Tutustu Microsoft Defender for Identity arkkitehtuurivaatimuksiin ja keskeisiin käsitteisiin
Koskee seuraavia:
- Microsoft Defender XDR
Tämä artikkeli on vaihe 1/3, jossa määritetään Microsoft Defender for Identity arviointiympäristöä. Lisätietoja tästä prosessista on yleiskatsausartikkelissa.
Varmista ennen Microsoft Defender for Identity käyttöönottoa, että ymmärrät arkkitehtuurin ja pystyt täyttämään vaatimukset.
Microsoft Defender for Identity on täysin integroitu Microsoft Defender XDR kanssa, ja se hyödyntää sekä paikallinen Active Directory että pilvipalvelun käyttäjätietojen signaaleja, joiden avulla voit paremmin tunnistaa, tunnistaa ja tutkia organisaatioosi suunnattuja kehittyneitä uhkia.
Ota Microsoft Defender for Identity käyttöön, jotta SecOp-tiimisi voivat tarjota nykyaikaisen identity threat detection (ITDR) -ratkaisun hybridiympäristöissä, mukaan lukien:
- Estä rikkomukset käyttämällä ennakoivia käyttäjätietojen suojausasentojen arviointeja
- Uhkien tunnistaminen reaaliaikaisen analysoinnin ja tietotietojen avulla
- Epäilyttävän toiminnan tutkiminen selkeiden ja toteutettavissa olevien tapahtumatietojen avulla
- Vastaa hyökkäyksiin käyttämällä automaattista vastausta vaarantuneiden käyttäjätietojen avulla. Lisätietoja on artikkelissa Mitä on Microsoft Defender for Identity?
Defender for Identity suojaa paikallinen Active Directory käyttäjiä ja/tai käyttäjiä, jotka on synkronoitu Microsoft Entra ID. Jos haluat suojata vain Microsoft Entra käyttäjästä koostuvan ympäristön, katso Microsoft Entra ID -tunnuksien suojaus.
Tutustu arkkitehtuuriin
Seuraavassa kaaviossa havainnollistetaan Defender for Identityn perusarkkitehtuuri.
Tässä kuvassa:
- Active Directory -toimialueen palvelut (AD DS) -toimialueen ohjauskoneisiin ja Active Directory Certificate Services (AD CS) -palvelimiin asennetut tunnistimet jäsentävät lokeja ja verkkoliikennettä ja lähettävät ne Microsoft Defender for Identity analysointia ja raportointia varten.
- Tunnistimet voivat myös jäsentää Active Directory -liittoutumispalvelut (AD FS) -todennuksia kolmannen osapuolen tunnistetietojen tarjoajille ja kun Microsoft Entra ID on määritetty käyttämään liitettyä todennusta (kuvassa olevat pisteviivat).
- Microsoft Defender for Identity jakaa signaaleja Microsoft Defender XDR laajennettua havaitsemista ja reagointia (XDR) varten.
Defender for Identity -tunnistimet voidaan asentaa suoraan seuraaviin palvelimiin:
AD DS -toimialueen ohjauskoneet
Tunnistin valvoo suoraan toimialueen ohjauskoneen liikennettä ilman erillistä palvelinta tai portin peilauksen määritystä.
AD CS -palvelimet
AD FS -palvelimet
Tunnistin valvoo suoraan verkkoliikennettä ja todentamistapahtumia.
Lisätietoja Defender for Identityn arkkitehtuurista on kohdassa Microsoft Defender for Identity arkkitehtuuri.
