Del via


Pilot og distribuer Microsoft Defender for identitet

Gjelder for:

  • Microsoft Defender XDR

Denne artikkelen inneholder en arbeidsflyt for pilotering og distribusjon av Microsoft Defender for identitet i organisasjonen. Du kan bruke disse anbefalingene til å om borde Microsoft Defender for identitet som et individuelt cybersikkerhetsverktøy eller som en del av en ende-til-ende-løsning med Microsoft Defender XDR.

Denne artikkelen antar at du har en Microsoft 365-leier i produksjon og piloterer og distribuerer Microsoft Defender for identitet i dette miljøet. Denne øvelsen opprettholder alle innstillinger og tilpassinger du konfigurerer under prøveprogrammet for fullstendig distribusjon.

Defender for Office 365 bidrar til en Zero Trust-arkitektur ved å bidra til å forhindre eller redusere forretningsskader fra et brudd. Hvis du vil ha mer informasjon, kan du se Forhindre eller redusere forretningsskader fra et forretningsscenario for brudd i implementeringsrammeverket for Microsoft Zero Trust.

Ende-til-ende-distribusjon for Microsoft Defender XDR

Dette er artikkel 2 av 6 i en serie som hjelper deg med å distribuere komponentene i Microsoft Defender XDR, inkludert å undersøke og svare på hendelser.

Et diagram som viser Microsoft Defender for identity i prøveprosjektet og distribuerer Microsoft Defender XDR-prosessen.

Artiklene i denne serien tilsvarer følgende faser av ende-til-ende-distribusjon:

Fase Lenke
En. Start prøveprosjektet Start prøveprosjektet
B. Pilot og distribuer Microsoft Defender XDR-komponenter - Pilot og distribuer Defender for identitet (denne artikkelen)

- Pilot og distribuer Defender for Office 365

- Pilot og distribuer Defender for endepunkt

- Pilot og distribuer Microsoft Defender for Skyapper
C. Undersøke og svare på trusler Øv på hendelsesundersøkelse og respons

Pilot og distribuer arbeidsflyt for Defender for Identity

Diagrammet nedenfor illustrerer en vanlig prosess for å distribuere et produkt eller en tjeneste i et IT-miljø.

Diagram over testfasene, evaluer og fullstendig implementering av distribusjon.

Du starter med å evaluere produktet eller tjenesten og hvordan det vil fungere i organisasjonen. Deretter tester du produktet eller tjenesten med et passende lite delsett av produksjonsinfrastrukturen for testing, læring og tilpassing. Deretter øker du distribusjonsomfanget gradvis til hele infrastrukturen eller organisasjonen er dekket.

Her er arbeidsflyten for pilotering og distribusjon av Defender for Identitet i produksjonsmiljøet.

Et diagram som viser trinnene for å prøve ut og distribuere Microsoft Defender for identitet.

Følg disse trinnene:

  1. Konfigurer defender for identitetsforekomsten
  2. Installer og konfigurer sensorer
  3. Konfigurer hendelseslogg og proxy-innstillinger på maskiner med sensoren
  4. Tillat at Defender for identitet identifiserer lokale administratorer på andre datamaskiner
  5. Konfigurer referanseanbefalinger for identitetsmiljøet
  6. Prøv funksjoner

Her er de anbefalte trinnene for hver distribusjonsfase.

Distribusjonstrinn Beskrivelse
Vurdere Utfør produktevaluering for Defender for Identity.
Pilot Utfør trinn 1–6 for et egnet delsett av servere med sensorer i produksjonsmiljøet.
Full distribusjon Utfør trinn 2-5 for de gjenværende serverne, og utvid utover prøveversjonen for å inkludere alle.

Beskytte organisasjonen mot hackere

Defender for Identity gir kraftig beskyttelse på egen hånd. Men når du kombinerer med de andre egenskapene til Microsoft Defender XDR, gir Defender for Identity data i de delte signalene som sammen bidrar til å stoppe angrep.

Her er et eksempel på et cyberangrep og hvordan komponentene i Microsoft Defender XDR bidrar til å oppdage og redusere den.

Et diagram som viser hvordan Microsoft Defender XDR stopper en trusselkjede.

