Pilot og distribuer Microsoft Defender for identitet
Gjelder for:
- Microsoft Defender XDR
Denne artikkelen inneholder en arbeidsflyt for pilotering og distribusjon av Microsoft Defender for identitet i organisasjonen. Du kan bruke disse anbefalingene til å om borde Microsoft Defender for identitet som et individuelt cybersikkerhetsverktøy eller som en del av en ende-til-ende-løsning med Microsoft Defender XDR.
Denne artikkelen antar at du har en Microsoft 365-leier i produksjon og piloterer og distribuerer Microsoft Defender for identitet i dette miljøet. Denne øvelsen opprettholder alle innstillinger og tilpassinger du konfigurerer under prøveprogrammet for fullstendig distribusjon.
Defender for Office 365 bidrar til en Zero Trust-arkitektur ved å bidra til å forhindre eller redusere forretningsskader fra et brudd. Hvis du vil ha mer informasjon, kan du se Forhindre eller redusere forretningsskader fra et forretningsscenario for brudd i implementeringsrammeverket for Microsoft Zero Trust.
Ende-til-ende-distribusjon for Microsoft Defender XDR
Dette er artikkel 2 av 6 i en serie som hjelper deg med å distribuere komponentene i Microsoft Defender XDR, inkludert å undersøke og svare på hendelser.
Artiklene i denne serien tilsvarer følgende faser av ende-til-ende-distribusjon:
Fase | Lenke |
---|---|
En. Start prøveprosjektet | Start prøveprosjektet |
B. Pilot og distribuer Microsoft Defender XDR-komponenter | - Pilot og distribuer Defender for identitet (denne artikkelen) - Pilot og distribuer Defender for Office 365 - Pilot og distribuer Defender for endepunkt - Pilot og distribuer Microsoft Defender for Skyapper |
C. Undersøke og svare på trusler | Øv på hendelsesundersøkelse og respons |
Pilot og distribuer arbeidsflyt for Defender for Identity
Diagrammet nedenfor illustrerer en vanlig prosess for å distribuere et produkt eller en tjeneste i et IT-miljø.
Du starter med å evaluere produktet eller tjenesten og hvordan det vil fungere i organisasjonen. Deretter tester du produktet eller tjenesten med et passende lite delsett av produksjonsinfrastrukturen for testing, læring og tilpassing. Deretter øker du distribusjonsomfanget gradvis til hele infrastrukturen eller organisasjonen er dekket.
Her er arbeidsflyten for pilotering og distribusjon av Defender for Identitet i produksjonsmiljøet.
Følg disse trinnene:
- Konfigurer defender for identitetsforekomsten
- Installer og konfigurer sensorer
- Konfigurer hendelseslogg og proxy-innstillinger på maskiner med sensoren
- Tillat at Defender for identitet identifiserer lokale administratorer på andre datamaskiner
- Konfigurer referanseanbefalinger for identitetsmiljøet
- Prøv funksjoner
Her er de anbefalte trinnene for hver distribusjonsfase.
Distribusjonstrinn | Beskrivelse |
---|---|
Vurdere | Utfør produktevaluering for Defender for Identity. |
Pilot | Utfør trinn 1–6 for et egnet delsett av servere med sensorer i produksjonsmiljøet. |
Full distribusjon | Utfør trinn 2-5 for de gjenværende serverne, og utvid utover prøveversjonen for å inkludere alle. |
Beskytte organisasjonen mot hackere
Defender for Identity gir kraftig beskyttelse på egen hånd. Men når du kombinerer med de andre egenskapene til Microsoft Defender XDR, gir Defender for Identity data i de delte signalene som sammen bidrar til å stoppe angrep.
Her er et eksempel på et cyberangrep og hvordan komponentene i Microsoft Defender XDR bidrar til å oppdage og redusere den.
Defender for Identity samler inn signaler fra Active Directory Domain Services (AD DS)-domenekontrollere og servere som kjører Active Directory Federation Services (AD FS) og Active Directory Certificate Services (AD CS). Den bruker disse signalene til å beskytte hybrididentitetsmiljøet ditt, inkludert beskyttelse mot hackere som bruker kompromitterte kontoer til å bevege seg sidelengs på tvers av arbeidsstasjoner i det lokale miljøet.
