Piloter et déployer Microsoft Defender pour Identity
S’applique à :
- Microsoft Defender XDR
Cet article fournit un flux de travail pour le pilotage et le déploiement de Microsoft Defender pour Identity dans votre organisation. Vous pouvez utiliser ces recommandations pour intégrer Microsoft Defender pour Identity en tant qu’outil de cybersécurité individuel ou dans le cadre d’une solution de bout en bout avec Microsoft Defender XDR.
Cet article suppose que vous disposez d’un locataire Microsoft 365 de production et que vous pilotez et déployez Microsoft Defender pour Identity dans cet environnement. Cette pratique conserve tous les paramètres et personnalisations que vous configurez pendant votre pilote pour votre déploiement complet.
Defender pour Office 365 contribue à une architecture Confiance Zéro en aidant à prévenir ou à réduire les dommages causés à l’entreprise par une violation. Pour plus d’informations, consultez le scénario Empêcher ou réduire les dommages pour l’entreprise d’une violation de l’entreprise dans le framework d’adoption de la Confiance Zéro microsoft.
Déploiement de bout en bout pour Microsoft Defender XDR
Il s’agit de l’article 2 sur 6 d’une série qui vous aide à déployer les composants de Microsoft Defender XDR, y compris l’examen et la réponse aux incidents.
Les articles de cette série correspondent aux phases suivantes du déploiement de bout en bout :
| Phase | Liens |
|---|---|
| A. Démarrer le pilote | Démarrer le pilote |
| B. Piloter et déployer des composants Microsoft Defender XDR | - Piloter et déployer Defender pour Identity (cet article) - Piloter et déployer Defender pour Office 365 - Piloter et déployer Defender pour point de terminaison - Piloter et déployer Microsoft Defender for Cloud Apps |
| C. Examiner les menaces et y répondre | Pratiquez l’investigation et la réponse aux incidents |
Piloter et déployer un workflow pour Defender pour Identity
Le diagramme suivant illustre un processus courant de déploiement d’un produit ou d’un service dans un environnement informatique.
Vous commencez par évaluer le produit ou le service et la façon dont il fonctionnera au sein de votre organisation. Ensuite, vous pilotez le produit ou le service avec un sous-ensemble convenablement petit de votre infrastructure de production à des fins de test, d’apprentissage et de personnalisation. Ensuite, augmentez progressivement l’étendue du déploiement jusqu’à ce que l’ensemble de votre infrastructure ou organisation soit couvert.
Voici le workflow pour le pilotage et le déploiement de Defender pour Identity dans votre environnement de production.
Procédez comme suit :
- Configurer l’instance Defender pour Identity
- Installer et configurer des capteurs
- Configurer les paramètres du journal des événements et du proxy sur les machines avec le capteur
- Autoriser Defender pour Identity à identifier les administrateurs locaux sur d’autres ordinateurs
- Configurer des recommandations de benchmark pour votre environnement d’identité
- Tester les fonctionnalités
Voici les étapes recommandées pour chaque étape de déploiement.
| Phase de déploiement | Description |
|---|---|
| Évaluation | Effectuer l’évaluation du produit pour Defender pour Identity. |
| Pilote | Effectuez les étapes 1 à 6 pour un sous-ensemble approprié de serveurs avec des capteurs dans votre environnement de production. |
| Déploiement complet | Effectuez les étapes 2 à 5 pour vos serveurs restants, en étendant au-delà du pilote pour les inclure tous. |
Protection de votre organisation contre les pirates informatiques
Defender pour Identity offre une protection puissante à lui seul. Toutefois, lorsqu’il est combiné avec les autres fonctionnalités de Microsoft Defender XDR, Defender pour Identity fournit des données dans les signaux partagés qui, ensemble, aident à arrêter les attaques.
Voici un exemple de cyberattaque et la façon dont les composants de Microsoft Defender XDR aident à la détecter et à l’atténuer.
Defender pour Identity collecte les signaux à partir des contrôleurs de domaine Active Directory Domain Services (AD DS) et des serveurs exécutant les services de fédération Active Directory (AD FS) et les services de certificats Active Directory (AD CS). Il utilise ces signaux pour protéger votre environnement d’identité hybride, notamment contre les pirates informatiques qui utilisent des comptes compromis pour se déplacer latéralement entre les stations de travail dans l’environnement local.
Microsoft Defender XDR met en corrélation les signaux de tous les composants Microsoft Defender pour fournir l’histoire complète des attaques.
Architecture de Defender pour Identity
Microsoft Defender pour Identity est entièrement intégré à Microsoft Defender XDR et tire parti des signaux des identités Active Directory locales pour vous aider à mieux identifier, détecter et examiner les menaces avancées dirigées contre votre organisation.
Déployez Microsoft Defender pour Identity pour aider vos équipes d’opérations de sécurité (SecOps) à fournir une solution moderne de détection des menaces et de réponse aux menaces (ITDR) d’identité dans des environnements hybrides, notamment :
- Empêcher les violations à l’aide d’évaluations proactives de la posture de sécurité des identités
- Détecter les menaces à l’aide de l’analytique en temps réel et de l’intelligence des données
- Examiner les activités suspectes à l’aide d’informations claires et exploitables sur les incidents
- Répondre aux attaques à l’aide d’une réponse automatique aux identités compromises. Pour plus d’informations, consultez Qu’est-ce que Microsoft Defender pour Identity ?
Defender pour Identity protège vos comptes d’utilisateur AD DS locaux et vos comptes d’utilisateur synchronisés avec votre locataire d’ID Microsoft Entra. Pour protéger un environnement composé uniquement de comptes d’utilisateur Microsoft Entra, consultez Protection de l’ID Microsoft Entra.
Le diagramme suivant illustre l’architecture de Defender pour Identity.
Dans cette illustration :
- Les capteurs installés sur les contrôleurs de domaine AD DS et les serveurs AD CS analysent les journaux et le trafic réseau et les envoient à Microsoft Defender pour Identity à des fins d’analyse et de création de rapports.
- Les capteurs peuvent également analyser les authentifications AD FS pour les fournisseurs d’identité tiers et lorsque l’ID Microsoft Entra est configuré pour utiliser l’authentification fédérée (les lignes en pointillés dans l’illustration).
- Microsoft Defender pour Identity partage des signaux à Microsoft Defender XDR.
Les capteurs Defender pour Identity peuvent être installés directement sur les serveurs suivants :
Contrôleurs de domaine AD DS
Le capteur surveille directement le trafic du contrôleur de domaine, sans avoir besoin d’un serveur dédié ou de la configuration de la mise en miroir de ports.
Serveurs AD CS
Serveurs AD FS
Le capteur surveille directement le trafic réseau et les événements d’authentification.
Pour en savoir plus sur l’architecture de Defender pour Identity, consultez Architecture de Microsoft Defender pour Identity.
Étape 1 : Configurer l’instance Defender pour Identity
Tout d’abord, Defender pour Identity nécessite un travail préalable pour s’assurer que vos composants d’identité et de mise en réseau locaux répondent à la configuration minimale requise. Utilisez l’article Sur les conditions préalables de Microsoft Defender pour Identity comme liste de contrôle pour vous assurer que votre environnement est prêt.
Ensuite, connectez-vous au portail Defender pour Identity pour créer votre instance, puis connectez-la à votre environnement Active Directory.
| Étape | Description | Plus d’informations |
|---|---|---|
| 1 | Créer l’instance Defender pour Identity | Démarrage rapide : créer votre instance Microsoft Defender pour l’identité |
| 2 | Connecter l’instance Defender pour Identity à votre forêt Active Directory | Démarrage rapide : Se connecter à votre forêt Active Directory |
Étape 2 : Installer et configurer des capteurs
Ensuite, téléchargez, installez et configurez le capteur Defender pour Identity sur les contrôleurs de domaine, les serveurs AD FS et AD CS dans votre environnement local.
