Jaa


Microsoft Defender for Identityn pilottikoe ja käyttöönotto

Koskee seuraavia:

  • Microsoft Defender XDR

Tässä artikkelissa on työnkulku Microsoft Defender for Identityn pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit lisätä Microsoft Defender for Identityn henkilökohtaisena kyberturvallisuustyökaluna tai osana päästä päähän -ratkaisua Microsoft Defender XDR:n kanssa.

Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Identity -sovellusta tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.

Defender for Office 365 osallistuu Zero Trust -arkkitehtuuriin auttamalla estämään tai vähentämään murron aiheuttamia liiketoimintavaurioita. Lisätietoja on Microsoft Zero Trustin käyttöönoton kehyksessä Liiketoimintavaurioiden estäminen tai vähentäminen murron liiketoimintaskenaariosta.

Microsoft Defender XDR:n päästä päähän -käyttöönotto

Tämä on sarjan artikkeli 2/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR:n osia, mukaan lukien tapahtumien tutkiminen ja niihin vastaaminen.

Kaavio, joka näyttää Microsoft Defender for Identityn pilottikokeessa ja ottaa käyttöön Microsoft Defender XDR -prosessin.

Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:

Vaihe Linkki
A. Käynnistä pilotti Käynnistä pilotti
B. Microsoft Defenderin XDR-osien pilottikoe ja käyttöönotto - Defender for Identityn pilottikoe ja käyttöönotto (tämä artikkeli)

- Defender for Office 365:n pilottikoe ja käyttöönotto

- Defender for Endpointin pilottikoe ja käyttöönotto

- Microsoft Defender for Cloud Appsin pilottikoe ja käyttöönotto
C. Tutki uhkia ja reagoi niihin Tapausten tutkinnan ja reagointikäytännön harjoittaminen

Defender for Identityn pilotti- ja käyttöönottotyönkulku

Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.

Pilottikokeilun, arvioinnin ja täyden käyttöönoton käyttöönottovaiheiden kaavio.

Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.

Tässä on työnkulku Defender for Identityn pilotointiin ja käyttöönottoon tuotantoympäristössäsi.

Kaavio, joka näyttää Microsoft Defender for Identityn pilottikoe- ja käyttöönottovaiheet.

Toimi seuraavasti:

  1. Defender for Identity -esiintymän määrittäminen
  2. Tunnistimien asentaminen ja määrittäminen
  3. Tapahtumalokin ja välityspalvelimen asetusten määrittäminen koneissa tunnistimen avulla
  4. Salli Defender for Identityn tunnistaa muiden tietokoneiden paikalliset järjestelmänvalvojat
  5. Käyttäjätietoympäristön vertailusuositusten määrittäminen
  6. Kokeile ominaisuuksia

Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.

Käyttöönottovaihe Kuvaus
Arvioida Suorita tuotteen arviointi Defender for Identitylle.
Lentäjä Suorita vaiheet 1–6 sopivalle palvelinten alijoukolle, jossa on antureita tuotantoympäristössäsi.
Täysi käyttöönotto Suorita vaiheet 2–5 jäljellä olevalle palvelimelle ja laajenna pilottikokeilun ulkopuolelle niin, että ne kaikki ovat mukana.

Organisaation suojaaminen hakkereilta

Defender for Identity tarjoaa tehokkaan suojauksen. Defender for Identity tarjoaa kuitenkin yhdessä Microsoft Defender XDR:n muiden ominaisuuksien kanssa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.

Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR:n osat auttavat sen havaitsemisessa ja lieventämisessä.

Kaavio, joka näyttää, miten Microsoft Defender XDR pysäyttää uhkaketjun.

Defender for Identity kerää signaaleja Active Directory Domain Servicesin (AD DS) toimialueen ohjauskoneista ja palvelimista, jotka käyttävät Active Directory -liittoutumispalveluja (AD FS) ja Active Directory -varmennepalveluita (AD CS). Se käyttää näitä signaaleja hybridi-identiteettiympäristön suojaamiseen, mukaan lukien suojautuminen hakkereilta, jotka käyttävät vaarantuneita tilejä siirtyäkseen sivuttain paikallisen ympäristön työasemien välillä.

Microsoft Defender XDR korreloi kaikkien Microsoft Defenderin osien signaalit tarjotakseen koko hyökkäystarinan.