Microsoft Defender XDR korrelerer signalene fra alle Microsoft Defender-komponentene for å gi hele angrepshistorien.
Defender for identitetsarkitektur
Microsoft Defender for identitet er fullstendig integrert med Microsoft Defender XDR og drar nytte av signaler fra lokale Active Directory-identiteter for å hjelpe deg med å identifisere, oppdage og undersøke avanserte trusler rettet mot organisasjonen.
Distribuer Microsoft Defender for identitet for å hjelpe Sikkerhetsoperasjoner (SecOps)-teamene med å levere en moderne itdr-løsning (identity threat detection and response) på tvers av hybridmiljøer, inkludert:
- Forhindre brudd, ved hjelp av proaktive vurderinger av identitetssikkerhet
- Oppdage trusler ved hjelp av sanntidsanalyse og dataintelligens
- Undersøke mistenkelige aktiviteter ved hjelp av tydelig, handlingsbar hendelsesinformasjon
- Svar på angrep, ved hjelp av automatisk respons på kompromitterte identiteter. Hvis du vil ha mer informasjon, kan du se Hva er Microsoft Defender for identitet?
Defender for Identity beskytter dine lokale AD DS-brukerkontoer og brukerkontoer synkronisert med Microsoft Entra ID-leieren. Hvis du vil beskytte et miljø som bare består av Microsoft Entra-brukerkontoer, kan du se Microsoft Entra ID Protection.
Diagrammet nedenfor illustrerer arkitekturen for Defender for Identity.
I denne illustrasjonen:
- Sensorer installert på AD DS-domenekontrollere og AD CS-servere analyserer logger og nettverkstrafikk og sender dem til Microsoft Defender for identitet for analyse og rapportering.
- Sensorer kan også analysere AD FS-godkjenninger for tredjeparts identitetsleverandører og når Microsoft Entra ID er konfigurert til å bruke organisasjonsbasert godkjenning (de stiplede linjene i illustrasjonen).
- Microsoft Defender for Identity deler signaler til Microsoft Defender XDR.
Defender for Identity-sensorer kan installeres direkte på følgende servere:
AD DS-domenekontrollere
Sensoren overvåker domenekontrollertrafikken direkte, uten behov for en dedikert server eller konfigurasjonen av portspeiling.
AD CS-servere
AD FS-servere
Sensoren overvåker direkte nettverkstrafikk og godkjenningshendelser.
Hvis du vil se nærmere på arkitekturen til Defender for Identity, kan du se Microsoft Defender for identitetsarkitektur.
Trinn 1: Konfigurere Forekomsten defender for identitet
Defender for Identity krever først noe nødvendig arbeid for å sikre at de lokale identitets- og nettverkskomponentene oppfyller minimumskravene. Bruk artikkelen om forutsetninger for Microsoft Defender for identitet som en sjekkliste for å sikre at miljøet er klart.
Deretter logger du på Defender for Identity-portalen for å opprette forekomsten, og deretter kobler du denne forekomsten til Active Directory-miljøet.
Trinn | Beskrivelse | Mer informasjon |
---|---|---|
1 | Opprett defender for identitetsforekomsten | Hurtigstart: Opprett Microsoft Defender for identitetsforekomst |
2 | Koble Defender for Identity-forekomsten til Active Directory-skogen | Hurtigstart: Koble til Active Directory-skogen |
Trinn 2: Installere og konfigurere sensorer
Deretter laster du ned, installerer og konfigurerer Defender for Identity-sensoren på domenekontrollerne, AD FS- og AD CS-serverne i det lokale miljøet.
