Menyebarkan Microsoft Defender untuk Identitas dengan Microsoft Defender XDR
Artikel ini memberikan gambaran umum tentang proses penyebaran penuh untuk Microsoft Defender untuk Identitas, termasuk langkah-langkah untuk persiapan, penyebaran, dan langkah tambahan untuk skenario tertentu.
Defender for Identity adalah komponen utama dari strategi Zero Trust dan penyebaran Deteksi dan Respons Ancaman Identitas (ITDR) atau deteksi dan respons yang diperluas (XDR) dengan Pertahanan Microsoft XDR. Defender for Identity menggunakan sinyal dari server Infrastruktur Identitas Anda seperti pengontrol domain, server AD FS / AD CS dan Entra Connect untuk mendeteksi ancaman seperti eskalasi hak istimewa atau gerakan lateral berisiko tinggi, dan laporan tentang masalah identitas yang mudah dieksploitasi seperti delegasi Kerberos yang tidak dibatasi, untuk koreksi oleh tim keamanan.
Untuk serangkaian sorotan penyebaran cepat, lihat Panduan penginstalan cepat.
Prasyarat
Sebelum memulai, pastikan Anda memiliki akses ke Microsoft Defender XDR setidaknya sebagai administrator Keamanan, dan Anda memiliki salah satu lisensi berikut:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Keamanan Microsoft 365 E5/A5/G5/F5*
- Keamanan + Kepatuhan Microsoft 365 F5*
- Lisensi Defender for Identity mandiri
* Kedua lisensi F5 memerlukan Microsoft 365 F1/F3 atau Office 365 F3 dan Enterprise Mobility + Security E3.
Dapatkan lisensi langsung melalui portal Microsoft 365 atau gunakan model lisensi Mitra Solusi Cloud (CSP).
Untuk informasi selengkapnya, lihat Tanya Jawab Umum lisensi dan privasi dan Apa itu peran dan izin Defender for Identity?
Mulai menggunakan Pertahanan Microsoft XDR
Bagian ini menjelaskan cara mulai onboarding ke Defender for Identity.
- Masuk ke portal Pertahanan Microsoft.
- Dari menu navigasi, pilih item apa pun, seperti Insiden & pemberitahuan, Perburuan, Pusat tindakan, atau Analitik ancaman untuk memulai proses onboarding.
Anda kemudian akan diberi opsi untuk menyebarkan layanan yang didukung, termasuk Microsoft Defender untuk Identitas. Komponen cloud yang diperlukan untuk Defender for Identity secara otomatis ditambahkan saat Anda membuka halaman Pengaturan pertahanan untuk Identitas.
Untuk informasi selengkapnya, lihat:
- Microsoft Defender untuk Identitas di Pertahanan Microsoft XDR
- Mulai menggunakan Microsoft Defender XDR
- Mengaktifkan Pertahanan Microsoft XDR
- Menyebarkan layanan yang didukung
- Tanya jawab umum saat mengaktifkan Pertahanan Microsoft XDR
Penting
Saat ini, pusat data Defender for Identity disebarkan di Eropa, Inggris, Swiss, Amerika Utara/Amerika Tengah/Karibia, Australia Timur, Asia, dan India. Ruang kerja Anda (instans) dibuat secara otomatis di wilayah Azure yang paling dekat dengan lokasi geografis penyewa Microsoft Entra Anda. Setelah dibuat, ruang kerja Defender for Identity tidak dapat bergerak.
Merencanakan dan menyiapkan
Gunakan langkah-langkah berikut untuk mempersiapkan penyebaran Defender for Identity:
Pastikan Anda memiliki semua prasyarat yang diperlukan.
Rencanakan kapasitas Defender for Identity Anda.
Tip
Sebaiknya jalankan skrip Test-MdiReadiness.ps1 untuk menguji dan melihat apakah lingkungan Anda memiliki prasyarat yang diperlukan.
Tautan ke skrip Test-MdiReadiness.ps1 juga tersedia dari Microsoft Defender XDR, pada halaman Alat Identitas > (Pratinjau).
Menyebarkan Defender untuk Identitas
Setelah menyiapkan sistem, gunakan langkah-langkah berikut untuk menyebarkan Defender for Identity:
- Verifikasi konektivitas ke layanan Defender for Identity.
- Unduh sensor Defender for Identity.
- Instal sensor Defender for Identity.
- Konfigurasikan sensor Defender for Identity untuk mulai menerima data.
Konfigurasi pascapenyebaran
Prosedur berikut membantu Anda menyelesaikan proses penyebaran:
Mengonfigurasi kumpulan peristiwa Windows. Untuk informasi selengkapnya, lihat Kumpulan peristiwa dengan Microsoft Defender untuk Identitas dan Mengonfigurasi kebijakan audit untuk log peristiwa Windows.
Mengaktifkan dan mengonfigurasi kontrol akses berbasis peran terpadu (RBAC) untuk Defender for Identity.
Konfigurasikan akun Layanan Direktori (DSA) untuk digunakan dengan Defender for Identity. Meskipun DSA bersifat opsional dalam beberapa skenario, kami sarankan Anda mengonfigurasi DSA untuk Defender for Identity untuk cakupan keamanan penuh. Misalnya, ketika Anda memiliki DSA yang dikonfigurasi, DSA digunakan untuk menyambungkan ke pengontrol domain saat startup. DSA juga dapat digunakan untuk mengkueri pengendali domain untuk data pada entitas yang terlihat dalam lalu lintas jaringan, peristiwa yang dipantau, dan aktivitas ETW yang dipantau
Konfigurasikan panggilan jarak jauh ke SAM sesuai kebutuhan. Meskipun langkah ini bersifat opsional, kami sarankan Anda mengonfigurasi panggilan jarak jauh ke SAM-R untuk deteksi jalur gerakan lateral dengan Defender untuk Identitas.
Tip
Secara default, sensor Defender for Identity mengkueri direktori menggunakan LDAP pada port 389 dan 3268. Untuk beralih ke LDAPS pada port 636 dan 3269, buka kasus dukungan. Untuk informasi selengkapnya, lihat dukungan Microsoft Defender untuk Identitas.
Penting
Menginstal sensor Defender for Identity pada server AD FS/ AD CS dan Entra Connect memerlukan langkah tambahan. Untuk informasi selengkapnya, lihat Mengonfigurasi sensor untuk Layanan Federasi Direktori Aktif, AD CS, dan Entra Connect.