Distribuire Microsoft Defender per identità con Microsoft Defender XDR
Questo articolo offre una panoramica del processo di distribuzione completo per Microsoft Defender per identità, inclusi i passaggi per la preparazione, la distribuzione e i passaggi aggiuntivi per scenari specifici.
Defender per identità è un componente principale di una strategia Zero Trust e della distribuzione itDR (Identity Threat Detection and Response) o di rilevamento e risposta estesa (XDR) con Microsoft Defender XDR. Defender per identità usa segnali provenienti da server di infrastruttura di identità come controller di dominio, server AD FS/AD CS e Entra Connect per rilevare minacce come l'escalation dei privilegi o lo spostamento laterale ad alto rischio e segnala problemi di identità facilmente sfruttati, ad esempio la delega Kerberos non vincolata, per la correzione da parte del team di sicurezza.
Per un rapido set di evidenziazioni della distribuzione, vedere Guida all'installazione rapida.
Prerequisiti
Prima di iniziare, assicurarsi di avere accesso a Microsoft Defender XDR almeno come amministratore della sicurezza e di disporre di una delle licenze seguenti:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Sicurezza di Microsoft 365 E5/A5/G5/F5*
- Sicurezza e conformità di Microsoft 365 F5*
- Una licenza autonoma di Defender per identità
* Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 ed Enterprise Mobility + Security E3.
Acquisire le licenze direttamente tramite il portale di Microsoft 365 o usare il modello di licenza Cloud Solution Partner (CSP).
Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy e Che cosa sono i ruoli e le autorizzazioni di Defender per identità?
Iniziare a usare Microsoft Defender XDR
Questa sezione descrive come avviare l'onboarding in Defender per identità.
- Accedere al portale di Microsoft Defender.
- Dal menu di spostamento selezionare qualsiasi voce, ad esempio Eventi imprevisti e avvisi, Ricerca, Centro notifiche o Analisi delle minacce per avviare il processo di onboarding.
Verrà quindi fornita l'opzione per distribuire i servizi supportati, tra cui Microsoft Defender per identità. I componenti cloud necessari per Defender per identità vengono aggiunti automaticamente quando si apre la pagina delle impostazioni di Defender per identità.
Per altre informazioni, vedi:
- Microsoft Defender per identità in Microsoft Defender XDR
- Introduzione a Microsoft Defender XDR
- Attivare Microsoft Defender XDR
- Distribuire i servizi supportati
- Domande frequenti sull'attivazione di Microsoft Defender XDR
Importante
Attualmente, i data center defender per identità vengono distribuiti in Europa, Regno Unito, Svizzera, America del Nord/America centrale/Caraibi, Australia orientale, Asia e India. L'area di lavoro (istanza) viene creata automaticamente nell'area di Azure più vicina alla posizione geografica del tenant di Microsoft Entra. Dopo la creazione, le aree di lavoro di Defender per identità non sono rimovibili.
Pianificazione e preparazione
Seguire questa procedura per preparare la distribuzione di Defender per identità:
Assicurarsi di disporre di tutti i prerequisiti necessari.
Pianificare la capacità di Defender per identità.
Suggerimento
È consigliabile eseguire lo script Test-MdiReadiness.ps1 per testare e verificare se l'ambiente ha i prerequisiti necessari.
Il collegamento allo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).
Distribuire Defender per identità
Dopo aver preparato il sistema, seguire questa procedura per distribuire Defender per identità:
- Verificare la connettività al servizio Defender per identità.
- Scaricare il sensore Defender per identità.
- Installare il sensore Defender per identità.
- Configurare il sensore Defender per identità per avviare la ricezione dei dati.
Configurazione post-distribuzione
Le procedure seguenti consentono di completare il processo di distribuzione:
Configurare la raccolta di eventi di Windows. Per altre informazioni, vedere Raccolta di eventi con Microsoft Defender per identità e Configurare i criteri di controllo per i registri eventi di Windows.
Abilitare e configurare il controllo degli accessi in base al ruolo unificato per Defender per identità.
Configurare un account del servizio directory per l'uso con Defender per identità. Anche se un DSA è facoltativo in alcuni scenari, è consigliabile configurare un DSA per Defender per identità per la copertura completa della sicurezza. Ad esempio, quando è configurato un DSA, il DSA viene usato per connettersi al controller di dominio all'avvio. Un DSA può essere usato anche per eseguire query sul controller di dominio per i dati sulle entità visualizzate nel traffico di rete, negli eventi monitorati e nelle attività ETW monitorate
Configurare le chiamate remote a SAM in base alle esigenze. Anche se questo passaggio è facoltativo, è consigliabile configurare le chiamate remote a SAM-R per il rilevamento del percorso di spostamento laterale con Defender per identità.
Suggerimento
Per impostazione predefinita, i sensori defender per identità eseguono query sulla directory usando LDAP sulle porte 389 e 3268. Per passare a LDAPS sulle porte 636 e 3269, aprire un caso di supporto. Per altre informazioni, vedere Microsoft Defender per identità supporto.
Importante
L'installazione di un sensore Defender per identità in un server AD FS/AD CS e Entra Connect richiede passaggi aggiuntivi. Per altre informazioni, vedere Configurazione dei sensori per AD FS, AD CS e Entra Connect.