Tekintse át a Microsoft Defender for Identity architektúrakövetelményeinek és fő fogalmainak áttekintését
Érintett szolgáltatás:
- Microsoft Defender XDR
Ez a cikk a Microsoft Defender for Identity kiértékelési környezetének beállításának 3/1. lépése. A folyamatról további információt az áttekintő cikkben talál.
A Microsoft Defender for Identity engedélyezése előtt győződjön meg arról, hogy ismeri az architektúrát, és megfelel a követelményeknek.
Microsoft Defender for Identity gépi tanulást és viselkedéselemzést használ a helyszíni hálózaton végrehajtott támadások azonosítására, valamint a felhőbeli identitásokkal kapcsolatos felhasználói bejelentkezési kockázatok észlelésére és proaktív megelőzésére. További információ: Mi az a Microsoft Defender for Identity?
A Defender for Identity megvédi a helyi Active Directory és/vagy a Microsoft Entra ID szinkronizált felhasználókat. A csak Microsoft Entra felhasználókból álló környezetek védelméről lásd: Microsoft Entra ID-védelem.
Az architektúra megismerése
Az alábbi ábrán a Defender for Identity alaparchitektúrája látható.
Ebben az ábrán:
- A Active Directory tartományi szolgáltatások (AD DS) tartományvezérlőkre telepített érzékelők elemzik a naplókat és a hálózati forgalmat, és elemzés és jelentéskészítés céljából elküldik őket a Microsoft Defender for Identity.
- Az érzékelők Active Directory összevonási szolgáltatások (AD FS) (AD FS) is elemezhetnek, ha Microsoft Entra ID összevont hitelesítés használatára van konfigurálva (pontozott vonal az ábrán).
- Microsoft Defender for Identity jeleket oszt meg a kiterjesztett észlelés és válasz (XDR) Microsoft Defender XDR.
A Defender for Identity érzékelői közvetlenül a következő kiszolgálókra telepíthetők:
- Tartományvezérlők: Az érzékelő közvetlenül figyeli a tartományvezérlő forgalmát anélkül, hogy dedikált kiszolgálóra vagy porttükrözés konfigurálására van szükség.
- AD FS: Az érzékelő közvetlenül figyeli a hálózati forgalmat és a hitelesítési eseményeket.
A Defender for Identity architektúrájának részletesebb megismeréséhez, beleértve a Defender for Cloud Apps-integrációt, tekintse meg Microsoft Defender for Identity architektúrát.
A fő fogalmak ismertetése
Az alábbi táblázat a Microsoft Defender for Identity kiértékelése, konfigurálása és üzembe helyezése során fontos alapfogalmakat ismertette.
| Koncepció | Leírás | További információ |
|---|---|---|
| Figyelt tevékenységek | A Defender for Identity figyeli a szervezeten belül generált jeleket a gyanús vagy rosszindulatú tevékenységek észleléséhez, és segít meghatározni az egyes lehetséges fenyegetések érvényességét, hogy hatékonyan osztályozza és reagáljon. | figyelt tevékenységek Microsoft Defender for Identity |
| Biztonsági riasztások | A Defender for Identity biztonsági riasztásai ismertetik a hálózat érzékelői által észlelt gyanús tevékenységeket, valamint az egyes fenyegetésekben érintett szereplőket és számítógépeket. | biztonsági riasztások Microsoft Defender for Identity |
| Entitásprofilok | Az entitásprofilok átfogó részletes vizsgálatot biztosítanak a felhasználókról, számítógépekről, eszközökről és erőforrásokról, valamint a hozzáférési előzményeikről. | Az entitásprofilok ismertetése |
| Oldalirányú mozgásvonalak | Az MDI biztonsági elemzések egyik fő összetevője az oldalirányú mozgási útvonalak azonosítása, amelyekben a támadó nem bizalmas fiókokat használ a bizalmas fiókokhoz vagy gépekhez való hozzáféréshez a hálózaton. | Microsoft Defender for Identity oldalirányú mozgási útvonalak (LMP-k) |
| Hálózatnév feloldás | A hálózati névfeloldás (NNR) az MDI-funkciók összetevője, amely a hálózati forgalom, a Windows-események, az ETW stb. alapján rögzíti a tevékenységeket, és ezeket a nyers adatokat az egyes tevékenységekben érintett megfelelő számítógépekkel korrelálja. | Mi az a hálózati névfeloldás? |
| Jelentések | A Defender for Identity jelentései lehetővé teszik a rendszer- és entitásállapot-információkat biztosító jelentések ütemezését, illetve azonnali előállítását és letöltését. Jelentéseket készíthet a környezetében észlelt rendszerállapotról, biztonsági riasztásokról és lehetséges oldalirányú mozgási útvonalakról. | Microsoft Defender for Identity jelentések |
| Szerepkörcsoportok | A Defender for Identity szerepköralapú csoportokat és delegált hozzáférést biztosít az adatok védelméhez a szervezet konkrét biztonsági és megfelelőségi igényeinek megfelelően, beleértve a rendszergazdákat, a felhasználókat és a megtekintőket. | szerepkörcsoportok Microsoft Defender for Identity |
| Felügyeleti portál | A Microsoft Defender portálon kívül a Defender for Identity portál is használható a gyanús tevékenységek figyelésére és megválaszolására. | A Microsoft Defender for Identity portál használata |
| Microsoft Defender for Cloud Apps integráció | Microsoft Defender for Cloud Apps integrálható a Microsoft Defender for Identity, hogy felhasználói entitásviselkedési elemzést (UEBA) biztosítson egy hibrid környezetben – a felhőalkalmazásban és a helyszínen is | Microsoft Defender for Identity integráció |
Előfeltételek áttekintése
A Defender for Identity bizonyos előfeltételekkel kapcsolatos munkát igényel annak biztosításához, hogy a helyszíni identitás- és hálózatkezelési összetevők megfeleljenek a minimális követelményeknek. Ezzel a cikkel ellenőrizheti, hogy a környezet készen áll-e: Microsoft Defender for Identity előfeltételekre.
Következő lépések
2/3. lépés: A Defender for Identity kiértékelési környezetének engedélyezése
Térjen vissza az Evaluate Microsoft Defender for Identity áttekintéséhez
Térjen vissza az Értékelés és próba Microsoft Defender XDR áttekintéséhez
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: