A Microsoft Defender for Identity üzembe helyezése a Microsoft Defender XDR-lel

Ez a cikk áttekintést nyújt a Microsoft Defender for Identity teljes üzembehelyezési folyamatáról, beleértve az előkészítés, az üzembe helyezés és az egyes forgatókönyvek további lépéseit.

A Defender for Identity egy Teljes felügyelet stratégia és az identitásfenyegetések észlelésének és elhárításának (ITDR) vagy kiterjesztett észlelési és válaszalapú (XDR) központi telepítésének elsődleges összetevője a Microsoft Defender XDR-vel. A Defender for Identity olyan identitásinfrastruktúra-kiszolgálóktól származó jeleket használ, mint a tartományvezérlők, az AD FS/AD CS és az Entra Connect-kiszolgálók, amelyek észlelik az olyan fenyegetéseket, mint a jogosultságok eszkalálása vagy a magas kockázatú oldalirányú mozgás, valamint a biztonsági csapat által kijavítandó, könnyen kihasználható identitásproblémákról, például a nem korlátozott Kerberos-delegálásról szóló jelentések.

Az üzembe helyezési kiemelések gyors készletét a gyors telepítési útmutatóban találja.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy legalább biztonsági rendszergazdaként hozzáfér a Microsoft Defender XDR-hez, és rendelkezik az alábbi licencek egyikével:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Biztonság
• Microsoft 365 F5 Biztonság + Megfelelőség*
• Önálló Defender for Identity licenc

* Mindkét F5-licenchez Microsoft 365 F1/F3 vagy Office 365 F3 és Nagyvállalati mobilitási és biztonsági E3 csomag szükséges.

Szerezze be a licenceket közvetlenül a Microsoft 365 portálon , vagy használja a felhőmegoldás-partner (CSP) licencelési modelljét.

További információ: Licencelési és adatvédelmi gyakori kérdések , valamint mi a Defender identitásszerepkörei és engedélyei?

A Microsoft Defender XDR használatának megkezdése

Ez a szakasz bemutatja, hogyan kezdheti el a Defender for Identitybe való előkészítést.

1. Jelentkezzen be a Microsoft Defender portálra.
2. A navigációs menüben válasszon ki egy elemet, például incidensek > riasztásokat, vadászatot, műveleti központot vagy fenyegetéselemzést az előkészítési folyamat elindításához.

Ezután lehetősége lesz a támogatott szolgáltatások, köztük a Microsoft Defender for Identity üzembe helyezésére. A Defender for Identityhez szükséges felhőösszetevők automatikusan hozzáadódnak a Defender for Identity beállításai lap megnyitásakor.

További információk:

• Microsoft Defender for Identity a Microsoft Defender XDR-ben
• A Microsoft Defender XDR használatának első lépései
• A Microsoft Defender XDR bekapcsolása
• Támogatott szolgáltatások üzembe helyezése
• Gyakori kérdések a Microsoft Defender XDR bekapcsolásakor

Fontos

A Defender for Identity adatközpontjai jelenleg Európában, az Egyesült Királyságban, Svájcban, Észak-Amerika/Közép-Amerikában/Karib-térségben, Kelet-Ausztráliában, Ázsiában és Indiában vannak üzembe helyezve. A munkaterület (példány) automatikusan létrejön a Microsoft Entra-bérlő földrajzi helyéhez legközelebbi Azure-régióban. A létrehozás után a Defender for Identity-munkaterületek nem mozgathatók.

Tervezés és előkészítés

Az alábbi lépésekkel felkészülhet a Defender for Identity üzembe helyezésére:

1. Győződjön meg arról, hogy minden előfeltétel szükséges.

2. Tervezze meg a Defender for Identity kapacitását.

Tipp.

Javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet a teszteléshez, és ellenőrizze, hogy a környezet rendelkezik-e a szükséges előfeltételekkel.

A Test-MdiReadiness.ps1 szkriptre mutató hivatkozás a Microsoft Defender XDR-ből is elérhető az Identityes > Tools (Előzetes verzió) lapon.

A Defender for Identity üzembe helyezése

A rendszer előkészítése után a következő lépésekkel telepítse a Defender for Identityet:

1. Ellenőrizze a Defender for Identity szolgáltatáshoz való kapcsolódást.
2. Töltse le a Defender for Identity érzékelőt.
3. Telepítse a Defender for Identity érzékelőt.
4. Konfigurálja a Defender for Identity érzékelőt az adatok fogadásának megkezdéséhez.

Üzembe helyezés utáni konfiguráció

Az alábbi eljárások segítenek az üzembe helyezési folyamat befejezésében:

• Konfigurálja a Windows-eseménygyűjteményt. További információ: Eseménygyűjtemény a Microsoft Defender for Identity szolgáltatással és a Windows-eseménynaplók naplózási szabályzatainak konfigurálása.

• Engedélyezze és konfigurálja az egységes szerepköralapú hozzáférés-vezérlést (RBAC) a Defender for Identityhez.

• Konfiguráljon egy címtárszolgáltatás-fiókot (DSA) a Defender for Identity használatához. Bár a DSA bizonyos esetekben nem kötelező, javasoljuk, hogy konfiguráljon egy DSA-t a Defender for Identityhez a teljes biztonsági lefedettség érdekében. Ha például egy DSA van konfigurálva, a rendszer a DSA használatával csatlakozik a tartományvezérlőhöz indításkor. A DSA használatával lekérdezheti a tartományvezérlőt a hálózati forgalomban, a figyelt eseményekben és a figyelt ETW-tevékenységekben látott entitásokra vonatkozó adatok lekérdezésére is

• Szükség szerint konfigurálja a SAM-hez intézett távoli hívásokat. Bár ez a lépés nem kötelező, javasoljuk, hogy konfigurálja az SAM-R távoli hívásait az oldalirányú mozgási útvonal észleléséhez a Defender for Identity használatával.

Tipp.

Alapértelmezés szerint a Defender for Identity-érzékelők LDAP használatával kérdezik le a címtárat a 389-3268-ak portján. Ha a 636-os és a 3269-s porton szeretne LDAPS-re váltani, nyisson meg egy támogatási esetet. További információ: Microsoft Defender for Identity támogatás.

Fontos

A Defender for Identity-érzékelő telepítése az AD FS/AD CS- és Entra Connect-kiszolgálókon további lépéseket igényel. További információ: Érzékelők konfigurálása az AD FS-hez, az AD CS-hez és az Entra Connecthez.

Következő lépés

Defender for Identity előfeltételei »