Defender for Identity -arkkitehtuuri

Microsoft Defender for Identity on täysin integroitu Microsoft Defender XDR:ään, ja se hyödyntää paikallisten Active Directory -käyttäjätietojen signaaleja, joiden avulla voit paremmin tunnistaa, tunnistaa ja tutkia organisaatioosi suunnattuja kehittyneitä uhkia.

Ota Käyttöön Microsoft Defender for Identity, jotta suojaustoimintosi (SecOps) -tiimisi voivat tarjota nykyaikaisen käyttäjätietojen uhkien tunnistamisen ja vastauksen (ITDR) ratkaisun hybridiympäristöissä, mukaan lukien:

  • Estä rikkomukset käyttämällä ennakoivia käyttäjätietojen suojausasentojen arviointeja
  • Uhkien tunnistaminen reaaliaikaisen analysoinnin ja tietotietojen avulla
  • Epäilyttävän toiminnan tutkiminen selkeiden ja toteutettavissa olevien tapahtumatietojen avulla
  • Vastaa hyökkäyksiin käyttämällä automaattista vastausta vaarantuneiden käyttäjätietojen avulla. Lisätietoja on artikkelissa Mikä on Microsoft Defender for Identity?

Defender for Identity suojaa paikallisia AD DS -käyttäjätilejä ja käyttäjätilejä, jotka on synkronoitu Microsoft Entra ID -vuokraajaan. Jos haluat suojata vain Microsoft Entra -käyttäjätileistä koostuvan ympäristön, katso Microsoft Entra ID Protection.

Seuraavassa kaaviossa havainnollistetaan Defender for Identityn arkkitehtuuri.

Kaavio, joka näyttää Microsoft Defender for Identityn arkkitehtuurin.

Tässä kuvassa:

  • AD DS -toimialueen ohjauskoneisiin ja AD CS -palvelimiin asennetut tunnistimet jäsentävät lokit ja verkkoliikenteen ja lähettävät ne Microsoft Defenderille käyttäjätietoihin analysointia ja raportointia varten.
  • Tunnistimet voivat myös jäsentää kolmannen osapuolen tunnistetietojen palveluntarjoajien AD FS -todennukset ja sen, milloin Microsoft Entra -tunnus on määritetty käyttämään liitettyä todennusta (kuvassa olevat pisteviivat).
  • Microsoft Defender for Identity jakaa signaaleja Microsoft Defender XDR:lle.

Defender for Identity -tunnistimet voidaan asentaa suoraan seuraaviin palvelimiin:

  • AD DS -toimialueen ohjauskoneet

    Tunnistin valvoo suoraan toimialueen ohjauskoneen liikennettä ilman erillistä palvelinta tai portin peilauksen määritystä.

  • AD CS -palvelimet

  • AD FS -palvelimet

    Tunnistin valvoo suoraan verkkoliikennettä ja todentamistapahtumia.

Lisätietoja Defender for Identityn arkkitehtuurista on kohdassa Microsoft Defender for Identity -arkkitehtuuri.

Vaihe 1: Defender for Identity -esiintymän määrittäminen

Ensin Defender for Identity edellyttää edellytyksenä olevaa työtä sen varmistamiseksi, että paikalliset käyttäjätiedot ja verkko-osat täyttävät vähimmäisvaatimukset. Käytä Microsoft Defender for Identityn edellytykset - artikkelia tarkistuslistana, jotta voit varmistaa, että ympäristösi on valmis.

Kirjaudu seuraavaksi Defender for Identity -portaaliin esiintymän luomiseksi ja yhdistä sitten tämä esiintymä Active Directory -ympäristöösi.

Vaihe Kuvaus Lisätietoja
1 Luo Defender for Identity -esiintymä Pikaopas: Luo Microsoft Defender for Identity -esiintymä
2 Defender for Identity -esiintymän yhdistäminen Active Directory -toimialuepuuryhmään Pikaopas: Yhteyden muodostaminen Active Directory -toimialuepuuryhmään

Vaihe 2: Tunnistimien asentaminen ja määrittäminen

Lataa, asenna ja määritä seuraavaksi Defender for Identity -tunnistin toimialueen ohjauskoneissa, AD FS- ja AD CS -palvelimilla paikallisessa ympäristössäsi.

