Aktywowanie funkcji usługi Microsoft Defender for Identity bezpośrednio na kontrolerze domeny

Artykuł
08/13/2024

Ochrona punktu końcowego w usłudze Microsoft Defender klientów, którzy już dołączyli swoje kontrolery domeny do usługi Defender for Endpoint, mogą aktywować funkcje usługi Microsoft Defender for Identity bezpośrednio na kontrolerze domeny zamiast przy użyciu Czujnik usługi Microsoft Defender for Identity.

W tym artykule opisano sposób aktywowania i testowania możliwości usługi Microsoft Defender for Identity na kontrolerze domeny.

Ważne

Informacje w tym artykule odnoszą się do funkcji, która jest obecnie w ograniczonej dostępności dla wybranego zestawu przypadków użycia. Jeśli nie przekierowano cię do korzystania ze strony Aktywacja tożsamości usługi Defender, skorzystaj z naszego głównego przewodnika wdrażania.

Wymagania wstępne

Przed aktywowaniem możliwości usługi Defender for Identity na kontrolerze domeny upewnij się, że środowisko jest zgodne z wymaganiami wstępnymi w tej sekcji.

Konflikty czujników usługi Defender for Identity

Konfiguracja opisana w tym artykule nie obsługuje instalacji równoległej z istniejącym czujnikiem usługi Defender for Identity i nie jest zalecana jako zamiennik czujnika usługi Defender for Identity.

Upewnij się, że kontroler domeny, na którym planujesz aktywować funkcje usługi Defender for Identity, nie ma wdrożonego czujnika usługi Defender for Identity.

Wymagania systemowe

Funkcje usługi Direct Defender for Identity są obsługiwane tylko na kontrolerach domeny przy użyciu jednego z następujących systemów operacyjnych:

Windows Server 2019
Windows Server 2022

Musisz również mieć zainstalowaną aktualizację zbiorczą z marca 2024 r.

Ważne

Po zainstalowaniu aktualizacji zbiorczej z marca 2024 r. usługa LSASS może napotkać przeciek pamięci na kontrolerach domeny, gdy lokalne i w chmurze domena usługi Active Directory kontrolery usługi Kerberos żądań uwierzytelniania Kerberos.

Ten problem został rozwiązany w KB5037422 aktualizacji poza pasmem.

Dołączanie do usługi Defender for Endpoint

Kontroler domeny musi zostać dołączony do Ochrona punktu końcowego w usłudze Microsoft Defender.

Aby uzyskać więcej informacji, zobacz Dołączanie serwera z systemem Windows.

Wymagane uprawnienia

Aby uzyskać dostęp do strony Aktywacja tożsamości usługi Defender for Identity, musisz być administratorem zabezpieczeń lub mieć następujące ujednolicone uprawnienia RBAC:

Authorization and settings / System settings (Read and manage)
Authorization and settings / Security setting (All permissions)

Aby uzyskać więcej informacji, zobacz:

Wymagania dotyczące łączności

Funkcje usługi Defender for Identity bezpośrednio na kontrolerach domeny używają punktów końcowych adresu URL punktu końcowego usługi Defender dla punktu końcowego do komunikacji, w tym uproszczonych adresów URL.

Aby uzyskać więcej informacji, zobacz Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender dla punktu końcowego.

Konfigurowanie inspekcji systemu Windows

Wykrywanie tożsamości w usłudze Defender for Identity polega na określonych wpisach dziennika zdarzeń systemu Windows w celu ulepszenia wykrywania i dostarczania dodatkowych informacji o użytkownikach wykonujących określone akcje, takich jak logowania NTLM i modyfikacje grupy zabezpieczeń.

Skonfiguruj zbieranie zdarzeń systemu Windows na kontrolerze domeny w celu obsługi wykrywania tożsamości w usłudze Defender. Aby uzyskać więcej informacji, zobacz Zbieranie zdarzeń za pomocą usługi Microsoft Defender for Identity i Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows.

