Activer les fonctionnalités de Microsoft Defender pour Identity directement sur un contrôleur de domaine

Les clients Microsoft Defender for Endpoint, qui ont déjà intégré leurs contrôleurs de domaine à Defender for Endpoint, peuvent activer les fonctionnalités de Microsoft Defender pour Identity directement sur un contrôleur de domaine au lieu d’utiliser un capteur Microsoft Defender pour Identity.

Cet article explique comment activer et tester les fonctionnalités de Microsoft Defender pour Identity sur votre contrôleur de domaine.

Important

Les informations contenues dans cet article concernent une fonctionnalité actuellement en disponibilité limitée pour un ensemble de cas d’utilisation sélectionné. Si vous n’avez reçu aucune instruction pour l’utilisation de la page Activation de Defender for Identity, utilisez plutôt notre guide de déploiement principal.

Prérequis

Avant d’activer les fonctionnalités Defender for Identity sur votre contrôleur de domaine, assurez-vous que votre environnement est conforme aux conditions préalables de cette section.

Conflits du capteur Defender pour Identity

La configuration décrite dans cet article ne prend pas en charge l’installation côte à côte avec un capteur Defender pour Identity existant et n’est pas recommandée en remplacement du capteur Defender pour Identity.

Assurez-vous que le contrôleur de domaine dans lequel vous envisagez d’activer les fonctionnalités Defender pour Identity ne comporte pas de capteur Defender pour Identity déployé.

Configuration requise

Les fonctionnalités de Direct Defender pour Identity sont prises en charge uniquement sur les contrôleurs de domaine, à l’aide de l’un des systèmes d’exploitation suivants :

• Windows Server 2019
• Windows Server 2022

Vous devez également avoir installé la mise à jour cumulative de mars 2024.

Important

Après avoir installé la mise à jour cumulative de mars 2024, LSASS peut rencontrer une fuite de mémoire sur les contrôleurs de domaine lorsque les contrôleurs de domaine Active Directory locaux et sur le cloud traitent des demandes d’authentification Kerberos.

Ce problème est résolu dans la mise à jour hors planification KB5037422.

Intégration de Defender for Endpoint

Votre contrôleur de domaine doit être intégré à Microsoft Defender for Endpoint.

Pour plus d’informations, consultez Intégrer un serveur Windows.

Autorisations requises

Pour accéder à la page Activation de Defender for Identity, vous devez être un Administrateur de sécurité ou disposer des autorisations RBAC unifiées suivantes :

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Pour plus d’informations, consultez l’article suivant :

• Contrôle d’accès en fonction du rôle (RBAC) unifié
• Créer un rôle pour accéder aux rôles et autorisations et les gérer

Connectivité requise

Les fonctionnalités Defender pour Identity activées directement sur les contrôleurs de domaine utilisent les points de terminaison URL Defender for Endpoint pour la communication, y compris les URL simplifiées.

Pour plus d’informations, consultez Configurer votre environnement réseau pour garantir la connectivité avec Defender for Endpoint.

Configurer l’audit Windows

Les détections de Defender pour Identity s’appuient sur des entrées spécifiques du journal des événements Windows afin d'améliorer les détections et de fournir des informations supplémentaires sur les utilisateurs effectuant des actions spécifiques, telles que les connexions NTLM et les modifications de groupe de sécurité.

Configurez la collecte d’événements Windows sur votre contrôleur de domaine pour prendre en charge les détections Defender pour Identity. Pour plus d’informations, consultez Collection d’événements avec Microsoft Defender pour Identity et Configurer des stratégies d’audit pour les journaux d’événements Windows.

Vous pouvez utiliser le module PowerShell de Defender pour Identity afin de configurer les paramètres requis. Pour plus d’informations, consultez l’article suivant :

• Module de Defender pour Identity
• Defender pour Identity dans PowerShell Gallery

Par exemple, la commande suivante définit tous les paramètres du domaine, crée des objets de stratégie de groupe et les lie entre eux.

Set-MDIConfiguration -Mode Domain -Configuration All

Activer les fonctionnalités Defender pour Identity

Après avoir vérifié que votre environnement est entièrement configuré, activez les fonctionnalités de Microsoft Defender pour Identity sur votre contrôleur de domaine.

1. Dans le portail Defender, sélectionnez Paramètres > Identités >Activation.

   La page Activation répertorie les contrôleurs de domaine détectés et éligibles.

2. Sélectionnez le contrôleur de domaine dans lequel vous souhaitez activer les fonctionnalités Defender pour Identity, puis sélectionnez Activer. Confirmez votre sélection lorsque vous y êtes invité.

Une fois l’activation terminée, une bannière verte de confirmation s’affiche. Dans la bannière, sélectionnez Cliquez ici pour afficher les serveurs intégrés pour accéder à la page Paramètres > Identités > Capteurs, où vous pouvez consulter l'intégrité de vos capteurs.

Tester les fonctionnalités activées

La première fois que vous activez les fonctionnalités Defender pour Identity sur votre contrôleur de domaine, cela peut prendre jusqu’à une heure pour que le premier capteur s’affiche comme En cours d’exécution sur la page Capteurs. Les activations suivantes s’affichent dans les cinq minutes.

Les fonctionnalités Defender pour Identity sur les contrôleurs de domaine prennent actuellement en charge les fonctionnalités Defender pour Identity suivantes :

• Fonctionnalités d’investigation sur le tableau de bord ITDR, l’inventaire des identités et les données de repérage avancé des identités
• Recommandations de posture de sécurité spécifiées
• Détections d’alertes spécifiées
• Actions de correction
• Interruption automatique des attaques

Utilisez les procédures suivantes pour tester votre environnement concernant les fonctionnalités Defender pour Identity sur un contrôleur de domaine.

Consulter le tableau de bord ITDR

Dans le portail Defender, sélectionnez Identités > Tableau de bord et consultez les détails affichés, en vérifiant les résultats attendus de votre environnement.

Pour en savoir plus, consultez le Travailler avec le tableau de bord ITDR de Defender for Identity (préversion).

Confirmer les détails de la page d’entité

Vérifiez que les entités, telles que les contrôleurs de domaine, les utilisateurs et les groupes, sont correctement renseignées.

Dans le portail Defender, vérifiez les détails suivants :

• Entités d’appareil : sélectionnez Ressources > Appareils, puis sélectionnez l’ordinateur de votre nouveau capteur. Les événements Defender pour Identity sont affichés sur la chronologie de l’appareil.

• Entités utilisateur. Sélectionnez Ressources > Utilisateurs et vérifiez les utilisateurs à partir d’un domaine nouvellement intégré. Vous pouvez également utiliser l’option de recherche globale pour rechercher des utilisateurs spécifiques. Les pages de détails de l’utilisateur doivent inclure les données Vue d’ensemble, Éléments observés dans l’organisation et Chronologie.

• Entités de groupe : utilisez la recherche globale pour rechercher un groupe d’utilisateurs, ou basculez depuis la page de détails d’un utilisateur ou d’un appareil, où les détails du groupe sont affichés. Vérifiez les détails d’appartenance au groupe, affichez les utilisateurs et les données chronologiques du groupe.

  Si aucune donnée d’événement ne figure dans la chronologie du groupe, vous devrez peut-être en créer manuellement. Pour cela, vous pouvez par exemple ajouter et supprimer des utilisateurs du groupe dans Active Directory.

Pour plus d’informations, consultez Examen des ressources.

Tester les tables de repérage avancé

Dans la page Repérage avancé du portail Defender, utilisez les exemples de requêtes suivants pour vérifier que les données apparaissent dans des tables pertinentes en fonction de pour votre environnement :

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Pour plus d’informations, consultez Repérage avancé dans le portail Microsoft Defender.

Tester les recommandations ISPM (Identity Security Posture Management)

Les fonctionnalités Defender pour Identity sur contrôleurs de domaine prennent en charge les évaluations ISPM suivantes :

• Installer le capteur Defender pour Identity sur tous les contrôleurs de domaine
• Utilisation de Microsoft LAPS
• Résoudre les configurations de domaine non sécurisées
• Définir un compte honeytoken
• Attributs de compte non sécurisés
• Attributs d’historique des SID non sécurisés

Nous vous recommandons de simuler un comportement à risque dans un environnement de test afin de déclencher les évaluations prises en charge et de vérifier qu’elles apparaissent comme prévu. Par exemple :

1. Déclenchez une nouvelle recommandation Résoudre les configurations de domaine non sécurisées en définissant votre configuration Active Directory sur un état non conforme, puis en la ramenant à un état conforme. Par exemple, exécutez les commandes suivantes :

   Pour définir un état non conforme

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Pour la ramener à un état conforme :

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Pour vérifier votre configuration locale :

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. Dans Microsoft Secure Score, sélectionnez Actions recommandées pour vérifier une nouvelle recommandation Résoudre des configurations de domaine non sécurisées. Vous pouvez filtrer les recommandations en fonction du produit Defender pour Identity.

