פריסת ניסיון ופריסה של Microsoft Defender עבור זהות
חל על:
- Microsoft Defender XDR
מאמר זה מספק זרימת עבודה לפריסת ניסיון ופריסה של Microsoft Defender עבור זהות בארגון שלך. באפשרותך להשתמש בהמלצות אלה כדי לצרף את Microsoft Defender for Identity ככלי יחיד לאבטחת סייבר או כחלק מפתרון מקצה לקצה עם Microsoft Defender XDR.
מאמר זה מבוסס על ההנחה שיש לך דייר ייצור של Microsoft 365 ואתה פורס את Microsoft Defender עבור Identity בסביבה זו. תרגול זה ישמרו על ההגדרות וההתאמות האישיות שתקבע במהלך פריסת הניסיון עבור הפריסה המלאה.
Defender for Office 365 תורם לארכיטקטורה Zero Trust בכך שהוא מסייע במניעה או בהפחתת נזק עסקי מהפרה. לקבלת מידע נוסף, עיין בנושא מניעה או צמצום של נזק עסקי מתרחיש עסקי להפרה במסגרת ההטמעה של Microsoft Zero Trust.
פריסה מקצה לקצה עבור Microsoft Defender XDR
מאמר 2 מתוך 6 בסידרה יעזור לך לפרוס את רכיבי ה- XDR של Microsoft Defender, כולל חקירה ומענה לתקריות.
המאמרים בסידרה זו תואמים לשלבים הבאים של פריסה מקצה לקצה:
| שלב | קישור |
|---|---|
| A. הפעל את הפיילוט | הפעל את הפיילוט |
| B. פריסת ניסיון ופריסה של רכיבי XDR של Microsoft Defender | - פריסת ניסיון ופריסה של Defender for Identity (מאמר זה) - פריסת ניסיון ופריסה של Defender עבור Office 365 - פריסת ניסיון ופריסה של Defender עבור נקודת קצה - פריסת ניסיון ופריסה של Microsoft Defender עבור אפליקציות ענן |
| C. חקור איומים והגב לאיומים | תרגל חקירה ותגובה של מקרים |
פריסת ניסיון ופריסה של זרימת עבודה עבור Defender עבור זהות
הדיאגרמה הבאה ממחישה תהליך נפוץ לפריסת מוצר או שירות בסביבות IT.
התחל בהערכת המוצר או השירות והאופן שבו הם יפעלו בארגון שלך. לאחר מכן, תטיס את המוצר או השירות עם קבוצת משנה קטנה במידה המתאימה של תשתית הייצור שלך לבדיקה, למידה והתאמה אישית. לאחר מכן, הגדל בהדרגה את היקף הפריסה עד שכל התשתית או הארגון שלך מכוסים.
להלן זרימת העבודה לפריסת ניסיון ולפריסה של Defender עבור זהות בסביבת הייצור שלך.
בצע שלבים אלה:
- הגדרת מופע Defender for Identity
- התקנה ותצורה של חיישנים
- קביעת תצורה של הגדרות יומן אירועים ו- Proxy במחשבים עם החיישן
- אפשר ל- Defender for Identity לזהות מנהלי מערכת מקומיים במחשבים אחרים
- קביעת תצורה של המלצות בחינת ביצועים עבור סביבת הזהויות שלך
- נסה יכולות
להלן השלבים המומלצים עבור כל שלב פריסה.
| שלב פריסה | תיאור |
|---|---|
| להעריך | בצע הערכת מוצר עבור Defender for Identity. |
| טייס | בצע את שלבים 1-6 עבור קבוצת משנה מתאימה של שרתים עם חיישנים בסביבת הייצור שלך. |
| פריסה מלאה | בצע את שלבים 2-5 עבור השרתים הנותרים שלך, תוך התרחבות מעבר לנסיונות כדי לכלול את כולם. |
הגנה על הארגון שלך מפני פורצים
Defender for Identity מספק הגנה רבת-עוצמה בעצמו. עם זאת, בשילוב עם היכולות האחרות של XDR של Microsoft Defender, Defender for Identity מספק נתונים לאותות המשותפים, אשר יחד עוזרים לעצור תקיפות.
להלן דוגמה של מתקפת סייבר וכיצד הרכיבים של Microsoft Defender XDR עוזרים לזהות ולצמצם אותה.
Defender for Identity אוסף אותות בבקרי התחום של Active Directory Domain Services (AD DS) ומשרתים שבהם פועלים Active Directory Federation Services (AD FS) ו- Active Directory Certificate Services (AD CS). הוא משתמש באותות אלה כדי להגן על סביבת הזהות ההיברידית שלך, כולל הגנה מפני פורצי מחשבים המשתמשים בחשבונות שנחשף לסכנה כדי לנוע לרוחב תחנות עבודה בסביבה המקומית.