| Étape | Description | Plus d’informations |
|---|---|---|
| 1 | Déterminez le nombre de capteurs Microsoft Defender pour Identity dont vous avez besoin. | Planifier la capacité de Microsoft Defender pour l’identité |
| 2 | Télécharger le package d’installation du capteur | Démarrage rapide : Télécharger le package de configuration du capteur Microsoft Defender pour Identity |
| 3 | Installer le capteur Defender pour Identity | Démarrage rapide : Installer le capteur Microsoft Defender pour Identity |
| 4 | Configurer le capteur | Configurer les paramètres du capteur Microsoft Defender pour Identity |
Étape 3 : Configurer les paramètres du journal des événements et du proxy sur les machines avec le capteur
Sur les ordinateurs sur lesquels vous avez installé le capteur, configurez la collecte des journaux des événements Windows et les paramètres du proxy Internet pour activer et améliorer les fonctionnalités de détection.
| Étape | Description | Plus d’informations |
|---|---|---|
| 1 | Configurer la collecte des journaux des événements Windows | Configurer la collection d’événements Windows |
| 2 | Configurer les paramètres du proxy Internet | Configurer les paramètres de proxy de point de terminaison et de connectivité Internet pour votre capteur d’identité Microsoft Defender |
Étape 4 : Autoriser Defender pour Identity à identifier les administrateurs locaux sur d’autres ordinateurs
La détection du chemin de déplacement latéral de Microsoft Defender pour l’identité s’appuie sur des requêtes qui identifient les administrateurs locaux sur des ordinateurs spécifiques. Ces requêtes sont effectuées avec le protocole SAM-R, à l’aide du compte de service Defender pour Identity.
Pour vous assurer que les clients et serveurs Windows autorisent votre compte Defender pour Identity à exécuter SAM-R, une modification de la stratégie de groupe doit être apportée afin d’ajouter le compte de service Defender pour Identity en plus des comptes configurés répertoriés dans la stratégie d’accès réseau. Veillez à appliquer des stratégies de groupe à tous les ordinateurs à l’exception des contrôleurs de domaine.
Pour obtenir des instructions sur la procédure à suivre, consultez Configurer Microsoft Defender pour Identity afin d’effectuer des appels distants à SAM.
Étape 5 : Configurer les recommandations de benchmark pour votre environnement d’identité
Microsoft fournit des recommandations de référence de sécurité pour les clients qui utilisent les services cloud Microsoft. Le benchmark de sécurité Azure (ASB) fournit des bonnes pratiques et des recommandations normatives pour aider à améliorer la sécurité des charges de travail, des données et des services sur Azure.
La mise en œuvre de ces recommandations peut prendre un certain temps à planifier et à implémenter. Bien que ces recommandations augmentent considérablement la sécurité de votre environnement d’identité, elles ne doivent pas vous empêcher de continuer à évaluer et à implémenter Microsoft Defender pour Identity. Ces recommandations sont fournies ici à des fins de sensibilisation.
Étape 6 : Tester les fonctionnalités
La documentation defender pour Identity comprend les tutoriels suivants qui décrivent le processus d’identification et de correction des différents types d’attaques :
- Alertes de reconnaissance
- Alertes d’informations d’identification compromises
- Alertes de mouvement latéral
- Alertes de dominance de domaine
- Alertes d’exfiltration
- Examiner un utilisateur
- Examiner un ordinateur
- Enquêter sur les chemins de déplacement latéral
- Examiner des entités
Intégration SIEM
Vous pouvez intégrer Defender pour Identity à Microsoft Sentinel ou à un service SIEM (Security Information and Event Management) générique pour permettre une surveillance centralisée des alertes et des activités à partir d’applications connectées. Avec Microsoft Sentinel, vous pouvez analyser de manière plus complète les événements de sécurité au sein de votre organisation et créer des playbooks pour une réponse efficace et immédiate.
Microsoft Sentinel inclut un connecteur Defender pour Identity. Pour plus d’informations, consultez Connecteur Microsoft Defender pour Identity pour Microsoft Sentinel.
Pour plus d’informations sur l’intégration avec des systèmes SIEM tiers, consultez Intégration SIEM générique.
Étape suivante
Incorporez les éléments suivants dans vos processus SecOps :
- Afficher le tableau de bord ITDR
- Afficher et gérer les problèmes d’intégrité de Defender pour Identity
Étape suivante pour le déploiement de bout en bout de Microsoft Defender XDR
Poursuivez votre déploiement de bout en bout de Microsoft Defender XDR avec Pilote et déployez Defender pour Office 365.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour