit ottaa Microsoft Defender for Identity käyttöön yksittäisenä kyberturvallisuustyökaluna tai osana päästä päähän -ratkaisua, jossa on Microsoft Defender XDR.
Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Identity tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.
Defender for Office 365 edistää Zero Trust -suojausmalli arkkitehtuuria auttamalla estämään tai vähentämään murron aiheuttamia liiketoimintavaurioita. Lisätietoja on Microsoft Zero Trust -suojausmalli käyttöönoton viitekehyksen kohdassa Liiketoiminnan vahingoittumisen estäminen tai vähentäminen murron aiheuttamasta liiketoimintavahingosta.
Microsoft Defender XDR käyttöönotto päästä päähän
Tämä on sarjan artikkeli 2/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR osia, mukaan lukien tapausten tutkiminen ja niihin vastaaminen.
Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:
| Vaihe | Linkki |
|---|---|
| A. Käynnistä pilotti | Käynnistä pilotti |
| B. Microsoft Defender XDR osien pilottikoe ja käyttöönotto |
-
Defender for Identityn pilottikoe ja käyttöönotto (tämä artikkeli) - Defender for Office 365 pilottikoe ja käyttöönotto - Defender for Endpointin pilottikoe ja käyttöönotto - Microsoft Defender for Cloud Apps pilottikoe ja käyttöönotto |
| C. Tutki uhkia ja reagoi niihin | Tapausten tutkinnan ja reagointikäytännön harjoittaminen |
Defender for Identityn pilotti- ja käyttöönottotyönkulku
Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.
Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.
Tässä on työnkulku Defender for Identityn pilotointiin ja käyttöönottoon tuotantoympäristössäsi.
Toimi seuraavasti:
- Defender for Identity -esiintymän määrittäminen
- Tunnistimien asentaminen ja määrittäminen
- Tapahtumalokin ja välityspalvelimen asetusten määrittäminen koneissa tunnistimen avulla
- Salli Defender for Identityn tunnistaa muiden tietokoneiden paikalliset järjestelmänvalvojat
- Käyttäjätietoympäristön vertailusuositusten määrittäminen
- Kokeile ominaisuuksia
Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.
| Käyttöönottovaihe | Kuvaus |
|---|---|
| Arvioida | Suorita tuotteen arviointi Defender for Identitylle. |
| Lentäjä | Suorita vaiheet 1–6 sopivalle palvelinten alijoukolle, jossa on antureita tuotantoympäristössäsi. |
| Täysi käyttöönotto | Suorita vaiheet 2–5 jäljellä olevalle palvelimelle ja laajenna pilottikokeilun ulkopuolelle niin, että ne kaikki ovat mukana. |
Organisaation suojaaminen hakkereilta
Defender for Identity tarjoaa tehokkaan suojauksen. Defender for Identity tarjoaa kuitenkin yhdessä muiden Microsoft Defender XDR ominaisuuksien kanssa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.
Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR osat auttavat sen havaitsemisessa ja lieventämisessä.
Defender for Identity kerää signaaleja Active Directory -toimialueen palvelut (AD DS) toimialueen ohjauskoneista ja palvelimista, jotka käyttävät Active Directory -liittoutumispalvelut (AD FS) ja Active Directory Certificate Servicesiä (AD CS). Se käyttää näitä signaaleja hybridi-identiteettiympäristön suojaamiseen, mukaan lukien suojautuminen hakkereilta, jotka käyttävät vaarantuneita tilejä siirtyäkseen sivuttain paikallisen ympäristön työasemien välillä.
Microsoft Defender XDR korreloi kaikkien Microsoft Defender osien signaalit ja tarjoaa koko hyökkäystarinan.
Defender for Identity -arkkitehtuuri
Microsoft Defender for Identity on täysin integroitu Microsoft Defender XDR kanssa ja hyödyntää paikallinen Active Directory käyttäjätietojen signaaleja, joiden avulla voit paremmin tunnistaa, tunnistaa ja tutkia organisaatioosi suunnattuja kehittyneitä uhkia.