Microsoft Defender XDR מתאם את האותות מכל רכיבי Microsoft Defender כדי לספק את סיפור ההתקפה המלא.
ארכיטקטורת Defender for Identity
Microsoft Defender for Identity משולב באופן מלא עם XDR של Microsoft Defender ומנצל אותות מזהויות Active Directory מקומיות כדי לעזור לך לזהות, לזהות ולחקור איומים מתקדמים המופנה על הארגון שלך בצורה טובה יותר.
פרוס את Microsoft Defender for Identity כדי לסייע לצוותי פעולות האבטחה (SecOps) שלך לספק פתרון מודרני לזיהוי ותגובה של זהות (ITDR) בסביבות היברידיות, כולל:
- מנע הפרות, באמצעות הערכות יזום של תמורות אבטחה של זהות
- זיהוי איומים באמצעות ניתוחים ובינת נתונים בזמן אמת
- בדוק פעילויות חשודות באמצעות מידע מקרי ברור שניתן לפעול על פיו
- הגב למתקפות, תוך שימוש בתגובה אוטומטית לזהויות שנחשף לסכנה. לקבלת מידע נוסף, ראה מהו Microsoft Defender עבור זהות?
Defender for Identity מגן על חשבונות המשתמשים וחשבונות המשתמשים של AD DS המקומיים שלך המסונכרנים עם דייר Microsoft Entra ID שלך. כדי להגן על סביבה הכלולה רק בחשבונות משתמשים של Microsoft Entra, ראה Microsoft Entra ID Protection.
הדיאגרמה הבאה ממחישה את הארכיטקטורה עבור Defender for Identity.
באיור זה:
- חיישנים המותקנים בבקרי תחום של AD DS ובשרתי AD CS מנתחים יומני רישום ות תעבורת רשת וישלחו אותם ל- Microsoft Defender for Identity לצורך ניתוח ודיווח.
- חיישנים יכולים גם לנתח אימותי AD FS עבור ספקי זהות חיצוניים ומתי Microsoft Entra ID מוגדר להשתמש באימות מאוחד (הקווים המקווקווים באיור).
- Microsoft Defender for Identity משתף איתותים ל- Microsoft Defender XDR.
ניתן להתקין את חיישני Defender for Identity ישירות בשרתים הבאים:
בקרי תחום של AD DS
החיישן מנטר ישירות את תעבורת בקר התחום, ללא צורך בשרת ייעודי או בתצורת שיקוף יציאות.
שרתי AD CS
שרתי AD FS
החיישן מנטר ישירות תעבורת רשת ואירועי אימות.
לקבלת מבט מעמיק יותר על הארכיטקטורה של Defender for Identity, ראה Microsoft Defender for Identity architecture.
שלב 1: הגדרת מופע Defender for Identity
תחילה, Defender for Identity דורש כמה עבודה המהווה דרישה מוקדמת כדי להבטיח שרכיבי הזהות והרשת המקומיים שלך עומדים בדרישות המינימליות. השתמש במאמר דרישות מוקדמות של Microsoft Defender for Identity כרשימת פעולות לביצוע כדי לוודא שהסביבה שלך מוכנה.
לאחר מכן, היכנס לפורטל Defender for Identity כדי ליצור את המופע שלך ולאחר מכן חבר מופע זה לסביבת Active Directory שלך.
| שלב | תיאור | מידע נוסף |
|---|---|---|
| 1 | יצירת המופע של Defender for Identity | התחלה מהירה: יצירת מופע של Microsoft Defender עבור זהות |
| 2 | חיבור המופע של Defender for Identity ליער Active Directory | התחלה מהירה: התחברות ליער Active Directory |
שלב 2: התקנה ותצורה של חיישנים
בשלב הבא, הורד, התקן וקבע את תצורת חיישן Defender for Identity בבקרי התחום, שרתי AD FS ו- AD CS בסביבה המקומית שלך.
