A Microsoft Defender for Identity próbaüzeme és üzembe helyezése
Érintett szolgáltatás:
- Microsoft Defender XDR
Ez a cikk egy munkafolyamatot biztosít a Microsoft Defender for Identity kipróbálásához és üzembe helyezéséhez a szervezetben. Ezekkel a javaslatokkal a Microsoft Defender for Identityt egyéni kiberbiztonsági eszközként vagy a Microsoft Defender XDR teljes körű megoldásának részeként készítheti elő.
Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és ebben a környezetben teszteli és telepíti a Microsoft Defender for Identityt. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.
Az Office 365-höz készült Defender azzal járul hozzá a zéró megbízhatóságú architektúrához, hogy segít megelőzni vagy csökkenteni a biztonsági incidensekből eredő üzleti károkat. További információ: A Microsoft Zero Trust bevezetési keretrendszerének üzleti incidensből eredő üzleti kárainak megelőzése vagy csökkentése .
Teljes körű üzembe helyezés a Microsoft Defender XDR-hez
Ez egy sorozat 6/2. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.
Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:
| Fázis | Láncszem |
|---|---|
| Egy. A próbaüzem indítása | A próbaüzem indítása |
| B. Microsoft Defender XDR-összetevők kipróbálása és üzembe helyezése | - A Defender for Identity próbaüzeme és üzembe helyezése (ez a cikk) - Az Office 365-höz készült Defender próbaüzeme és üzembe helyezése - Végponthoz készült Defender próbaüzeme és üzembe helyezése - A Microsoft Defender for Cloud Apps próbaüzeme és üzembe helyezése |
| C. Veszélyforrások vizsgálata és reagálás rájuk | Incidensvizsgálat és reagálás gyakorlata |
A Defender for Identity próba- és üzembe helyezési munkafolyamata
Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.
Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.
Az alábbi munkafolyamat a Defender for Identity éles környezetben való kipróbálására és üzembe helyezésére vonatkozik.
Hajtsa végre az alábbi lépéseket:
- A Defender for Identity-példány beállítása
- Érzékelők telepítése és konfigurálása
- Eseménynapló- és proxybeállítások konfigurálása gépeken az érzékelővel
- A Defender for Identity lehetővé teszi a helyi rendszergazdák azonosítását más számítógépeken
- Teljesítményteszt-javaslatok konfigurálása az identitáskörnyezethez
- Képességek kipróbálás
Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.
| Üzembe helyezési szakasz | Leírás |
|---|---|
| Kiértékel | Végezze el a Defender for Identity termékértékelését. |
| Pilóta | Hajtsa végre az 1–6. lépést az éles környezetben érzékelőkkel rendelkező kiszolgálók megfelelő részhalmazához. |
| Teljes üzembe helyezés | Hajtsa végre a 2–5. lépést a fennmaradó kiszolgálókon, és bővítse a próbaüzemet, hogy az összeset belefoglalja. |
Szervezet védelme a hackerek ellen
A Defender for Identity önállóan nyújt hatékony védelmet. A Microsoft Defender XDR egyéb képességeivel kombinálva azonban az identitáshoz készült Defender adatokat biztosít a megosztott jelekbe, amelyek együttesen segítenek a támadások leállításában.
Íme egy példa egy kibertámadásra, valamint arra, hogy a Microsoft Defender XDR összetevői hogyan segítenek észlelni és enyhíteni azt.
A Defender for Identity jeleket gyűjt az Active Directory Domain Services (AD DS) tartományvezérlőiről és az Active Directory összevonási szolgáltatásokat (AD FS) és az Active Directory tanúsítványszolgáltatásokat (AD CS) futtató kiszolgálókról. Ezeket a jeleket a hibrid identitáskezelési környezet védelmére használja, beleértve a feltört fiókokat használó hackerek elleni védelmet a helyszíni környezetben található munkaállomások közötti oldalirányú mozgáshoz.
A Microsoft Defender XDR korrelálja az összes Microsoft Defender-összetevő jeleit, hogy teljes körű támadási történetet biztosítson.
