Test en implementeer Microsoft Defender for Identity
Van toepassing op:
- Microsoft Defender XDR
Dit artikel bevat een werkstroom voor het testen en implementeren van Microsoft Defender for Identity in uw organisatie. U kunt deze aanbevelingen gebruiken om Microsoft Defender for Identity te onboarden als een afzonderlijk cyberbeveiligingsprogramma of als onderdeel van een end-to-end-oplossing met Microsoft Defender XDR.
In dit artikel wordt ervan uitgegaan dat u een Productie-Microsoft 365-tenant hebt en Microsoft Defender for Identity in deze omgeving test en implementeert. In deze procedure worden alle instellingen en aanpassingen die u tijdens de testfase configureert, behouden voor uw volledige implementatie.
Defender voor Office 365 draagt bij aan een Zero Trust-architectuur door bedrijfsschade door een inbreuk te voorkomen of te beperken. Zie bedrijfsschade van een inbreuk voorkomen of beperken in het Microsoft Zero Trust-acceptatieframework voor meer informatie.
End-to-end-implementatie voor Microsoft Defender XDR
Dit is artikel 2 van 6 in een reeks om u te helpen bij het implementeren van de onderdelen van Microsoft Defender XDR, inclusief het onderzoeken van en reageren op incidenten.
De artikelen in deze reeks komen overeen met de volgende fasen van end-to-end-implementatie:
Fase | Koppelen |
---|---|
A. Start de testfase | Start de testfase |
B. Microsoft Defender XDR-onderdelen piloten en implementeren | - Defender for Identity uitvoeren en implementeren (dit artikel) - Defender voor Office 365 uitvoeren en implementeren - Defender voor Eindpunt testen en implementeren - Microsoft Defender for Cloud Apps testen en implementeren |
C. Bedreigingen onderzoeken en hierop reageren | Incidentonderzoek en -reactie oefenen |
Werkstroom voor Defender for Identity testen en implementeren
In het volgende diagram ziet u een algemeen proces voor het implementeren van een product of service in een IT-omgeving.
U begint met het evalueren van het product of de service en de werking ervan binnen uw organisatie. Vervolgens test u het product of de service met een geschikte kleine subset van uw productie-infrastructuur voor testen, leren en aanpassen. Vergroot vervolgens geleidelijk het bereik van de implementatie totdat uw hele infrastructuur of organisatie wordt gedekt.
Dit is de werkstroom voor het testen en implementeren van Defender for Identity in uw productieomgeving.
Volg deze stappen:
- Het Defender for Identity-exemplaar instellen
- Sensoren installeren en configureren
- Instellingen voor gebeurtenislogboeken en proxy's op computers configureren met de sensor
- Defender for Identity toestaan om lokale beheerders op andere computers te identificeren
- Benchmarkaanbeveling configureren voor uw identiteitsomgeving
- Mogelijkheden uitproberen
Dit zijn de aanbevolen stappen voor elke implementatiefase.
Implementatiefase | Beschrijving |
---|---|
Evalueren | Productevaluatie uitvoeren voor Defender for Identity. |
Pilot | Voer stap 1-6 uit voor een geschikte subset servers met sensoren in uw productieomgeving. |
Volledige implementatie | Voer stap 2-5 uit voor uw resterende servers, en breid uit na de testfase om alle servers op te nemen. |
Uw organisatie beschermen tegen hackers
Defender for Identity biedt op zichzelf krachtige beveiliging. In combinatie met de andere mogelijkheden van Microsoft Defender XDR levert Defender for Identity echter gegevens in de gedeelde signalen die samen helpen aanvallen te stoppen.
Hier volgt een voorbeeld van een cyberaanval en hoe de onderdelen van Microsoft Defender XDR deze helpen detecteren en beperken.
Defender for Identity verzamelt signalen van AD DS-domeincontrollers (Active Directory Domain Services) en servers waarop Active Directory Federation Services (AD FS) en Active Directory Certificate Services (AD CS) worden uitgevoerd. Deze signalen worden gebruikt om uw hybride identiteitsomgeving te beschermen, inclusief beveiliging tegen hackers die gecompromitteerde accounts gebruiken om lateraal te verplaatsen tussen werkstations in de on-premises omgeving.