Trinn | Beskrivelse | Mer informasjon |
---|---|---|
1 | Finn ut hvor mange Microsoft Defender for identitetssensorer du trenger. | Planlegge kapasitet for Microsoft Defender for identitet |
2 | Last ned konfigurasjonspakken for sensor | Hurtigstart: Last ned konfigurasjonspakken for Microsoft Defender for identitetssensor |
3 | Installer Defender for Identity-sensoren | Hurtigstart: Installer Sensor for Microsoft Defender for identitet |
4 | Konfigurer sensoren | Konfigurer Innstillinger for Microsoft Defender for identitetssensor |
Trinn 3: Konfigurere hendelseslogg og proxy-innstillinger på maskiner med sensoren
På maskinene du installerte sensoren på, konfigurerer du Windows-hendelseslogginnsamling og Internett-proxy-innstillinger for å aktivere og forbedre gjenkjenningsfunksjonene.
Trinn | Beskrivelse | Mer informasjon |
---|---|---|
1 | Konfigurer Windows-hendelsesloggsamling | Konfigurer Windows Event-samling |
2 | Konfigurer innstillinger for Internett-proxy | Konfigurer proxy- og Internett-tilkoblingsinnstillinger for Microsoft Defender for identitetssensor |
Trinn 4: Tillat Defender for identitet å identifisere lokale administratorer på andre datamaskiner
Microsoft Defender for identity lateral movement path detection relies on queries that identify local admins on specific machines. Disse spørringene utføres med SAM-R-protokollen ved hjelp av Defender for Identity Service-kontoen.
For å sikre at Windows-klienter og -servere tillater at Defender for Identity-kontoen utfører SAM-R, må det gjøres en endring i gruppepolicyen for å legge til Defender for Identity-tjenestekontoen i tillegg til de konfigurerte kontoene som er oppført i policyen for nettverkstilgang. Pass på å bruke gruppepolicyer på alle datamaskiner unntatt domenekontrollere.
Hvis du vil ha instruksjoner om hvordan du gjør dette, kan du se Konfigurere Microsoft Defender for identitet til å foreta eksterne anrop til SAM.
Trinn 5: Konfigurer referanseanbefalinger for identitetsmiljøet ditt
Microsoft tilbyr anbefalinger for sikkerhetsreferanseverdi for kunder som bruker Microsoft Cloud-tjenester. Azure Security Benchmark (ASB) gir beskrivende anbefalte fremgangsmåter og anbefalinger for å bidra til å forbedre sikkerheten til arbeidsbelastninger, data og tjenester på Azure.
Implementering av disse anbefalingene kan ta litt tid å planlegge og implementere. Selv om disse anbefalingene øker sikkerheten i identitetsmiljøet, bør de ikke hindre deg i å fortsette å evaluere og implementere Microsoft Defender for identitet. Disse anbefalingene er gitt her for din bevissthet.
Trinn 6: Prøv ut funksjoner
Dokumentasjonen for Defender for identitet inneholder følgende veiledninger som går gjennom prosessen med å identifisere og utbedre ulike angrepstyper:
- Rekognoseringsvarsler
- Kompromitterte legitimasjonsvarsler
- Varsler om sidebevegelse
- Domenedominansvarsler
- Exfiltration-varsler
- Undersøke en bruker
- Undersøke en datamaskin
- Undersøk sideflyttingsbaner
- Undersøk enheter
SIEM-integrering
Du kan integrere Defender for identity med Microsoft Sentinel eller en generell sikkerhetsinformasjons- og hendelsesbehandlingstjeneste (SIEM) for å aktivere sentralisert overvåking av varsler og aktiviteter fra tilkoblede apper. Med Microsoft Sentinel kan du mer omfattende analysere sikkerhetshendelser på tvers av organisasjonen og bygge strategibøker for effektiv og umiddelbar respons.
Microsoft Sentinel inkluderer en Defender for Identity-kobling. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for Identity Connector for Microsoft Sentinel.
Hvis du vil ha informasjon om integrering med tredjeparts SIEM-systemer, kan du se Generell SIEM-integrasjon.
Neste trinn:
Inkorporer følgende i SecOps-prosessene:
Neste trinn for ende-til-ende-distribusjonen av Microsoft Defender XDR
Fortsett ende-til-ende-distribusjonen av Microsoft Defender XDR med Pilot og distribuer Defender for Office 365.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.