A Defender for Identity architektúrája
A Microsoft Defender for Identity teljes mértékben integrálva van a Microsoft Defender XDR-sel, és a helyszíni Active Directory-identitásokból származó jeleket használja a szervezetre irányított speciális fenyegetések jobb azonosításához, észleléséhez és kivizsgálásához.
Helyezze üzembe a Microsoft Defender for Identityt, hogy segítse a biztonsági üzemeltetési (SecOps-) csapatokat egy modern identitásfenyegetési és -reagálási (ITDR) megoldás biztosításában hibrid környezetekben, beleértve a következőket:
- A biztonsági incidensek megelőzése proaktív identitásbiztonsági állapotértékelések használatával
- Fenyegetések észlelése valós idejű elemzés és adatintelligencia használatával
- Gyanús tevékenységek vizsgálata világos, végrehajtható incidensadatok használatával
- A feltört identitásokra adott automatikus válaszokkal reagálhat a támadásokra. További információ: Mi az a Microsoft Defender for Identity?
Az Identitáshoz készült Defender megvédi a helyszíni AD DS-felhasználói fiókokat és a Microsoft Entra ID-bérlővel szinkronizált felhasználói fiókokat. A csak Microsoft Entra felhasználói fiókokból álló környezetek védelméről a Microsoft Entra ID Protection című témakörben olvashat.
Az alábbi ábrán a Defender for Identity architektúrája látható.
Ebben az ábrán:
- Az AD DS-tartományvezérlőkre és az AD CS-kiszolgálókra telepített érzékelők elemzik a naplókat és a hálózati forgalmat, és elemzés és jelentéskészítés céljából elküldik őket a Microsoft Defender for Identitynek.
- Az érzékelők elemezhetik a külső identitásszolgáltatók AD FS-hitelesítéseit is, és ha a Microsoft Entra ID összevont hitelesítés használatára van konfigurálva (az ábrán a pontozott vonalak).
- A Microsoft Defender for Identity jeleket oszt meg a Microsoft Defender XDR-nek.
A Defender for Identity érzékelői közvetlenül a következő kiszolgálókra telepíthetők:
AD DS-tartományvezérlők
Az érzékelő közvetlenül figyeli a tartományvezérlő forgalmát anélkül, hogy dedikált kiszolgálóra vagy porttükrözés konfigurálására van szükség.
AD CS-kiszolgálók
AD FS-kiszolgálók
Az érzékelő közvetlenül figyeli a hálózati forgalmat és a hitelesítési eseményeket.
A Defender for Identity architektúrájának részletesebb megismeréséhez tekintse meg a Microsoft Defender for Identity architektúráját ismertető cikket.
1. lépés: A Defender for Identity-példány beállítása
Először is a Defender for Identity előfeltételként szolgáló munkát igényel annak biztosításához, hogy a helyszíni identitás- és hálózatkezelési összetevők megfeleljenek a minimális követelményeknek. Használja a Microsoft Defender for Identity előfeltételeit ismertető cikket ellenőrzőlistaként, hogy a környezete készen álljon.
Ezután jelentkezzen be a Defender for Identity portálra a példány létrehozásához, majd csatlakoztassa a példányt az Active Directory-környezethez.
| Lépés | Leírás | További információ |
|---|---|---|
| 1 | A Defender for Identity-példány létrehozása | Rövid útmutató: A Microsoft Defender for Identity-példány létrehozása |
| 2 | A Defender for Identity-példány csatlakoztatása az Active Directory-erdőhöz | Rövid útmutató: Csatlakozás az Active Directory-erdőhöz |
2. lépés: Érzékelők telepítése és konfigurálása
Ezután töltse le, telepítse és konfigurálja a Defender for Identity érzékelőt a helyszíni környezet tartományvezérlőire, AD FS- és AD CS-kiszolgálóira.
