Attivare le funzionalità di Microsoft Defender per identità direttamente in un controller di dominio

Articolo
08/13/2024

Microsoft Defender per endpoint i clienti che hanno già eseguito l'onboarding dei controller di dominio in Defender per endpoint possono attivare Microsoft Defender per identità funzionalità direttamente in un controller di dominio anziché usare un Microsoft Defender per identità sensore.

Questo articolo descrive come attivare e testare le funzionalità di Microsoft Defender per identità nel controller di dominio.

Importante

Le informazioni contenute in questo articolo sono correlate a una funzionalità attualmente in disponibilità limitata per un set selezionato di casi d'uso. Se non si è stati indirizzati all'uso della pagina Attivazione di Defender per identità, usare invece la guida alla distribuzione principale.

Prerequisiti

Prima di attivare le funzionalità di Defender per identità nel controller di dominio, assicurarsi che l'ambiente sia conforme ai prerequisiti in questa sezione.

Conflitti tra i sensori di Defender per identità

La configurazione descritta in questo articolo non supporta l'installazione side-by-side con un sensore di Defender per identità esistente e non è consigliata come sostituzione del sensore Defender per identità.

Assicurarsi che il controller di dominio in cui si prevede di attivare le funzionalità di Defender per identità non abbia un sensore defender per identità distribuito.

Requisiti di sistema

Le funzionalità di Direct Defender per identità sono supportate solo nei controller di dominio, usando uno dei sistemi operativi seguenti:

Windows Server 2019
Windows Server 2022

È necessario avere installato anche l'aggiornamento cumulativo di marzo 2024.

Importante

Dopo aver installato l'aggiornamento cumulativo di marzo 2024, LSASS potrebbe riscontrare una perdita di memoria nei controller di dominio quando i controller locali e basati sul cloud Dominio di Active Directory servizio richieste di autenticazione Kerberos.

Questo problema viene risolto nel KB5037422 di aggiornamento fuori banda.

Onboarding di Defender per endpoint

È necessario eseguire l'onboarding del controller di dominio in Microsoft Defender per endpoint.

Per altre informazioni, vedere Onboarding di un server Windows.

Autorizzazioni necessarie

Per accedere alla pagina Attivazione di Defender per identità, è necessario essere un amministratore della sicurezza o disporre delle autorizzazioni controllo degli accessi in base al ruolo unificate seguenti:

Authorization and settings / System settings (Read and manage)
Authorization and settings / Security setting (All permissions)

Per altre informazioni, vedi:

Requisiti di connettività

Le funzionalità di Defender per identità direttamente nei controller di dominio usano gli endpoint url di Defender per endpoint per la comunicazione, inclusi gli URL semplificati.

Per altre informazioni, vedere Configurare l'ambiente di rete per garantire la connettività con Defender per endpoint.

Configurare il controllo di Windows

I rilevamenti di Defender per identità si basano su voci specifiche del registro eventi di Windows per migliorare i rilevamenti e fornire informazioni aggiuntive sugli utenti che eseguono azioni specifiche, ad esempio accessi NTLM e modifiche ai gruppi di sicurezza.

Configurare la raccolta di eventi di Windows nel controller di dominio per supportare i rilevamenti di Defender per identità. Per altre informazioni, vedere Raccolta di eventi con Microsoft Defender per identità e Configurare i criteri di controllo per i registri eventi di Windows.

È possibile usare il modulo PowerShell defender per identità per configurare le impostazioni necessarie. Per altre informazioni, vedi:

Ad esempio, il comando seguente definisce tutte le impostazioni per il dominio, crea oggetti Criteri di gruppo e li collega.

Set-MDIConfiguration -Mode Domain -Configuration All

Attivare le funzionalità di Defender per identità

Dopo aver verificato che l'ambiente sia completamente configurato, attivare le funzionalità di Microsoft Defender per identità nel controller di dominio.

Nel portale di Defender selezionare Impostazioni > Attivazione >identità.

Nella pagina Attivazione sono elencati i controller di dominio rilevati e idonei.
Selezionare il controller di dominio in cui si desidera attivare le funzionalità di Defender per identità e quindi selezionare Attiva. Confermare la selezione quando richiesto.

Al termine dell'attivazione, viene visualizzato un banner verde di operazione riuscita. Nel banner selezionare Fare clic qui per visualizzare i server di cui è stato eseguito l'onboarding per passare alla pagina Impostazioni > Sensori identità>, in cui è possibile controllare l'integrità del sensore.

Testare le funzionalità attivate

La prima volta che si attivano le funzionalità di Defender per identità nel controller di dominio, potrebbe essere necessario fino a un'ora prima che il primo sensore venga visualizzato come In esecuzione nella pagina Sensori . Le attivazioni successive vengono visualizzate entro cinque minuti.

Le funzionalità di Defender per identità nei controller di dominio supportano attualmente le funzionalità di Defender per identità seguenti:

Funzionalità di indagine nel dashboard ITDR, nell'inventario delle identità e nei dati di ricerca avanzata delle identità
Raccomandazioni per il comportamento di sicurezza specificato
Rilevamenti di avvisi specificati
Azioni correttive
Interruzione automatica degli attacchi

Usare le procedure seguenti per testare l'ambiente per le funzionalità di Defender per identità in un controller di dominio.

Controllare il dashboard ITDR

Nel portale di Defender selezionare Dashboard identità > ed esaminare i dettagli visualizzati, verificando i risultati previsti dall'ambiente.

Per altre informazioni, vedere Usare il dashboard ITDR di Defender per identità (anteprima).

Confermare i dettagli della pagina dell'entità

Verificare che le entità, ad esempio controller di dominio, utenti e gruppi, vengano popolate come previsto.

Nel portale di Defender verificare i dettagli seguenti:

Entità dispositivo: selezionare Asset > Dispositivi e selezionare il computer per il nuovo sensore. Gli eventi di Defender per identità vengono visualizzati nella sequenza temporale del dispositivo.
Entità utente. Selezionare Asset > Utenti e verificare la presenza di utenti da un nuovo dominio di cui è stato eseguito l'onboarding. In alternativa, usare l'opzione di ricerca globale per cercare utenti specifici. Le pagine dei dettagli utente devono includere Panoramica, Osservata nell'organizzazione e Dati sequenza temporale.
Entità di gruppo: usare la ricerca globale per trovare un gruppo di utenti o un pivot da un utente o da una pagina dei dettagli del dispositivo in cui vengono visualizzati i dettagli del gruppo. Controllare i dettagli dell'appartenenza ai gruppi, visualizzare gli utenti del gruppo e i dati della sequenza temporale del gruppo.

Se nella sequenza temporale del gruppo non vengono trovati dati di evento, potrebbe essere necessario crearne alcuni manualmente. Ad esempio, eseguire questa operazione aggiungendo e rimuovendo gli utenti dal gruppo in Active Directory.

Per altre informazioni, vedere Analizzare gli asset.

Testare le tabelle di ricerca avanzata

Nella pagina Ricerca avanzata del portale di Defender usare le query di esempio seguenti per verificare che i dati siano visualizzati nelle tabelle pertinenti come previsto per l'ambiente:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Per altre informazioni, vedere Ricerca avanzata nel portale di Microsoft Defender.

Testare le raccomandazioni ispm (Identity Security Posture Management)

Le funzionalità di Defender per identità nei controller di dominio supportano le valutazioni ISPM seguenti:

Installare Defender per il sensore di identità in tutti i controller di dominio
Utilizzo di Microsoft LAPS
Risolvere le configurazioni di dominio non sicure
Impostare un account honeytoken
Attributi dell'account non sicuri
Attributi cronologia SID non sicuri

È consigliabile simulare il comportamento rischioso in un ambiente di test per attivare valutazioni supportate e verificare che siano visualizzate come previsto. Ad esempio:

Attivare una nuova raccomandazione Risolvere le configurazioni di dominio non protette impostando la configurazione di Active Directory su uno stato non conforme e quindi restituendola a uno stato conforme. Ad esempio, eseguire i comandi seguenti:

Per impostare uno stato non conforme
```
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
```
Per restituirlo a uno stato conforme:
```
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
```
Per controllare la configurazione locale:
```
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
```
In Microsoft Secure Score selezionare Azioni consigliate per verificare la presenza di una nuova raccomandazione Risolvere le configurazioni di dominio non sicure. È possibile filtrare le raccomandazioni in base al prodotto Defender per identità .

Per altre informazioni, vedere valutazioni del comportamento di sicurezza di Microsoft Defender per identità

Testare la funzionalità degli avvisi

Gli avvisi seguenti sono supportati dalle funzionalità di Defender per identità nei controller di dominio:

Testare la funzionalità degli avvisi simulando l'attività rischiosa in un ambiente di test. Ad esempio:

Contrassegnare un account come account honeytoken e quindi provare ad accedere all'account honeytoken sul controller di dominio attivato.
Creare un servizio sospetto nel controller di dominio.
Eseguire un comando remoto nel controller di dominio come amministratore connesso dalla workstation.

Per altre informazioni, vedere Analizzare gli avvisi di sicurezza di Defender per identità in Microsoft Defender XDR.

Testare le azioni correttive

Testare le azioni di correzione su un utente di test. Ad esempio:

Nel portale di Defender passare alla pagina dei dettagli dell'utente per un utente di test.
Dal menu delle opzioni selezionare una o tutte le opzioni seguenti, una alla volta:
- Disabilitare l'utente in AD
- Abilitare l'utente in AD
- Forzare la reimpostazione della password
Controllare Active Directory per l'attività prevista.

Nota

La versione corrente non raccoglie correttamente i flag controllo dell'account utente. Gli utenti disabilitati verranno quindi visualizzati come Abilitato nel portale.

Per altre informazioni, vedere Azioni correttive in Microsoft Defender per identità.

Disattivare le funzionalità di Defender per identità nel controller di dominio

Per disattivare le funzionalità di Defender per identità nel controller di dominio, eliminarle dalla pagina Sensori :

Nel portale di Defender selezionare Impostazioni > Identità > Sensori.
Selezionare il controller di dominio in cui si desidera disattivare le funzionalità di Defender per identità, selezionare Elimina e confermare la selezione.

La disattivazione delle funzionalità di Defender per identità dal controller di dominio non rimuove il controller di dominio da Defender per endpoint. Per altre informazioni, vedere la documentazione di Defender per endpoint.

Passaggi successivi

Per altre informazioni, vedere Gestire e aggiornare i sensori Microsoft Defender per identità.

Condividi tramite