Defender for Identity samler inn signaler fra Active Directory Domain Services (AD DS)-domenekontrollere og servere som kjører Active Directory Federation Services (AD FS) og Active Directory Certificate Services (AD CS). Den bruker disse signalene til å beskytte hybrididentitetsmiljøet ditt, inkludert beskyttelse mot hackere som bruker kompromitterte kontoer til å bevege seg sidelengs på tvers av arbeidsstasjoner i det lokale miljøet.

Microsoft Defender XDR korrelerer signalene fra alle Microsoft Defender-komponentene for å gi hele angrepshistorien.

Defender for identitetsarkitektur

Microsoft Defender for identitet er fullstendig integrert med Microsoft Defender XDR og drar nytte av signaler fra lokale Active Directory-identiteter for å hjelpe deg med å identifisere, oppdage og undersøke avanserte trusler rettet mot organisasjonen.

Distribuer Microsoft Defender for identitet for å hjelpe Sikkerhetsoperasjoner (SecOps)-teamene med å levere en moderne itdr-løsning (identity threat detection and response) på tvers av hybridmiljøer, inkludert:

  • Forhindre brudd, ved hjelp av proaktive vurderinger av identitetssikkerhet
  • Oppdage trusler ved hjelp av sanntidsanalyse og dataintelligens
  • Undersøke mistenkelige aktiviteter ved hjelp av tydelig, handlingsbar hendelsesinformasjon
  • Svar på angrep, ved hjelp av automatisk respons på kompromitterte identiteter. Hvis du vil ha mer informasjon, kan du se Hva er Microsoft Defender for identitet?

Defender for Identity beskytter dine lokale AD DS-brukerkontoer og brukerkontoer synkronisert med Microsoft Entra ID-leieren. Hvis du vil beskytte et miljø som bare består av Microsoft Entra-brukerkontoer, kan du se Microsoft Entra ID Protection.

Diagrammet nedenfor illustrerer arkitekturen for Defender for Identity.

Et diagram som viser arkitekturen for Microsoft Defender for identitet.

I denne illustrasjonen:

  • Sensorer installert på AD DS-domenekontrollere og AD CS-servere analyserer logger og nettverkstrafikk og sender dem til Microsoft Defender for identitet for analyse og rapportering.
  • Sensorer kan også analysere AD FS-godkjenninger for tredjeparts identitetsleverandører og når Microsoft Entra ID er konfigurert til å bruke organisasjonsbasert godkjenning (de stiplede linjene i illustrasjonen).
  • Microsoft Defender for Identity deler signaler til Microsoft Defender XDR.

Defender for Identity-sensorer kan installeres direkte på følgende servere:

  • AD DS-domenekontrollere

    Sensoren overvåker domenekontrollertrafikken direkte, uten behov for en dedikert server eller konfigurasjonen av portspeiling.

  • AD CS-servere

  • AD FS-servere

    Sensoren overvåker direkte nettverkstrafikk og godkjenningshendelser.

Hvis du vil se nærmere på arkitekturen til Defender for Identity, kan du se Microsoft Defender for identitetsarkitektur.

Trinn 1: Konfigurere Forekomsten defender for identitet

Defender for Identity krever først noe nødvendig arbeid for å sikre at de lokale identitets- og nettverkskomponentene oppfyller minimumskravene. Bruk artikkelen om forutsetninger for Microsoft Defender for identitet som en sjekkliste for å sikre at miljøet er klart.

Deretter logger du på Defender for Identity-portalen for å opprette forekomsten, og deretter kobler du denne forekomsten til Active Directory-miljøet.

Trinn Beskrivelse Mer informasjon
1 Opprett defender for identitetsforekomsten Hurtigstart: Opprett Microsoft Defender for identitetsforekomst
2 Koble Defender for Identity-forekomsten til Active Directory-skogen Hurtigstart: Koble til Active Directory-skogen

Trinn 2: Installere og konfigurere sensorer

Deretter laster du ned, installerer og konfigurerer Defender for Identity-sensoren på domenekontrollerne, AD FS- og AD CS-serverne i det lokale miljøet.