| שלב | תיאור | מידע נוסף |
|---|---|---|
| 1 | קבע כמה מהם דרושים לך חיישני זהות של Microsoft Defender עבור זהות. | קיבולת תוכנית עבור Microsoft Defender עבור זהות |
| 2 | הורד את חבילת הגדרת החיישן | התחלה מהירה: הורד את חבילת ההתקנה של חיישן הזהויות של Microsoft Defender for Identity |
| 3 | התקן את חיישן Defender for Identity | התחלה מהירה: התקנת חיישן הזהויות של Microsoft Defender for Identity |
| 4 | קביעת תצורה של החיישן | קביעת התצורה של הגדרות חיישן הזהויות של Microsoft Defender עבור |
שלב 3: קביעת תצורה של הגדרות יומן אירועים ו- Proxy במחשבים עם החיישן
במחשבים שבהם התקנת את החיישן, קבע את תצורת אוסף יומני האירועים של Windows ואת הגדרות ה- Proxy באינטרנט כדי לאפשר ולשפר את יכולות הזיהוי.
| שלב | תיאור | מידע נוסף |
|---|---|---|
| 1 | קביעת תצורה של אוסף יומני אירועים של Windows | קביעת תצורה של אוסף אירועים של Windows |
| 2 | קביעת תצורה של הגדרות Proxy באינטרנט | קביעת תצורה של הגדרות Proxy של נקודת קצה וקישוריות לאינטרנט עבור חיישן הזהויות של Microsoft Defender for Identity |
שלב 4: אפשר ל- Defender for Identity לזהות מנהלי מערכת מקומיים במחשבים אחרים
זיהוי נתיבי תנועה רוחביים של Microsoft Defender עבור זהות מסתמך על שאילתות שמזהות מנהלי מערכת מקומיים במחשבים ספציפיים. שאילתות אלה מבוצעות באמצעות פרוטוקול SAM-R, באמצעות החשבון Defender for Identity Service.
כדי להבטיח שהלקוחות והשרתים של Windows מאפשרים לחשבון Defender for Identity שלך לבצע את SAM-R, יש לבצע שינוי במדיניות קבוצתית כדי להוסיף את חשבון השירות Defender for Identity בנוסף לחשבון שתצורתו נקבעה, המפורטים במדיניות הגישה לרשת. הקפד להחיל מדיניות קבוצתית על כל המחשבים למעט בקרי תחום.
לקבלת הוראות לביצוע פעולה זו, ראה קביעת תצורה של Microsoft Defender עבור זהות כדי לבצע שיחות מרוחקות ל- SAM.
שלב 5: קביעת התצורה של המלצות בחינת ביצועים עבור סביבת הזהויות שלך
Microsoft מספקת המלצות על בחינת ביצועים של אבטחה עבור לקוחות המשתמשים בשירותים בענן של Microsoft. Azure Security Benchmark (ASB) מספק שיטות עבודה מומלצות והמלצות תיאוריות שיעזרו לשפר את האבטחה של עומסי עבודה, נתונים ושירותים ב- Azure.
הטמעת המלצות אלה עשויה להימשך זמן מה כדי לתכנן וליישם. בעוד שהמלצות אלה מגדילות ביעילות את האבטחה של סביבת הזהויות שלך, הן לא אמורות למנוע ממך להמשיך להעריך וליישם את Microsoft Defender עבור זהות. המלצות אלה מסופקות כאן למודעות שלך.
שלב 6: נסה את היכולות
התיעוד של Defender for Identity כולל את ערכות הלימוד הבאות שמנחה את תהליך הזיהוי והתיקון של סוגי תקיפות שונים:
- התראות של 'סיור'
- התראות אישור שנחשף לסכנה
- התראות תנועה רוחבית
- התראות על ניהול תחום
- התראות הרחבה
- חקירת משתמש
- חקירת מחשב
- בדוק נתיבי תנועה רוחביים
- בדוק ישויות
שילוב SIEM
באפשרותך לשלב את Defender for Identity עם Microsoft Sentinel או שירות כללי של מידע אבטחה וניהול אירועים (SIEM) כדי לאפשר ניטור מרכזי של התראות ופעילויות מאפליקציות מחוברות. באמצעות Microsoft Sentinel, באפשרותך לנתח אירועי אבטחה בצורה מקיפה יותר ברחבי הארגון ולבנות ספרי משחקים לתגובה יעילה ומידית.
Microsoft Sentinel כולל מחבר Defender for Identity. לקבלת מידע נוסף, ראה מחבר Microsoft Defender for Identity עבור Microsoft Sentinel.
לקבלת מידע אודות שילוב עם מערכות SIEM של ספקים חיצוניים, ראה שילוב כללי של SIEM.
השלב הבא
שלב את הפעולות הבאות בתהליכים של SecOps:
השלב הבא עבור הפריסה מקצה לקצה של Microsoft Defender XDR
המשך בפריסה מקצה לקצה של Microsoft Defender XDR באמצעות פריסת ניסיון ופרוס את Defender עבור Office 365.
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.