Tärkeimpien käsitteiden ymmärtäminen
Seuraavassa taulukossa tunnistettiin keskeiset käsitteet, jotka on tärkeää ymmärtää arvioitaessa, määritettäessä ja otetaan käyttöön Microsoft Defender for Identity.
| Käsite | Kuvaus | Lisätietoja |
|---|---|---|
| Valvotut toiminnot | Defender for Identity valvoo signaaleja, jotka on luotu organisaatiostasi epäilyttävän tai haitallisen toiminnan havaitsemiseksi, ja auttaa sinua määrittämään jokaisen mahdollisen uhan oikeellisuuden, jotta voit tehokkaasti käsitellä ja vastata. | Microsoft Defender for Identity valvotut toiminnot |
| Suojaushälytykset | Defender for Identityn suojaushälytykset selittävät epäilyttävät toimet, joita verkkosi tunnistimet havaitsevat, sekä kuhunkin uhkaan osallistuneet toimijat ja tietokoneet. | Microsoft Defender for Identity suojausilmoitukset |
| Entiteettiprofiilit | Entiteettiprofiilit tarjoavat kattavan syvällisen tutkimuksen käyttäjistä, tietokoneista, laitteista ja resursseista sekä niiden käyttöoikeushistoriasta. | Entiteettiprofiilien ymmärtäminen |
| Sivusuuntaiset liikepolut | MDI-suojauksen merkityksellisten tietojen keskeinen osa on tunnistaa sivuttaisten siirtojen polut, joissa hyökkääjä käyttää ei-luottamuksellisia tilejä päästäkseen käsiksi luottamuksellisiin tileihin tai koneisiin koko verkossasi. | Microsoft Defender for Identity sivusuuntaiset siirtopolut |
| Verkon nimen ratkaisu | Verkkonimien ratkaisu (NNR) on MDI-toiminnon osa, joka tallentaa verkkoliikenteeseen, Windows-tapahtumiin, ETW:hen jne. perustuvat toiminnot ja korreloi nämä raakatiedot kuhunkin toimintoon osallistuviin tietokoneisiin. | Mikä on verkon nimen ratkaisu? |
| Raportit | Defender for Identity -raporttien avulla voit ajoittaa tai luoda ja ladata välittömästi raportteja, jotka tarjoavat järjestelmän ja entiteetin tilatietoja. Voit luoda raportteja järjestelmän kunnosta, suojaushälytyksistä ja ympäristössäsi havaituista mahdollisista sivusuuntaisia siirtopolkuja. | Microsoft Defender for Identity-raportit |
| Rooliryhmät | Defender for Identity tarjoaa roolipohjaisia ryhmiä ja delegoituja käyttöoikeuksia suojauksen tietoihin organisaatiosi tiettyjen suojaus- ja yhteensopivuustarpeiden mukaisesti, mukaan lukien järjestelmänvalvojat, käyttäjät ja katselijat. | Microsoft Defender for Identity rooliryhmät |
| Hallintaportaali | Microsoft Defender portaalin lisäksi Defender for Identity -portaalin avulla voidaan valvoa epäilyttävää toimintaa ja reagoida siihen. | Microsoft Defender for Identity portaalin käyttäminen |
| Microsoft Defender for Cloud Apps integrointi | Microsoft Defender for Cloud Apps integroituu Microsoft Defender for Identity kanssa tarjotakseen käyttäjän entiteetin käyttäytymisanalytiikkaa (UEBA) hybridiympäristössä – sekä pilvisovelluksessa että paikallisessa ympäristössä | Microsoft Defender for Identity integrointi |
Tarkista edellytykset
Defender for Identity edellyttää edellytyksenä olevaa työtä sen varmistamiseksi, että paikalliset käyttäjätiedot ja verkko-osat täyttävät vähimmäisvaatimukset. Tämän artikkelin avulla voit varmistaa, että ympäristösi on valmis: Microsoft Defender for Identity edellytykset.
Seuraavat vaiheet
Vaihe 2/3: Ota arviointiympäristö käyttöön Defender for Identity
Palaa Laske Microsoft Defender for Identity -yleiskatsaukseen
Palaa Arviointi- ja pilottikokeilun yleiskatsaukseen Microsoft Defender XDR
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle