Pilot og distribuer Microsoft Defender for identitet
Gjelder for:
- Microsoft Defender XDR
Denne artikkelen inneholder en arbeidsflyt for utforming og distribusjon av Microsoft Defender for identitet i organisasjonen. Du kan bruke disse anbefalingene til å Microsoft Defender for identitet som et individuelt cybersikkerhetsverktøy eller som en del av en ende-til-ende-løsning med Microsoft Defender XDR.
Denne artikkelen forutsetter at du har en Microsoft 365-leier i produksjon og piloterer og distribuerer Microsoft Defender for identitet i dette miljøet. Denne øvelsen opprettholder alle innstillinger og tilpassinger du konfigurerer under prøveprogrammet for fullstendig distribusjon.
Defender for Office 365 bidrar til en nulltillit arkitektur ved å bidra til å forhindre eller redusere forretningsskader fra et brudd. Hvis du vil ha mer informasjon, kan du se Forhindre eller redusere forretningsskader fra et forretningsscenario for brudd i implementeringsrammeverket for Microsoft nulltillit.
Ende-til-ende-distribusjon for Microsoft Defender XDR
Dette er artikkel 2 av 6 i en serie som hjelper deg med å distribuere komponentene i Microsoft Defender XDR, inkludert å undersøke og svare på hendelser.
Artiklene i denne serien tilsvarer følgende faser av ende-til-ende-distribusjon:
| Fase | Lenke |
|---|---|
| En. Start prøveprosjektet | Start prøveprosjektet |
| B. Pilot og distribuer Microsoft Defender XDR komponenter |
-
Pilot og distribuer Defender for identitet (denne artikkelen) - Pilot og distribuer Defender for Office 365 - Pilot og distribuer Defender for endepunkt - Pilot og distribuer Microsoft Defender for Cloud Apps |
| C. Undersøke og svare på trusler | Øv på hendelsesundersøkelse og respons |
Pilot og distribuer arbeidsflyt for Defender for Identity
Diagrammet nedenfor illustrerer en vanlig prosess for å distribuere et produkt eller en tjeneste i et IT-miljø.
Du starter med å evaluere produktet eller tjenesten og hvordan det vil fungere i organisasjonen. Deretter tester du produktet eller tjenesten med et passende lite delsett av produksjonsinfrastrukturen for testing, læring og tilpassing. Deretter øker du distribusjonsomfanget gradvis til hele infrastrukturen eller organisasjonen er dekket.
Her er arbeidsflyten for pilotering og distribusjon av Defender for Identitet i produksjonsmiljøet.
Følg disse trinnene:
- Konfigurer defender for identitetsforekomsten
- Installer og konfigurer sensorer
- Konfigurer hendelseslogg og proxy-innstillinger på maskiner med sensoren
- Tillat at Defender for identitet identifiserer lokale administratorer på andre datamaskiner
- Konfigurer referanseanbefalinger for identitetsmiljøet
- Prøv funksjoner
Her er de anbefalte trinnene for hver distribusjonsfase.
| Distribusjonstrinn | Beskrivelse |
|---|---|
| Vurdere | Utfør produktevaluering for Defender for Identity. |
| Pilot | Utfør trinn 1–6 for et egnet delsett av servere med sensorer i produksjonsmiljøet. |
| Full distribusjon | Utfør trinn 2-5 for de gjenværende serverne, og utvid utover prøveversjonen for å inkludere alle. |
Beskytte organisasjonen mot hackere
Defender for Identity gir kraftig beskyttelse på egen hånd. Men når det kombineres med de andre egenskapene til Microsoft Defender XDR, gir Defender for Identity data i de delte signalene som sammen bidrar til å stoppe angrep.
Her er et eksempel på et cyberangrep og hvordan komponentene i Microsoft Defender XDR bidra til å oppdage og redusere det.
Defender for Identity samler inn signaler fra Active Directory Domain Services (AD DS)-domenekontrollere og servere som kjører Active Directory Federation Services (AD FS) og Active Directory Certificate Services (AD CS). Den bruker disse signalene til å beskytte hybrididentitetsmiljøet ditt, inkludert beskyttelse mot hackere som bruker kompromitterte kontoer til å bevege seg sidelengs på tvers av arbeidsstasjoner i det lokale miljøet.
Microsoft Defender XDR korrelerer signalene fra alle de Microsoft Defender komponentene for å gi hele angrepshistorien.
Defender for identitetsarkitektur
Microsoft Defender for identitet er fullstendig integrert med Microsoft Defender XDR og drar nytte av signaler fra lokal Active Directory identiteter for å hjelpe deg med å identifisere, oppdage og undersøke avanserte trusler rettet mot organisasjonen.
Distribuer Microsoft Defender for identitet for å hjelpe Security Operations (SecOps)-teamene med å levere en moderne ITDR-løsning (Identity Threat Detection and Response) på tvers av hybridmiljøer, inkludert:
- Forhindre brudd, ved hjelp av proaktive vurderinger av identitetssikkerhet
- Oppdage trusler ved hjelp av sanntidsanalyse og dataintelligens
- Undersøke mistenkelige aktiviteter ved hjelp av tydelig, handlingsbar hendelsesinformasjon
- Svar på angrep, ved hjelp av automatisk respons på kompromitterte identiteter. Hvis du vil ha mer informasjon, kan du se Hva er Microsoft Defender for identitet?
Defender for Identity beskytter dine lokale AD DS-brukerkontoer og brukerkontoer synkronisert til Microsoft Entra ID-leieren. Hvis du vil beskytte et miljø som bare består av Microsoft Entra brukerkontoer, kan du se Microsoft Entra ID-beskyttelse.
Diagrammet nedenfor illustrerer arkitekturen for Defender for Identity.
I denne illustrasjonen:
- Sensorer installert på AD DS-domenekontrollere og AD CS-servere analyserer logger og nettverkstrafikk og sender dem til Microsoft Defender for identitet for analyse og rapportering.
- Sensorer kan også analysere AD FS-godkjenninger for tredjeparts identitetsleverandører, og når Microsoft Entra ID er konfigurert til å bruke forbundsgodkjenning (de stiplede linjene i illustrasjonen).
- Microsoft Defender for identitet deler signaler til Microsoft Defender XDR.
Defender for Identity-sensorer kan installeres direkte på følgende servere:
AD DS-domenekontrollere
Sensoren overvåker domenekontrollertrafikken direkte, uten behov for en dedikert server eller konfigurasjonen av portspeiling.
AD CS-servere
AD FS-servere
Sensoren overvåker direkte nettverkstrafikk og godkjenningshendelser.
Hvis du vil se nærmere på arkitekturen til Defender for Identity, kan du se Microsoft Defender for identitet arkitektur.
Trinn 1: Konfigurere Forekomsten defender for identitet
Defender for Identity krever først noe nødvendig arbeid for å sikre at de lokale identitets- og nettverkskomponentene oppfyller minimumskravene. Bruk artikkelen Microsoft Defender for identitet forutsetninger som en sjekkliste for å sikre at miljøet er klart.
Deretter logger du på Defender for Identity-portalen for å opprette forekomsten, og deretter kobler du denne forekomsten til Active Directory-miljøet.
| Trinn | Beskrivelse | Mer informasjon |
|---|---|---|
| 1 | Opprett defender for identitetsforekomsten | Hurtigstart: Opprette Microsoft Defender for identitet-forekomsten |
| 2 | Koble Defender for Identity-forekomsten til Active Directory-skogen | Hurtigstart: Koble til Active Directory-skogen |
Trinn 2: Installere og konfigurere sensorer
Deretter laster du ned, installerer og konfigurerer Defender for Identity-sensoren på domenekontrollerne, AD FS- og AD CS-serverne i det lokale miljøet.