Aby skonfigurować wymagane ustawienia, warto użyć modułu programu PowerShell usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz:

Na przykład następujące polecenie definiuje wszystkie ustawienia domeny, tworzy obiekty zasad grupy i łączy je.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktywowanie możliwości usługi Defender for Identity

Po upewnieniu się, że środowisko jest całkowicie skonfigurowane, aktywuj funkcje usługi Microsoft Defender for Identity na kontrolerze domeny.

W portalu usługi Defender wybierz pozycję Ustawienia > Aktywacja tożsamości>.

Strona Aktywacja zawiera listę wykrytych i kwalifikujących się kontrolerów domeny.
Wybierz kontroler domeny, w którym chcesz aktywować funkcje usługi Defender for Identity, a następnie wybierz pozycję Aktywuj. Potwierdź wybór po wyświetleniu monitu.

Po zakończeniu aktywacji zostanie wyświetlony zielony baner powodzenia. Na banerze wybierz pozycję Kliknij tutaj, aby wyświetlić dołączone serwery, aby przejść do strony Ustawienia > Czujniki tożsamości>, gdzie można sprawdzić kondycję czujnika.

Funkcje aktywowane do testowania

Po pierwszym aktywowaniu funkcji usługi Defender for Identity na kontrolerze domeny wyświetlenie pierwszego czujnika na stronie Czujniki może potrwać do godziny. Kolejne aktywacje są wyświetlane w ciągu pięciu minut.

Funkcje usługi Defender for Identity na kontrolerach domeny obsługują obecnie następujące funkcje usługi Defender for Identity:

Funkcje badania dotyczące pulpitu nawigacyjnego ITDR, spisu tożsamości i zaawansowanych danych wyszukiwania tożsamości
Określone zalecenia dotyczące stanu zabezpieczeń
Określone wykrycia alertów
Akcje korygowania
Automatyczne zakłócenia ataków

Użyj poniższych procedur, aby przetestować środowisko pod kątem możliwości usługi Defender for Identity na kontrolerze domeny.

Sprawdzanie pulpitu nawigacyjnego ITDR

W portalu usługi Defender wybierz pozycję Pulpit nawigacyjny tożsamości > i przejrzyj wyświetlone szczegóły, sprawdzając oczekiwane wyniki ze środowiska.

Aby uzyskać więcej informacji, zobacz Praca z pulpitem nawigacyjnym ITDR (wersja zapoznawcza) usługi Defender for Identity.

Potwierdzanie szczegółów strony jednostki

Upewnij się, że jednostki, takie jak kontrolery domeny, użytkownicy i grupy, są wypełniane zgodnie z oczekiwaniami.

W portalu usługi Defender sprawdź następujące informacje:

Jednostki urządzeń: wybierz pozycję Urządzenia zasobów > i wybierz maszynę dla nowego czujnika. Zdarzenia usługi Defender for Identity są wyświetlane na osi czasu urządzenia.
Jednostki użytkownika. Wybierz pozycję Użytkownicy zasobów > i sprawdź użytkowników z nowo dołączonej domeny. Alternatywnie użyj opcji wyszukiwania globalnego, aby wyszukać określonych użytkowników. Strony szczegółów użytkownika powinny zawierać dane Przegląd, Obserwowane w organizacji i Oś czasu .
Jednostki grupy: użyj wyszukiwania globalnego, aby znaleźć grupę użytkowników lub przestawienia na stronie szczegółów użytkownika lub urządzenia, na której są wyświetlane szczegóły grupy. Sprawdź szczegółowe informacje o członkostwie w grupie, wyświetl użytkowników grupy i dane osi czasu grupy.

Jeśli na osi czasu grupy nie znaleziono żadnych danych zdarzeń, może być konieczne ręczne utworzenie niektórych elementów. W tym celu należy na przykład dodać i usunąć użytkowników z grupy w usłudze Active Directory.

Aby uzyskać więcej informacji, zobacz Badanie zasobów.

Testowanie zaawansowanych tabel wyszukiwania zagrożeń

Na stronie Zaawansowane wyszukiwanie zagrożeń w portalu Defender użyj następujących przykładowych zapytań, aby sprawdzić, czy dane są wyświetlane w odpowiednich tabelach zgodnie z oczekiwaniami dla danego środowiska:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Aby uzyskać więcej informacji, zobacz Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender.