Microsoft Defender XDR correleert de signalen van alle Microsoft Defender-onderdelen om het volledige aanvalsverhaal te bieden.
Defender for Identity-architectuur
Microsoft Defender for Identity is volledig geïntegreerd met Microsoft Defender XDR en maakt gebruik van signalen van on-premises Active Directory-identiteiten om u te helpen geavanceerde bedreigingen die gericht zijn op uw organisatie beter te identificeren, te detecteren en te onderzoeken.
Implementeer Microsoft Defender for Identity om uw SecOps-teams (Security Operations) te helpen een moderne ITDR-oplossing (Identity Threat Detection and Response) te leveren in hybride omgevingen, waaronder:
- Inbreuken voorkomen met behulp van proactieve identiteitsbeveiligingspostuurevaluaties
- Bedreigingen detecteren met behulp van realtime analyses en gegevensintelligentie
- Verdachte activiteiten onderzoeken met behulp van duidelijke, bruikbare incidentgegevens
- Reageren op aanvallen, met behulp van automatische reactie op gecompromitteerde identiteiten. Zie Wat is Microsoft Defender for Identity? voor meer informatie.
Defender for Identity beschermt uw on-premises AD DS-gebruikersaccounts en gebruikersaccounts die zijn gesynchroniseerd met uw Microsoft Entra ID-tenant. Zie Microsoft Entra ID Protection als u een omgeving wilt beveiligen die alleen uit Microsoft Entra-gebruikersaccounts bestaat.
In het volgende diagram ziet u de architectuur voor Defender for Identity.
In deze afbeelding:
- Sensoren die zijn geïnstalleerd op AD DS-domeincontrollers en AD CS-servers parseren logboeken en netwerkverkeer en verzenden ze naar Microsoft Defender for Identity voor analyse en rapportage.
- Sensoren kunnen ook AD FS-verificaties parseren voor id-providers van derden en wanneer Microsoft Entra ID is geconfigureerd voor het gebruik van federatieve verificatie (de stippellijnen in de afbeelding).
- Microsoft Defender for Identity deelt signalen naar Microsoft Defender XDR.
Defender for Identity-sensoren kunnen rechtstreeks op de volgende servers worden geïnstalleerd:
AD DS-domeincontrollers
De sensor bewaakt het verkeer van domeincontrollers rechtstreeks, zonder dat er een speciale server of de configuratie van poortspiegeling nodig is.
AD CS-servers
AD FS-servers
De sensor bewaakt rechtstreeks netwerkverkeer en verificatie-gebeurtenissen.
Zie Microsoft Defender for Identity-architectuur voor meer informatie over de architectuur van Defender for Identity.
Stap 1: het Defender for Identity-exemplaar instellen
Ten eerste vereist Defender for Identity enige vereiste werkzaamheden om ervoor te zorgen dat uw on-premises identiteits- en netwerkonderdelen voldoen aan de minimale vereisten. Gebruik het artikel Vereisten voor Microsoft Defender for Identity als controlelijst om ervoor te zorgen dat uw omgeving gereed is.
Meld u vervolgens aan bij de Defender for Identity-portal om uw exemplaar te maken en koppel dit exemplaar vervolgens aan uw Active Directory-omgeving.
Stap | Omschrijving | Meer informatie |
---|---|---|
1 | Het Defender for Identity-exemplaar maken | Quickstart: Uw Microsoft Defender for Identity-exemplaar maken |
2 | Het Defender for Identity-exemplaar verbinden met uw Active Directory-forest | Quickstart: Verbinding maken met uw Active Directory-forest |
Stap 2: sensoren installeren en configureren
Download, installeer en configureer vervolgens de Defender for Identity-sensor op de domeincontrollers, AD FS- en AD CS-servers in uw on-premises omgeving.
