Microsoft Defender for Identity implementeren met Microsoft Defender XDR

Dit artikel bevat een overzicht van het volledige implementatieproces voor Microsoft Defender for Identity, inclusief stappen voor voorbereiding, implementatie en extra stappen voor specifieke scenario's.

Defender for Identity is een primair onderdeel van een Zero Trust-strategie en uw ITDR-implementatie (Identity Threat Detection and Response) of XDR-implementatie (Extended Detection and Response) met Microsoft Defender XDR. Defender for Identity gebruikt signalen van uw Identity Infrastructure-servers zoals domeincontrollers, AD FS/AD CS- en Entra Connect-servers om bedreigingen te detecteren, zoals escalatie van bevoegdheden of laterale bewegingen met een hoog risico, en rapporteert over eenvoudig misbruikte identiteitsproblemen, zoals niet-getrainde Kerberos-delegatie, voor correctie door het beveiligingsteam.

Zie de handleiding Snelle installatie voor een snelle set implementatie-hoogtepunten.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u ten minste als beveiligingsbeheerder toegang hebt tot Microsoft Defender XDR en dat u een van de volgende licenties hebt:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5-beveiliging*
• Microsoft 365 F5 Security + Compliance*
• Een zelfstandige Defender for Identity-licentie

* Voor beide F5-licenties is Microsoft 365 F1/F3 of Office 365 F3 en Enterprise Mobility + Security E3 vereist.

Koop licenties rechtstreeks via de Microsoft 365-portal of gebruik het CSP-licentiemodel (Cloud Solution Partner).

Zie Veelgestelde vragen over licenties en privacy en wat zijn Defender for Identity-rollen en -machtigingen voor meer informatie?

Microsoft Defender XDR gebruiken

In deze sectie wordt beschreven hoe u begint met onboarden bij Defender for Identity.

1. Meld u aan bij de Microsoft Defender-portal.
2. Selecteer in het navigatiemenu een item, zoals Incidenten en waarschuwingen, Opsporing, Actiecentrum of Bedreigingsanalyse om het onboardingproces te starten.

Vervolgens krijgt u de mogelijkheid om ondersteunde services te implementeren, waaronder Microsoft Defender for Identity. Cloudonderdelen die vereist zijn voor Defender for Identity worden automatisch toegevoegd wanneer u de pagina Defender for Identity-instellingen opent.

Zie voor meer informatie:

• Microsoft Defender for Identity in Microsoft Defender XDR
• Aan de slag met Microsoft Defender XDR
• Microsoft Defender XDR inschakelen
• Ondersteunde services implementeren
• Veelgestelde vragen bij het inschakelen van Microsoft Defender XDR

Belangrijk

Momenteel worden Defender for Identity-datacenters geïmplementeerd in Europa, VK, Zwitserland, Noord-Amerika/Centraal-Amerika/Caribisch gebied, Australië - oost, Azië en India. Uw werkruimte (instantie) wordt automatisch gemaakt in de Azure-regio die zich het dichtst bij de geografische locatie van uw Microsoft Entra-tenant bevindt. Na het maken zijn Defender for Identity-werkruimten niet meer verplaatsbaar.

Plannen en voorbereiden

Gebruik de volgende stappen om de implementatie van Defender for Identity voor te bereiden:

1. Zorg ervoor dat u aan alle vereisten voldoet.

2. Plan uw Defender for Identity-capaciteit.

Tip

U wordt aangeraden het script Test-MdiReadiness.ps1 uit te voeren om te testen en te zien of uw omgeving aan de vereiste vereisten voldoet.

De koppeling naar het script Test-MdiReadiness.ps1 is ook beschikbaar via Microsoft Defender XDR, op de pagina Hulpprogramma's voor identiteiten > (preview).

Defender for Identity implementeren

Nadat u uw systeem hebt voorbereid, gebruikt u de volgende stappen om Defender for Identity te implementeren:

1. Controleer de verbinding met de Defender for Identity-service.
2. Download de Defender for Identity-sensor.
3. Installeer de Defender for Identity-sensor.
4. Configureer de Defender for Identity-sensor om gegevens te ontvangen.

Configuratie na implementatie

Met de volgende procedures kunt u het implementatieproces voltooien:

• Windows-gebeurtenisverzameling configureren. Zie Gebeurtenisverzameling met Microsoft Defender for Identity en auditbeleid configureren voor Windows-gebeurtenislogboeken voor meer informatie.

• Geïntegreerde op rollen gebaseerd toegangsbeheer (RBAC) voor Defender for Identity inschakelen en configureren.

• Configureer een Directory Service-account (DSA) voor gebruik met Defender for Identity. Hoewel een DSA in sommige scenario's optioneel is, raden we u aan om een DSA voor Defender for Identity te configureren voor volledige beveiligingsdekking. Wanneer u bijvoorbeeld een DSA hebt geconfigureerd, wordt de DSA gebruikt om tijdens het opstarten verbinding te maken met de domeincontroller. Een DSA kan ook worden gebruikt om een query uit te voeren op de domeincontroller voor gegevens over entiteiten die worden gezien in netwerkverkeer, bewaakte gebeurtenissen en bewaakte ETW-activiteiten

• Configureer indien nodig externe aanroepen naar SAM . Hoewel deze stap optioneel is, raden we u aan externe aanroepen naar SAM-R te configureren voor detectie van laterale verplaatsingspaden met Defender for Identity.

Tip

Defender for Identity-sensoren voeren standaard een query uit op de directory met LDAP op poorten 389 en 3268. Als u wilt overschakelen naar LDAPS op poorten 636 en 3269, opent u een ondersteuningsaanvraag. Zie ondersteuning voor Microsoft Defender for Identity voor meer informatie.

Belangrijk

Voor het installeren van een Defender for Identity-sensor op een AD FS-/AD CS- en Entra Connect-servers zijn extra stappen vereist. Zie Sensoren configureren voor AD FS, AD CS en Entra Connect voor meer informatie.

Volgende stap

Vereisten voor Defender for Identity »