Zalecenia dotyczące testowania zarządzania stanem zabezpieczeń tożsamości (ISPM)

Funkcje usługi Defender for Identity na kontrolerach domeny obsługują następujące oceny ISPM:

Instalowanie czujnika usługi Defender for Identity na wszystkich kontrolerach domeny
Użycie rozwiązania Microsoft LAPS
Rozwiązywanie problemów z niezabezpieczonymi konfiguracjami domeny
Ustawianie konta wystawionego jako przynęta
Niezabezpieczone atrybuty konta
Niezabezpieczone atrybuty historii identyfikatorów SID

Zalecamy symulowanie ryzykownego zachowania w środowisku testowym w celu wyzwolenia obsługiwanych ocen i sprawdzenia, czy są one wyświetlane zgodnie z oczekiwaniami. Na przykład:

Wyzwól nowe zalecenie Rozwiąż niezabezpieczone konfiguracje domeny, ustawiając konfigurację usługi Active Directory na stan niezgodny, a następnie zwracając go do stanu zgodnego. Na przykład uruchom następujące polecenia:

Aby ustawić stan niezgodny
```
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
```
Aby przywrócić go do stanu zgodnego:
```
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
```
Aby sprawdzić konfigurację lokalną:
```
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
```
W obszarze Wskaźnik bezpieczeństwa firmy Microsoft wybierz pozycję Zalecane akcje , aby sprawdzić, czy nie ma nowego zalecenia Rozwiąż niezabezpieczone konfiguracje domeny. Warto filtrować rekomendacje według produktu Defender for Identity .

Aby uzyskać więcej informacji, zobacz Oceny stanu zabezpieczeń usługi Microsoft Defender for Identity

Testowanie funkcji alertu

Następujące alerty są obsługiwane przez funkcje usługi Defender for Identity na kontrolerach domeny:

Przetestuj funkcjonalność alertu, symulując ryzykowne działanie w środowisku testowym. Na przykład:

Oznacz konto jako konto wystawione jako przynęta, a następnie spróbuj zalogować się do konta wystawionego jako przynęta względem aktywowanego kontrolera domeny.
Utwórz podejrzaną usługę na kontrolerze domeny.
Uruchom zdalne polecenie na kontrolerze domeny jako administrator zalogowany ze stacji roboczej.

Aby uzyskać więcej informacji, zobacz Badanie alertów zabezpieczeń usługi Defender for Identity w usłudze Microsoft Defender XDR.

Akcje korygowania testów

Przetestuj akcje korygowania dla użytkownika testowego. Na przykład:

W portalu usługi Defender przejdź do strony szczegółów użytkownika testowego.
W menu opcji wybierz dowolną lub wszystkie następujące elementy:
- Wyłączanie użytkownika w usłudze AD
- Włączanie użytkownika w usłudze AD
- Wymuszanie resetowania hasła
Sprawdź usługę Active Directory pod kątem oczekiwanego działania.

Uwaga

Bieżąca wersja nie zbiera flag kontroli konta użytkownika (UAC) poprawnie. W związku z tym użytkownicy wyłączeni nadal będą wyświetlani jako Włączone w portalu.

Aby uzyskać więcej informacji, zobacz Akcje korygowania w usłudze Microsoft Defender for Identity.

Dezaktywowanie możliwości usługi Defender for Identity na kontrolerze domeny

Jeśli chcesz dezaktywować funkcje usługi Defender for Identity na kontrolerze domeny, usuń je ze strony Czujniki :

W portalu usługi Defender wybierz pozycję Ustawienia > Czujniki tożsamości>.
Wybierz kontroler domeny, w którym chcesz dezaktywować funkcje usługi Defender for Identity, wybierz pozycję Usuń i potwierdź wybór.

Dezaktywowanie funkcji usługi Defender for Identity z kontrolera domeny nie powoduje usunięcia kontrolera domeny z usługi Defender for Endpoint. Aby uzyskać więcej informacji, zobacz dokumentację usługi Defender for Endpoint.

Następne kroki

Aby uzyskać więcej informacji, zobacz Zarządzanie i aktualizowanie czujników usługi Microsoft Defender for Identity.

Udostępnij za pośrednictwem