Vaihe Kuvaus Lisätietoja
1 Määritä, kuinka monta Microsoft Defender for Identity -tunnistinta tarvitset. Microsoft Defender for Identityn suunnittelukapasiteetti
2 Lataa tunnistimen asennuspaketti Pikaopas: Lataa Microsoft Defender for Identity -tunnistimen määrityspaketti
3 Defender for Identity -tunnistimen asentaminen Pikaopas: Asenna Microsoft Defender for Identity -tunnistin
4 Tunnistimen määrittäminen Määritä Microsoft Defender for Identity Sensor -asetukset

Vaihe 3: Tapahtumalokin ja välityspalvelimen asetusten määrittäminen koneissa tunnistimen avulla

Määritä laitteissa, joihin asensit tunnistimen, Windowsin tapahtumalokien keräämisen ja Internet-välityspalvelimen asetukset tunnistusominaisuuksien mahdollistamiseksi ja parantamiseksi.

Vaihe Kuvaus Lisätietoja
1 Windowsin tapahtumalokien keräämisen määrittäminen Määritä Windowsin tapahtumakokoelma
2 Määritä Internet-välityspalvelimen asetukset Microsoft Defender for Identity Sensorin päätepisteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen

Vaihe 4: Salli Defender for Identityn tunnistaa muiden tietokoneiden paikalliset järjestelmänvalvojat

Microsoft Defender for Identityn sivuttaisten siirtojen polun tunnistus perustuu kyselyihin, jotka tunnistavat tiettyjen koneiden paikalliset järjestelmänvalvojat. Nämä kyselyt suoritetaan SAM-R-protokollan avulla käyttämällä Defender for Identity Service -tiliä.

Jotta Windows-asiakasohjelmat ja -palvelimet sallivat Defender for Identity -tilisi suorittaa SAM-R:n, ryhmäkäytäntöä on muokattava, jotta Defender for Identity -palvelutili voidaan lisätä verkkokäyttökäytännössä lueteltujen määritettyjen tilien lisäksi. Varmista, että käytät ryhmäkäytäntöjä kaikissa tietokoneissa paitsi toimialueen ohjauskoneissa.

Katso ohjeet tähän ohjeartikkelista Microsoft Defender for Identityn määrittäminen SAM:n etäpuheluita varten.

Vaihe 5: Käyttäjätietoympäristösi vertailusuositusten määrittäminen

Microsoft antaa suojauksen vertailusuosituksia Asiakkaille, jotka käyttävät Microsoftin pilvipalveluja. Azure Security Benchmark (ASB) tarjoaa ohjailevia parhaita käytäntöjä ja suosituksia, jotka auttavat parantamaan Azuren kuormitusten, tietojen ja palveluiden suojausta.

Näiden suositusten toteuttaminen voi kestää jonkin aikaa. Vaikka nämä suositukset parantavat huomattavasti käyttäjätietoympäristösi suojausta, niiden ei pitäisi estää sinua jatkamasta Microsoft Defender for Identityn arvioimista ja käyttöönottoa. Nämä suositukset annetaan tässä tietoisuuttasi varten.

Vaihe 6: Kokeile ominaisuuksia

Defender for Identity -dokumentaatio sisältää seuraavat opetusohjelmat, joissa käydään läpi eri hyökkäystyyppien tunnistaminen ja korjaaminen:

SIEM-integrointi

Voit integroida Defender for Identityn Microsoft Sentineliin tai yleiseen suojaustietoihin ja tapahtumienhallintapalveluun (SIEM), jotta yhdistettyjen sovellusten hälytyksiä ja toimintoja voidaan valvoa keskitetysti. Microsoft Sentinelin avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja tehokkaaksi ja välittömäksi reagoinnille.

Kaavio, joka näyttää Microsoft Defender for Identityn arkkitehtuurin SIEM-integroinnin kanssa.

Microsoft Sentinel sisältää Defender for Identity -liittimen. Lisätietoja on artikkelissa Microsoft Defender for Identity -yhdistin Microsoft Sentinelille.

Lisätietoja integroinnista kolmannen osapuolen SIEM-järjestelmiin on kohdassa Yleinen SIEM-integrointi.

Seuraavat vaiheet

Sisällytä seuraavat SecOps-prosesseihin:

Seuraava vaihe Microsoft Defender XDR:n päästä päähän -käyttöönotossa

Jatka Microsoft Defender XDR:n päästä päähän -käyttöönottoa Pilotilla ja ota Defender for Office 365 käyttöön.

Kaavio, joka näyttää Microsoft Defender for Office 365:n pilottikokeessa ja Ottaa käyttöön Microsoft Defender XDR -prosessin.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.