Wdrażanie usługi Microsoft Defender for Identity za pomocą usługi Microsoft Defender XDR
Ten artykuł zawiera omówienie pełnego procesu wdrażania usługi Microsoft Defender for Identity, w tym kroki przygotowania, wdrożenia i dodatkowych kroków dla określonych scenariuszy.
Defender for Identity jest podstawowym składnikiem strategii zero trust oraz wdrożenia wykrywania i reagowania na zagrożenia tożsamości (ITDR) lub rozszerzonego wykrywania i reagowania (XDR) za pomocą usługi Microsoft Defender XDR. Usługa Defender for Identity używa sygnałów z serwerów infrastruktury tożsamości, takich jak kontrolery domeny, usługi AD FS/ usługi AD CS i serwery Entra Connect w celu wykrywania zagrożeń, takich jak eskalacja uprawnień lub przenoszenie boczne wysokiego ryzyka, oraz raporty na temat łatwo wykorzystywanych problemów z tożsamościami, takich jak nieprzetrenowane delegowanie protokołu Kerberos, w celu korekty przez zespół ds. zabezpieczeń.
Aby zapoznać się z szybkim zestawem wyróżnień wdrażania, zobacz Szybki przewodnik instalacji.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz dostęp do usługi Microsoft Defender XDR co najmniej jako administrator zabezpieczeń i masz jedną z następujących licencji:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Zabezpieczenia platformy Microsoft 365 E5/A5/G5/F5*
- Zabezpieczenia i zgodność platformy Microsoft 365 F5*
- Autonomiczna licencja usługi Defender for Identity
* Obie licencje F5 wymagają platformy Microsoft 365 F1/F3 lub Office 365 F3 i pakietu Enterprise Mobility + Security E3.
Uzyskiwanie licencji bezpośrednio za pośrednictwem portalu platformy Microsoft 365 lub korzystanie z modelu licencjonowania Cloud Solution Partner (CSP).
Aby uzyskać więcej informacji, zobacz Licencjonowanie i prywatność — często zadawane pytania oraz Co to są role i uprawnienia usługi Defender for Identity?
Rozpoczynanie korzystania z usługi Microsoft Defender XDR
W tej sekcji opisano sposób rozpoczynania dołączania do usługi Defender for Identity.
- Zaloguj się do portalu usługi Microsoft Defender.
- W menu nawigacji wybierz dowolny element, taki jak Zdarzenia i alerty, Wyszukiwanie zagrożeń, Centrum akcji lub Analiza zagrożeń , aby zainicjować proces dołączania.
Następnie będziesz mieć możliwość wdrażania obsługiwanych usług, w tym usługi Microsoft Defender for Identity. Składniki chmury wymagane dla usługi Defender for Identity są automatycznie dodawane po otwarciu strony ustawień usługi Defender for Identity.
Aby uzyskać więcej informacji, zobacz:
- Usługa Microsoft Defender for Identity w usłudze Microsoft Defender XDR
- Wprowadzenie do usługi Microsoft Defender XDR
- Włączanie usługi Microsoft Defender XDR
- Wdrażanie obsługiwanych usług
- Często zadawane pytania dotyczące włączania usługi Microsoft Defender XDR
Ważne
Obecnie centra danych usługi Defender for Identity są wdrażane w Europie, Wielkiej Brytanii, Szwajcarii, Ameryka Północna/Ameryce Środkowej/Karaibach, Australii Wschodniej, Azji i Indiach. Obszar roboczy (wystąpienie) jest tworzony automatycznie w regionie świadczenia usługi Azure najbliżej lokalizacji geograficznej dzierżawy firmy Microsoft Entra. Po utworzeniu obszary robocze usługi Defender for Identity nie są wymienne.
Planowanie i przygotowanie
Wykonaj następujące kroki, aby przygotować się do wdrożenia usługi Defender for Identity:
Upewnij się, że są wymagane wszystkie wymagania wstępne .
Zaplanuj pojemność usługi Defender for Identity.
Napiwek
Zalecamy uruchomienie skryptu Test-MdiReadiness.ps1 w celu przetestowania i sprawdzenia, czy środowisko ma niezbędne wymagania wstępne.
Link do skryptu Test-MdiReadiness.ps1 jest również dostępny w usłudze > Microsoft Defender XDR na stronie Narzędzia tożsamości (wersja zapoznawcza).
Wdrażanie usługi Defender for Identity
Po przygotowaniu systemu wykonaj następujące kroki, aby wdrożyć usługę Defender for Identity:
- Sprawdź łączność z usługą Defender for Identity.
- Pobierz czujnik usługi Defender for Identity.
- Zainstaluj czujnik usługi Defender for Identity.
- Skonfiguruj czujnik usługi Defender for Identity, aby rozpocząć odbieranie danych.
Konfiguracja po wdrożeniu
Poniższe procedury ułatwiają ukończenie procesu wdrażania:
Konfigurowanie zbierania zdarzeń systemu Windows. Aby uzyskać więcej informacji, zobacz Zbieranie zdarzeń za pomocą usługi Microsoft Defender for Identity i Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows.
Włączanie i konfigurowanie ujednoliconej kontroli dostępu opartej na rolach (RBAC) dla usługi Defender for Identity.
Skonfiguruj konto usługi katalogowej (DSA) do użycia z usługą Defender for Identity. Chociaż dsa jest opcjonalna w niektórych scenariuszach, zalecamy skonfigurowanie umowy DSA dla usługi Defender for Identity pod kątem pełnego pokrycia zabezpieczeń. Na przykład w przypadku skonfigurowania dsa dsa administrator dsa jest używany do nawiązywania połączenia z kontrolerem domeny podczas uruchamiania. Administrator dsa może również służyć do wykonywania zapytań dotyczących kontrolera domeny pod kątem danych dotyczących jednostek widocznych w ruchu sieciowym, monitorowanych zdarzeń i monitorowanych działań ETW
Skonfiguruj zdalne wywołania do protokołu SAM zgodnie z potrzebami. Chociaż ten krok jest opcjonalny, zalecamy skonfigurowanie zdalnych wywołań do protokołu SAM-R na potrzeby wykrywania ścieżek ruchu bocznego za pomocą usługi Defender for Identity.
Napiwek
Domyślnie czujniki usługi Defender for Identity wysyłają zapytania do katalogu przy użyciu protokołu LDAP na portach 389 i 3268. Aby przełączyć się do protokołu LDAPS na portach 636 i 3269, otwórz zgłoszenie do pomocy technicznej. Aby uzyskać więcej informacji, zobacz Pomoc techniczna dla usługi Microsoft Defender for Identity.
Ważne
Zainstalowanie czujnika usługi Defender for Identity na serwerach usług AD FS/AD CS i Entra Connect wymaga wykonania dodatkowych kroków. Aby uzyskać więcej informacji, zobacz Konfigurowanie czujników dla usług AD FS, AD CS i Entra Connect.