| Lépés | Leírás | További információ |
|---|---|---|
| 1 | Határozza meg, hogy hány Microsoft Defender for Identity-érzékelőre van szüksége. | Kapacitás tervezése a Microsoft Defender for Identityhez |
| 2 | Az érzékelő telepítőcsomagjának letöltése | Rövid útmutató: A Microsoft Defender for Identity érzékelő telepítőcsomagjának letöltése |
| 3 | A Defender for Identity érzékelő telepítése | Rövid útmutató: A Microsoft Defender for Identity érzékelő telepítése |
| 4 | Az érzékelő konfigurálása | A Microsoft Defender for Identity érzékelőbeállításainak konfigurálása |
3. lépés: Eseménynapló- és proxybeállítások konfigurálása az érzékelővel rendelkező gépeken
Azon gépeken, amelyeken telepítette az érzékelőt, konfigurálja a Windows eseménynapló-gyűjtését és az internetproxy beállításait az észlelési képességek engedélyezéséhez és javításához.
| Lépés | Leírás | További információ |
|---|---|---|
| 1 | A Windows eseménynapló-gyűjtésének konfigurálása | A Windows-eseménygyűjtés konfigurálása |
| 2 | Internetes proxybeállítások konfigurálása | Végpontproxy és internetkapcsolat beállításainak konfigurálása a Microsoft Defender for Identity Sensorhoz |
4. lépés: Annak engedélyezése, hogy a Defender for Identity azonosítsa a helyi rendszergazdákat más számítógépeken
A Microsoft Defender for Identity oldalirányú mozgási útvonalának észlelése olyan lekérdezésekre támaszkodik, amelyek adott gépek helyi rendszergazdáit azonosítják. Ezek a lekérdezések az SAM-R protokollal, a Defender for Identity Service-fiókkal hajthatók végre.
Annak érdekében, hogy a Windows-ügyfelek és -kiszolgálók lehetővé tegyék a Defender for Identity-fiók SAM-R végrehajtását, módosítani kell a csoportházirendet, hogy hozzáadja a Defender for Identity szolgáltatásfiókot a hálózati hozzáférési szabályzatban felsorolt konfigurált fiókok mellett. Győződjön meg arról, hogy a tartományvezérlők kivételével minden számítógépre alkalmazza a csoportházirendeket.
Ennek módjáról a Microsoft Defender for Identity konfigurálása a SAM felé irányuló távoli hívásokhoz című témakörben talál útmutatást.
5. lépés: Teljesítményteszt-javaslatok konfigurálása az identitáskörnyezethez
A Microsoft biztonsági teljesítményteszt-javaslatokat nyújt a Microsoft Cloud-szolgáltatásokat használó ügyfelek számára. Az Azure Security Benchmark (ASB) előíró ajánlott eljárásokat és javaslatokat nyújt a számítási feladatok, adatok és szolgáltatások biztonságának javításához az Azure-ban.
Ezeknek a javaslatoknak a megvalósítása hosszabb időt vehet igénybe a tervezéshez és a megvalósításhoz. Bár ezek a javaslatok jelentősen növelik az identitáskörnyezet biztonságát, nem akadályozhatják meg, hogy továbbra is értékelje és implementálja a Microsoft Defender for Identityt. Ezeket a javaslatokat itt találja a tudatosság érdekében.
6. lépés: Képességek kipróbálás
A Defender for Identity dokumentációja az alábbi oktatóanyagokat tartalmazza, amelyek végigvezetik a különböző támadástípusok azonosításának és elhárításának folyamatán:
- Felderítési riasztások
- Sérült hitelesítőadat-riasztások
- Oldalirányú mozgás riasztásai
- Tartományi dominancia riasztásai
- Kiszűrési riasztások
- Felhasználó vizsgálata
- Számítógép vizsgálata
- Oldalirányú mozgási útvonalak vizsgálata
- Entitások vizsgálata
SIEM-integráció
A Defender for Identity integrálható a Microsoft Sentinellel vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással, amely lehetővé teszi a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított monitorozását. A Microsoft Sentinel segítségével átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.
A Microsoft Sentinel tartalmaz egy Defender for Identity-összekötőt. További információ: Microsoft Defender for Identity-összekötő a Microsoft Sentinelhez.
További információ a külső SIEM-rendszerekkel való integrációról: Általános SIEM-integráció.
További lépés
Építse be a következőket a SecOps-folyamatokba:
- Az ITDR-irányítópult megtekintése
- A Defender for Identity állapotproblémáinak megtekintése és kezelése
A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése
Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Próbaüzemeléssel és az Office 365-höz készült Defender üzembe helyezésével.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: