Udostępnij za pośrednictwem


Wdrażanie usługi Microsoft Defender for Identity za pomocą usługi Microsoft Defender XDR

Ten artykuł zawiera omówienie pełnego procesu wdrażania usługi Microsoft Defender for Identity, w tym kroki przygotowania, wdrożenia i dodatkowych kroków dla określonych scenariuszy.

Defender for Identity jest podstawowym składnikiem strategii zero trust oraz wdrożenia wykrywania i reagowania na zagrożenia tożsamości (ITDR) lub rozszerzonego wykrywania i reagowania (XDR) za pomocą usługi Microsoft Defender XDR. Usługa Defender for Identity używa sygnałów z serwerów infrastruktury tożsamości, takich jak kontrolery domeny, usługi AD FS/ usługi AD CS i serwery Entra Connect w celu wykrywania zagrożeń, takich jak eskalacja uprawnień lub przenoszenie boczne wysokiego ryzyka, oraz raporty na temat łatwo wykorzystywanych problemów z tożsamościami, takich jak nieprzetrenowane delegowanie protokołu Kerberos, w celu korekty przez zespół ds. zabezpieczeń.

Aby zapoznać się z szybkim zestawem wyróżnień wdrażania, zobacz Szybki przewodnik instalacji.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz dostęp do usługi Microsoft Defender XDR co najmniej jako administrator zabezpieczeń i masz jedną z następujących licencji:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Zabezpieczenia platformy Microsoft 365 E5/A5/G5/F5*
  • Zabezpieczenia i zgodność platformy Microsoft 365 F5*
  • Autonomiczna licencja usługi Defender for Identity

* Obie licencje F5 wymagają platformy Microsoft 365 F1/F3 lub Office 365 F3 i pakietu Enterprise Mobility + Security E3.

Uzyskiwanie licencji bezpośrednio za pośrednictwem portalu platformy Microsoft 365 lub korzystanie z modelu licencjonowania Cloud Solution Partner (CSP).

Aby uzyskać więcej informacji, zobacz Licencjonowanie i prywatność — często zadawane pytania oraz Co to są role i uprawnienia usługi Defender for Identity?

Rozpoczynanie korzystania z usługi Microsoft Defender XDR

W tej sekcji opisano sposób rozpoczynania dołączania do usługi Defender for Identity.

  1. Zaloguj się do portalu usługi Microsoft Defender.
  2. W menu nawigacji wybierz dowolny element, taki jak Zdarzenia i alerty, Wyszukiwanie zagrożeń, Centrum akcji lub Analiza zagrożeń , aby zainicjować proces dołączania.

Następnie będziesz mieć możliwość wdrażania obsługiwanych usług, w tym usługi Microsoft Defender for Identity. Składniki chmury wymagane dla usługi Defender for Identity są automatycznie dodawane po otwarciu strony ustawień usługi Defender for Identity.

Aby uzyskać więcej informacji, zobacz:

Ważne

Obecnie centra danych usługi Defender for Identity są wdrażane w Europie, Wielkiej Brytanii, Szwajcarii, Ameryka Północna/Ameryce Środkowej/Karaibach, Australii Wschodniej, Azji i Indiach. Obszar roboczy (wystąpienie) jest tworzony automatycznie w regionie świadczenia usługi Azure najbliżej lokalizacji geograficznej dzierżawy firmy Microsoft Entra. Po utworzeniu obszary robocze usługi Defender for Identity nie są wymienne.

Planowanie i przygotowanie

Wykonaj następujące kroki, aby przygotować się do wdrożenia usługi Defender for Identity:

  1. Upewnij się, że są wymagane wszystkie wymagania wstępne .

  2. Zaplanuj pojemność usługi Defender for Identity.

Napiwek

Zalecamy uruchomienie skryptu Test-MdiReadiness.ps1 w celu przetestowania i sprawdzenia, czy środowisko ma niezbędne wymagania wstępne.

Link do skryptu Test-MdiReadiness.ps1 jest również dostępny w usłudze > Microsoft Defender XDR na stronie Narzędzia tożsamości (wersja zapoznawcza).

Wdrażanie usługi Defender for Identity

Po przygotowaniu systemu wykonaj następujące kroki, aby wdrożyć usługę Defender for Identity:

  1. Sprawdź łączność z usługą Defender for Identity.
  2. Pobierz czujnik usługi Defender for Identity.
  3. Zainstaluj czujnik usługi Defender for Identity.
  4. Skonfiguruj czujnik usługi Defender for Identity, aby rozpocząć odbieranie danych.

Konfiguracja po wdrożeniu

Poniższe procedury ułatwiają ukończenie procesu wdrażania:

Napiwek

Domyślnie czujniki usługi Defender for Identity wysyłają zapytania do katalogu przy użyciu protokołu LDAP na portach 389 i 3268. Aby przełączyć się do protokołu LDAPS na portach 636 i 3269, otwórz zgłoszenie do pomocy technicznej. Aby uzyskać więcej informacji, zobacz Pomoc techniczna dla usługi Microsoft Defender for Identity.

Ważne

Zainstalowanie czujnika usługi Defender for Identity na serwerach usług AD FS/AD CS i Entra Connect wymaga wykonania dodatkowych kroków. Aby uzyskać więcej informacji, zobacz Konfigurowanie czujników dla usług AD FS, AD CS i Entra Connect.

Następny krok