Se gjennom arkitekturkrav og viktige konsepter for Microsoft Defender for identitet
Gjelder for:
- Microsoft Defender XDR
Denne artikkelen er trinn 1 av 3 i prosessen med å konfigurere evalueringsmiljøet for Microsoft Defender for identitet. Hvis du vil ha mer informasjon om denne prosessen, kan du se oversiktsartikkelen.
Før du aktiverer Microsoft Defender for identitet, må du være sikker på at du forstår arkitekturen og oppfyller kravene.
Microsoft Defender for identitet bruker maskinlæring og atferdsanalyse til å identifisere angrep på tvers av det lokale nettverket sammen med å oppdage og proaktivt forhindre brukerpåloggingsrisiko forbundet med skyidentiteter. Hvis du vil ha mer informasjon, kan du se Hva er Microsoft Defender for identitet?
Defender for identitet beskytter lokal Active Directory brukere og/eller brukere som er synkronisert til Microsoft Entra-ID-en. Hvis du vil beskytte et miljø som bare består av Microsoft Entra brukere, kan du se Microsoft Entra ID-beskyttelse.
Forstå arkitekturen
Diagrammet nedenfor illustrerer den opprinnelige arkitekturen for Defender for Identity.
I denne illustrasjonen:
- Sensorer installert på AD-domenekontrollere analyserer logger og nettverkstrafikk og sender dem til Microsoft Defender for identitet for analyse og rapportering.
- Sensorer kan også analysere Active Directory Federation Services (AD FS) når Microsoft Entra-ID er konfigurert til å bruke forbundsgodkjenning (prikket linje i illustrasjon).
- Microsoft Defender for identitet deler signaler til Microsoft Defender XDR for utvidet gjenkjenning og respons (XDR).
Defender for Identity-sensorer kan installeres direkte på følgende servere:
- Domenekontrollere: Sensoren overvåker direkte domenekontrollertrafikk, uten behov for en dedikert server, eller konfigurasjon av portspeiling.
- AD FS: Sensoren overvåker direkte nettverkstrafikk og godkjenningshendelser.
Hvis du vil se nærmere på arkitekturen til Defender for Identity, inkludert integrering med Defender for Cloud Apps, kan du se Microsoft Defender for identitet arkitektur.
Forstå viktige konsepter
Tabellen nedenfor identifiserte viktige konsepter som er viktige å forstå når du evaluerer, konfigurerer og distribuerer Microsoft Defender for identitet.
| Konseptet | Beskrivelse | Mer informasjon |
|---|---|---|
| Overvåkede aktiviteter | Defender for Identity overvåker signaler generert fra organisasjonen for å oppdage mistenkelig eller ondsinnet aktivitet, og hjelper deg med å fastslå gyldigheten av hver potensielle trussel, slik at du effektivt kan triage og svare. | Microsoft Defender for identitet overvåkede aktiviteter |
| Sikkerhetsvarsler | Defender for Identity-sikkerhetsvarsler forklarer mistenkelige aktiviteter som oppdages av sensorer på nettverket sammen med aktører og datamaskiner som er involvert i hver trussel. | Microsoft Defender for identitet sikkerhetsvarsler |
| Enhetsprofiler | Enhetsprofiler gir en omfattende omfattende undersøkelse av brukere, datamaskiner, enheter og ressurser sammen med tilgangsloggen. | Forstå enhetsprofiler |
| Laterale bevegelsesbaner | En viktig komponent i MDI-sikkerhetsinnsikt er å identifisere laterale bevegelsesbaner der en angriper bruker ikke-sensitive kontoer for å få tilgang til sensitive kontoer eller maskiner i hele nettverket. | Microsoft Defender for identitet laterale bevegelsesbaner (LMP-er) |
| Løsning på nettverksnavn | Network Name Resolution (NNR) er en komponent i MDI-funksjonalitet som fanger opp aktiviteter basert på nettverkstrafikk, Windows-hendelser, ETW osv. og korrelerer disse rådata til de relevante datamaskinene som er involvert i hver aktivitet. | Hva er nettverksnavnløsing? |
| Rapporter | Defender for Identity-rapporter lar deg planlegge eller umiddelbart generere og laste ned rapporter som gir informasjon om system- og enhetsstatus. Du kan opprette rapporter om systemtilstand, sikkerhetsvarsler og potensielle laterale bevegelsesbaner som oppdages i miljøet ditt. | Microsoft Defender for identitet-rapporter |
| Rollegrupper | Defender for Identity tilbyr rollebaserte grupper og delegert tilgang til å beskytte data i henhold til organisasjonens spesifikke sikkerhets- og samsvarsbehov, som inkluderer administratorer, brukere og seere. | Microsoft Defender for identitet rollegrupper |
| Administrasjonsportal | I tillegg til Microsoft Defender-portalen kan Defender for Identity-portalen brukes til å overvåke og svare på mistenkelig aktivitet. | Arbeide med Microsoft Defender for identitet-portalen |
| integrering av Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps integreres med Microsoft Defender for identitet for å gi brukerenhetsatferdsanalyse (UEBA) på tvers av et hybridmiljø – både skyapp og lokalt | integrering av Microsoft Defender for identitet |
Se gjennom forutsetninger
Defender for Identity krever noe nødvendig arbeid for å sikre at de lokale identitets- og nettverkskomponentene oppfyller minimumskravene. Bruk denne artikkelen som en sjekkliste for å sikre at miljøet er klart: Microsoft Defender for identitet forutsetninger.
Neste trinn
Trinn 2 av 3: Aktiver evalueringsmiljøet Defender for Identity
Gå tilbake til oversikten for Evaluer Microsoft Defender for identitet
Gå tilbake til oversikten for Evaluer og pilot Microsoft Defender XDR
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for