Pour plus d’informations, consultez les évaluations de l’état de la sécurité de Microsoft Defender pour Identity

Test la fonctionnalité d’alerte

Les alertes suivantes sont prises en charge par les fonctionnalités Defender pour Identity sur les contrôleurs de domaine :

• Reconnaissance d’énumération de compte
• Reconnaissance des attributs Active Directory à l’aide de LDAP
• Exécution de code à distance du serveur Exchange (CVE-2021-26855)
• Attributs utilisateur Honeytoken modifiés
• Honeytoken a été interrogé via un protocole LDAP
• Activité d’authentification Honeytoken
• Appartenance au groupe Honeytoken modifiée
• Tentative d’exécution de code à distance
• Reconnaissance de principal de sécurité (LDAP)
• Création d’un service suspect
• Attaque par relais NTLM suspectée (compte Exchange)

• Modification suspecte de l’attribut Délégation contrainte basée sur les ressources par un compte d’ordinateur
• Ajouts suspects aux groupes sensibles
• Modification suspecte d’un attribut dNSHostName (CVE-2022-26923)
• Modification suspecte d’un attribut sAMNameAccount (CVE-2021-42278 et CVE-2021-42287)
• Suspicion d’attaque DCShadow (promotion du contrôleur de domaine)
• Suspicion d’une attaque DFSCoerce à l’aide du protocole système de fichiers DFS 
• Suspicion d’attaque DCShadow (demande de réplication du contrôleur de domaine)
• Prise de contrôle de compte suspectée à l’aide d’informations d’identification fantômes
• Suspicion d'injection SID-History
• Suspicion de lecture de clé DKM AD FS

Tester la fonctionnalité d’alerte en simulant l’activité à risque dans un environnement de test. Par exemple :

• Étiquetez un compte en tant que compte honeytoken, puis essayez de vous connecter au compte honeytoken sur le contrôleur de domaine activé.
• Créez un service suspect sur votre contrôleur de domaine.
• Exécutez une commande distante sur votre contrôleur de domaine en tant qu’administrateur connecté à partir de votre station de travail.

Pour plus d’informations, consultez Examiner les alertes de sécurité Defender pour Identity dans Microsoft Defender XDR.

Tester les actions de correction

Testez les actions de correction sur un utilisateur de test. Par exemple :

1. Dans le portail Defender, accédez à la page de détails d'un utilisateur de test.

2. Dans le menu options, sélectionnez l’une ou l’autre des options suivantes :

   • Désactiver l’utilisateur dans AD
   • Activer l’utilisateur dans AD
   • Forcer la réinitialisation du mot de passe

3. Vérifiez Active Directory pour l’activité attendue.

Remarque

La version actuelle ne collecte pas correctement les indicateurs du contrôle de compte d'utilisateur (UAC). Par conséquent, les utilisateurs désactivés apparaîtront toujours comme étant activés dans le portail.

Pour plus d’informations, consultez Actions de correction dans Microsoft Defender pour Identity.

Désactiver les capacités de Defender pour Identity sur votre contrôleur de domaine

Si vous souhaitez désactiver les fonctionnalités Defender pour Identity sur votre contrôleur de domaine, supprimez-la de la page Capteurs :

1. Dans le portail Defender, sélectionnez Paramètres > Identités > Capteurs.
2. Sélectionnez le contrôleur de domaine dans lequel vous souhaitez désactiver les fonctionnalités Defender pour Identity, sélectionnez Supprimer, puis confirmez votre sélection.

La désactivation des fonctionnalités Defender pour Identity de votre contrôleur de domaine ne supprime pas le contrôleur de domaine de Defender for Endpoint. Pour plus d’informations, consultez la documentation relative à Defender for Endpoint.

Étapes suivantes

Pour plus d’informations, consultez Gérer et mettre à jour les capteurs de Microsoft Defender pour Identity.