Ota Microsoft Defender for Identity käyttöön, jotta suojaustoimintosi (SecOps) -tiimisi voivat tarjota nykyaikaisen käyttäjätietojen uhkien tunnistamis- ja reagointiratkaisun (ITDR) hybridiympäristöissä, mukaan lukien:
- Estä rikkomukset käyttämällä ennakoivia käyttäjätietojen suojausasentojen arviointeja
- Uhkien tunnistaminen reaaliaikaisen analysoinnin ja tietotietojen avulla
- Epäilyttävän toiminnan tutkiminen selkeiden ja toteutettavissa olevien tapahtumatietojen avulla
- Vastaa hyökkäyksiin käyttämällä automaattista vastausta vaarantuneiden käyttäjätietojen avulla. Lisätietoja on artikkelissa Mitä on Microsoft Defender for Identity?
Defender for Identity suojaa paikallisia AD DS -käyttäjätilejä ja käyttäjätilejä, jotka on synkronoitu Microsoft Entra ID vuokraajaan. Jos haluat suojata ympäristön, joka koostuu vain Microsoft Entra käyttäjätileistä, katso Microsoft Entra ID -tunnuksien suojaus.
Seuraavassa kaaviossa havainnollistetaan Defender for Identityn arkkitehtuuri.
Tässä kuvassa:
- AD DS -toimialueen ohjauskoneisiin ja AD CS -palvelimiin asennetut tunnistimet jäsentävät lokeja ja verkkoliikennettä ja lähettävät ne Microsoft Defender for Identity analysointia ja raportointia varten.
- Tunnistimet voivat myös jäsentää kolmannen osapuolen tunnistetietojen palveluntarjoajien AD FS -todennuksia ja kun Microsoft Entra ID on määritetty käyttämään liitettyä todentamista (kuvassa olevat pisteviivat).
- Microsoft Defender for Identity jakaa signaaleja Microsoft Defender XDR.
Defender for Identity -tunnistimet voidaan asentaa suoraan seuraaviin palvelimiin:
AD DS -toimialueen ohjauskoneet
Tunnistin valvoo suoraan toimialueen ohjauskoneen liikennettä ilman erillistä palvelinta tai portin peilauksen määritystä.
AD CS -palvelimet
AD FS -palvelimet
Tunnistin valvoo suoraan verkkoliikennettä ja todentamistapahtumia.
Lisätietoja Defender for Identityn arkkitehtuurista on kohdassa Microsoft Defender for Identity arkkitehtuuri.
Vaihe 1: Defender for Identity -esiintymän määrittäminen
Ensin Defender for Identity edellyttää edellytyksenä olevaa työtä sen varmistamiseksi, että paikalliset käyttäjätiedot ja verkko-osat täyttävät vähimmäisvaatimukset. Tarkistusluettelona voit varmistaa, että ympäristösi on valmis, käyttämällä Microsoft Defender for Identity edellytykset -artikkelia.
Kirjaudu seuraavaksi Defender for Identity -portaaliin esiintymän luomiseksi ja yhdistä sitten tämä esiintymä Active Directory -ympäristöösi.
| Vaihe | Kuvaus | Lisätietoja |
|---|---|---|
| 1 | Luo Defender for Identity -esiintymä | Pikaopas: Microsoft Defender for Identity-esiintymän luominen |
| 2 | Defender for Identity -esiintymän yhdistäminen Active Directory -toimialuepuuryhmään | Pikaopas: Yhteyden muodostaminen Active Directory -toimialuepuuryhmään |
Vaihe 2: Tunnistimien asentaminen ja määrittäminen
Lataa, asenna ja määritä seuraavaksi Defender for Identity -tunnistin toimialueen ohjauskoneissa, AD FS- ja AD CS -palvelimilla paikallisessa ympäristössäsi.
| Vaihe | Kuvaus | Lisätietoja |
|---|---|---|
| 1 | Määritä, kuinka monta Microsoft Defender for Identity tunnistinta tarvitset. | Suunnittele kapasiteettia Microsoft Defender for Identity varten |
| 2 | Lataa tunnistimen asennuspaketti | Pikaopas: Microsoft Defender for Identity tunnistimen määrityspaketin lataaminen |
| 3 | Defender for Identity -tunnistimen asentaminen | Pikaopas: Microsoft Defender for Identity tunnistimen asentaminen |
| 4 | Tunnistimen määrittäminen | Microsoft Defender for Identity tunnistimen asetusten määrittäminen |
Vaihe 3: Tapahtumalokin ja välityspalvelimen asetusten määrittäminen koneissa tunnistimen avulla
Määritä laitteissa, joihin asensit tunnistimen, Windowsin tapahtumalokien keräämisen ja Internet-välityspalvelimen asetukset tunnistusominaisuuksien mahdollistamiseksi ja parantamiseksi.
| Vaihe | Kuvaus | Lisätietoja |
|---|---|---|
| 1 | Windowsin tapahtumalokien keräämisen määrittäminen | Määritä Windowsin tapahtumakokoelma |
| 2 | Määritä Internet-välityspalvelimen asetukset | Päätepisteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen Microsoft Defender for Identity tunnistinta varten |
Vaihe 4: Salli Defender for Identityn tunnistaa muiden tietokoneiden paikalliset järjestelmänvalvojat
Microsoft Defender for Identity sivuttaisten siirtopolkujen tunnistaminen perustuu kyselyihin, jotka tunnistavat tiettyjen koneiden paikalliset järjestelmänvalvojat. Nämä kyselyt suoritetaan SAM-R-protokollan avulla käyttämällä Defender for Identity Service -tiliä.
Jotta Windows-asiakasohjelmat ja -palvelimet sallivat Defender for Identity -tilisi suorittaa SAM-R:n, ryhmäkäytäntö on muokattava, jotta Defender for Identity -palvelutili voidaan lisätä verkkokäyttökäytännössä lueteltujen määritettyjen tilien lisäksi. Varmista, että käytät ryhmäkäytäntöjä kaikissa tietokoneissa paitsi toimialueen ohjauskoneissa.
Katso ohjeet tähän ohjeartikkelista Microsoft Defender for Identity määrittäminen SAM:n etäpuheluita varten.
Vaihe 5: Käyttäjätietoympäristösi vertailusuositusten määrittäminen
Microsoft antaa suojauksen vertailusuosituksia Asiakkaille, jotka käyttävät Microsoftin pilvipalveluja. Azure Security Benchmark (ASB) tarjoaa ohjailevia parhaita käytäntöjä ja suosituksia, jotka auttavat parantamaan Azuren kuormitusten, tietojen ja palveluiden suojausta.
Näiden suositusten toteuttaminen voi kestää jonkin aikaa. Vaikka nämä suositukset parantavat merkittävästi käyttäjätietoympäristösi suojausta, niiden ei pitäisi estää sinua jatkamasta Microsoft Defender for Identity arvioimista ja toteuttamista. Nämä suositukset annetaan tässä tietoisuuttasi varten.
Vaihe 6: Kokeile ominaisuuksia
Defender for Identity -dokumentaatio sisältää seuraavat opetusohjelmat, joissa käydään läpi eri hyökkäystyyppien tunnistaminen ja korjaaminen:
- Tiedusteluilmoitukset
- Vaarantuneet tunnistetietoilmoitukset
- Sivusuuntaiset liikehälytykset
- Toimialueen määräävän aseman hälytykset
- Suodatusilmoitukset
- Käyttäjän tutkiminen
- Tietokoneen tutkiminen
- Tutki sivusuuntaisia liikepolkuja
- Entiteettien tutkiminen
SIEM-integrointi
Voit integroida Defender for Identityn Microsoft Sentinel tai yleiseen suojaustietoihin ja tapahtumienhallintapalveluun (SIEM), jos haluat ottaa käyttöön yhdistettyjen sovellusten ilmoitusten ja toimintojen keskitetyn seurannan. Microsoft Sentinel avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja, jotta ne voivat toimia tehokkaasti ja välittömästi.
Microsoft Sentinel sisältää Defender for Identity -liittimen. Lisätietoja on kohdassa Microsoft Sentinel liittimen Microsoft Defender for Identity.
Lisätietoja integroinnista kolmannen osapuolen SIEM-järjestelmiin on kohdassa Yleinen SIEM-integrointi.
Seuraavat vaiheet
Sisällytä seuraavat SecOps-prosesseihin:
- ITDR-koontinäytön tarkasteleminen
- Defender for Identityn kunto-ongelmien tarkasteleminen ja hallinta
Seuraava vaihe Microsoft Defender XDR käyttöönottoa varten.
Jatka Microsoft Defender XDR käyttöönottoa päästä päähän pilotilla ja ota käyttöön Defender for Office 365.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.