Stap | Omschrijving | Meer informatie |
---|---|---|
1 | Bepaal hoeveel Microsoft Defender for Identity-sensoren u nodig hebt. | Capaciteit plannen voor Microsoft Defender for Identity |
2 | Het installatiepakket voor de sensor downloaden | Quickstart: Het installatiepakket voor de Microsoft Defender for Identity-sensor downloaden |
3 | De Defender for Identity-sensor installeren | Quickstart: De Microsoft Defender for Identity-sensor installeren |
4 | De sensor configureren | Microsoft Defender for Identity-sensorinstellingen configureren |
Stap 3: instellingen voor gebeurtenislogboeken en proxy's op computers configureren met de sensor
Configureer op de computers waarop u de sensor hebt geïnstalleerd windows-gebeurtenislogboekverzameling en internetproxy-instellingen om detectiemogelijkheden in te schakelen en te verbeteren.
Stap | Omschrijving | Meer informatie |
---|---|---|
1 | Windows-gebeurtenislogboekverzameling configureren | Windows-gebeurtenisverzameling configureren |
2 | Instellingen voor internetproxy configureren | Instellingen voor eindpuntproxy en internetverbinding configureren voor uw Microsoft Defender for Identity Sensor |
Stap 4: Defender for Identity toestaan om lokale beheerders op andere computers te identificeren
Detectie van zijdelingse verplaatsingspaden van Microsoft Defender for Identity is afhankelijk van query's waarmee lokale beheerders op specifieke computers worden geïdentificeerd. Deze query's worden uitgevoerd met het SAM-R-protocol, met behulp van het Defender for Identity Service-account.
Om ervoor te zorgen dat Windows-clients en -servers toestaan dat uw Defender for Identity-account SAM-R uitvoert, moet er een wijziging in groepsbeleid worden aangebracht om het Defender for Identity-serviceaccount toe te voegen naast de geconfigureerde accounts die worden vermeld in het netwerktoegangsbeleid. Zorg ervoor dat u groepsbeleid toepast op alle computers , behalve op domeincontrollers.
Zie Microsoft Defender for Identity configureren voor externe aanroepen naar SAM voor instructies hierover.
Stap 5: benchmarkaanbeveling configureren voor uw identiteitsomgeving
Microsoft biedt aanbevelingen voor beveiligingsbenchmarks voor klanten die Microsoft Cloud-services gebruiken. De Azure Security Benchmark (ASB) biedt voorgeschreven best practices en aanbevelingen om de beveiliging van workloads, gegevens en services in Azure te verbeteren.
Het implementeren van deze aanbevelingen kan enige tijd in beslag nemen om te plannen en te implementeren. Hoewel deze aanbevelingen de beveiliging van uw identiteitsomgeving aanzienlijk verbeteren, mogen ze u niet verhinderen om Microsoft Defender for Identity te blijven evalueren en implementeren. Deze aanbevelingen worden hier gegeven voor uw bewustzijn.
Stap 6: Mogelijkheden uitproberen
De documentatie voor Defender for Identity bevat de volgende zelfstudies waarin het proces voor het identificeren en herstellen van verschillende typen aanvallen wordt beschreven:
- Reconnaissance-waarschuwingen
- Waarschuwingen voor gecompromitteerde referenties
- Waarschuwingen voor laterale verplaatsing
- Waarschuwingen voor domeindominantie
- Exfiltratiewaarschuwingen
- Een gebruiker onderzoeken
- Een computer onderzoeken
- Laterale bewegingspaden onderzoeken
- Entiteiten onderzoeken
SIEM-integratie
U kunt Defender for Identity integreren met Microsoft Sentinel of een algemene SIEM-service (Security Information and Event Management) om gecentraliseerde bewaking van waarschuwingen en activiteiten van verbonden apps mogelijk te maken. Met Microsoft Sentinel kunt u beveiligingsevenementen in uw organisatie uitgebreider analyseren en playbooks bouwen voor een effectieve en onmiddellijke reactie.
Microsoft Sentinel bevat een Defender for Identity-connector. Zie Microsoft Defender for Identity-connector voor Microsoft Sentinel voor meer informatie.
Zie Algemene SIEM-integratie voor informatie over integratie met SIEM-systemen van derden.
Volgende stap
Neem het volgende op in uw SecOps-processen:
Volgende stap voor de end-to-end-implementatie van Microsoft Defender XDR
Ga verder met de end-to-end-implementatie van Microsoft Defender XDR met Pilot en implementeer Defender voor Office 365.
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.