Trinn Beskrivelse Mer informasjon
1 Finn ut hvor mange Microsoft Defender for identitetssensorer du trenger. Planlegge kapasitet for Microsoft Defender for identitet
2 Last ned konfigurasjonspakken for sensor Hurtigstart: Last ned konfigurasjonspakken for Microsoft Defender for identitetssensor
3 Installer Defender for Identity-sensoren Hurtigstart: Installer Sensor for Microsoft Defender for identitet
4 Konfigurer sensoren Konfigurer Innstillinger for Microsoft Defender for identitetssensor

Trinn 3: Konfigurere hendelseslogg og proxy-innstillinger på maskiner med sensoren

På maskinene du installerte sensoren på, konfigurerer du Windows-hendelseslogginnsamling og Internett-proxy-innstillinger for å aktivere og forbedre gjenkjenningsfunksjonene.

Trinn Beskrivelse Mer informasjon
1 Konfigurer Windows-hendelsesloggsamling Konfigurer Windows Event-samling
2 Konfigurer innstillinger for Internett-proxy Konfigurer proxy- og Internett-tilkoblingsinnstillinger for Microsoft Defender for identitetssensor

Trinn 4: Tillat Defender for identitet å identifisere lokale administratorer på andre datamaskiner

Microsoft Defender for identity lateral movement path detection relies on queries that identify local admins on specific machines. Disse spørringene utføres med SAM-R-protokollen ved hjelp av Defender for Identity Service-kontoen.

For å sikre at Windows-klienter og -servere tillater at Defender for Identity-kontoen utfører SAM-R, må det gjøres en endring i gruppepolicyen for å legge til Defender for Identity-tjenestekontoen i tillegg til de konfigurerte kontoene som er oppført i policyen for nettverkstilgang. Pass på å bruke gruppepolicyer på alle datamaskiner unntatt domenekontrollere.

Hvis du vil ha instruksjoner om hvordan du gjør dette, kan du se Konfigurere Microsoft Defender for identitet til å foreta eksterne anrop til SAM.

Trinn 5: Konfigurer referanseanbefalinger for identitetsmiljøet ditt

Microsoft tilbyr anbefalinger for sikkerhetsreferanseverdi for kunder som bruker Microsoft Cloud-tjenester. Azure Security Benchmark (ASB) gir beskrivende anbefalte fremgangsmåter og anbefalinger for å bidra til å forbedre sikkerheten til arbeidsbelastninger, data og tjenester på Azure.

Implementering av disse anbefalingene kan ta litt tid å planlegge og implementere. Selv om disse anbefalingene øker sikkerheten i identitetsmiljøet, bør de ikke hindre deg i å fortsette å evaluere og implementere Microsoft Defender for identitet. Disse anbefalingene er gitt her for din bevissthet.

Trinn 6: Prøv ut funksjoner

Dokumentasjonen for Defender for identitet inneholder følgende veiledninger som går gjennom prosessen med å identifisere og utbedre ulike angrepstyper:

SIEM-integrering

Du kan integrere Defender for identity med Microsoft Sentinel eller en generell sikkerhetsinformasjons- og hendelsesbehandlingstjeneste (SIEM) for å aktivere sentralisert overvåking av varsler og aktiviteter fra tilkoblede apper. Med Microsoft Sentinel kan du mer omfattende analysere sikkerhetshendelser på tvers av organisasjonen og bygge strategibøker for effektiv og umiddelbar respons.

Et diagram som viser arkitekturen for Microsoft Defender for identitet med SIEM-integrering.

Microsoft Sentinel inkluderer en Defender for Identity-kobling. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for Identity Connector for Microsoft Sentinel.

Hvis du vil ha informasjon om integrering med tredjeparts SIEM-systemer, kan du se Generell SIEM-integrasjon.

Neste trinn:

Inkorporer følgende i SecOps-prosessene:

Neste trinn for ende-til-ende-distribusjonen av Microsoft Defender XDR

Fortsett ende-til-ende-distribusjonen av Microsoft Defender XDR med Pilot og distribuer Defender for Office 365.

Et diagram som viser Microsoft Defender for Office 365 i prøveversjonen og distribuerer Microsoft Defender XDR-prosessen.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.