| Trinn | Beskrivelse | Mer informasjon |
|---|---|---|
| 1 | Finn ut hvor mange Microsoft Defender for identitet sensorer du trenger. | Planlegge kapasitet for Microsoft Defender for identitet |
| 2 | Last ned konfigurasjonspakken for sensor | Hurtigstart: Last ned konfigurasjonspakken for Microsoft Defender for identitet sensor |
| 3 | Installer Defender for Identity-sensoren | Hurtigstart: Installer sensoren for Microsoft Defender for identitet |
| 4 | Konfigurer sensoren | Konfigurer innstillinger for Microsoft Defender for identitet sensor |
Trinn 3: Konfigurere hendelseslogg og proxy-innstillinger på maskiner med sensoren
På maskinene du installerte sensoren på, konfigurerer du Windows-hendelseslogginnsamling og Internett-proxy-innstillinger for å aktivere og forbedre gjenkjenningsfunksjonene.
| Trinn | Beskrivelse | Mer informasjon |
|---|---|---|
| 1 | Konfigurer Windows-hendelsesloggsamling | Konfigurer Windows Event-samling |
| 2 | Konfigurer innstillinger for Internett-proxy | Konfigurer innstillinger for endepunktproxy og Internett-tilkobling for Microsoft Defender for identitet-sensoren |
Trinn 4: Tillat Defender for identitet å identifisere lokale administratorer på andre datamaskiner
Microsoft Defender for identitet lateral bevegelsesbaneregistrering er avhengig av spørringer som identifiserer lokale administratorer på bestemte maskiner. Disse spørringene utføres med SAM-R-protokollen ved hjelp av Defender for Identity Service-kontoen.
For å sikre at Windows-klienter og -servere tillater at Defender for Identity-kontoen utfører SAM-R, må det gjøres en endring i gruppepolicy for å legge til Defender for Identity-tjenestekontoen i tillegg til de konfigurerte kontoene som er oppført i policyen for nettverkstilgang. Pass på å bruke gruppepolicyer på alle datamaskiner unntatt domenekontrollere.
Hvis du vil ha instruksjoner om hvordan du gjør dette, kan du se Konfigurere Microsoft Defender for identitet for å foreta eksterne anrop til SAM.
Trinn 5: Konfigurer referanseanbefalinger for identitetsmiljøet ditt
Microsoft tilbyr anbefalinger for sikkerhetsreferanseverdi for kunder som bruker Microsoft Cloud-tjenester. Azure Security Benchmark (ASB) gir beskrivende anbefalte fremgangsmåter og anbefalinger for å bidra til å forbedre sikkerheten til arbeidsbelastninger, data og tjenester på Azure.
Implementering av disse anbefalingene kan ta litt tid å planlegge og implementere. Selv om disse anbefalingene øker sikkerheten i identitetsmiljøet, bør de ikke hindre deg i å fortsette å evaluere og implementere Microsoft Defender for identitet. Disse anbefalingene er gitt her for din bevissthet.
Trinn 6: Prøv ut funksjoner
Dokumentasjonen for Defender for identitet inneholder følgende veiledninger som går gjennom prosessen med å identifisere og utbedre ulike angrepstyper:
- Rekognoseringsvarsler
- Kompromitterte legitimasjonsvarsler
- Varsler om sidebevegelse
- Domenedominansvarsler
- Exfiltration-varsler
- Undersøke en bruker
- Undersøke en datamaskin
- Undersøk sideflyttingsbaner
- Undersøk enheter
SIEM-integrering
Du kan integrere Defender for Identity med Microsoft Sentinel eller en generell siem-tjeneste (security information and event management) for å aktivere sentralisert overvåking av varsler og aktiviteter fra tilkoblede apper. Med Microsoft Sentinel kan du mer omfattende analysere sikkerhetshendelser på tvers av organisasjonen og bygge strategibøker for effektiv og umiddelbar respons.
Microsoft Sentinel inkluderer en Defender for Identity-kobling. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet kobling for Microsoft Sentinel.
Hvis du vil ha informasjon om integrering med tredjeparts SIEM-systemer, kan du se Generell SIEM-integrasjon.
Neste trinn:
Inkorporer følgende i SecOps-prosessene:
Neste trinn for ende-til-ende-distribusjonen av Microsoft Defender XDR
Fortsett ende-til-ende-distribusjonen av Microsoft Defender XDR med Pilot og distribuer Defender for Office 365.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.