Pilotaż i wdrażanie usługi Microsoft Defender for Identity
Dotyczy:
- Microsoft Defender XDR
Ten artykuł zawiera przepływ pracy na potrzeby pilotażu i wdrażania usługi Microsoft Defender for Identity w organizacji. Te zalecenia umożliwiają dołączanie usługi Microsoft Defender for Identity jako indywidualnego narzędzia do cyberbezpieczeństwa lub jako część kompleksowego rozwiązania z usługą Microsoft Defender XDR.
W tym artykule przyjęto założenie, że masz produkcyjną dzierżawę platformy Microsoft 365 i pilotujesz i wdrażasz usługę Microsoft Defender for Identity w tym środowisku. Ta praktyka będzie obsługiwać wszelkie ustawienia i dostosowania skonfigurowane podczas pilotażu dla pełnego wdrożenia.
Usługa Defender dla usługi Office 365 współtworzy architekturę zero zaufania, pomagając zapobiegać naruszeniom lub zmniejszać szkody biznesowe. Aby uzyskać więcej informacji, zobacz scenariusz dotyczący zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zabezpieczeń w strukturze wdrażania programu Microsoft Zero Trust.
Kompleksowe wdrożenie usługi Microsoft Defender XDR
Jest to artykuł 2 z 6 serii, który ułatwia wdrażanie składników usługi Microsoft Defender XDR, w tym badanie zdarzeń i reagowanie na nie.
Artykuły z tej serii:
| Faza | Link |
|---|---|
| Odp. Uruchamianie pilotażu | Uruchamianie pilotażu |
| B. Pilotażowe i wdrażanie składników XDR usługi Microsoft Defender | - Pilotaż i wdrażanie usługi Defender for Identity (w tym artykule) - Pilot i wdrażanie usługi Defender dla usługi Office 365 - Pilotaż i wdrażanie usługi Defender dla punktu końcowego - Pilotaż i wdrażanie usługi Microsoft Defender for Cloud Apps |
| C. Badanie zagrożeń i odpowiadanie na nie | Badanie i reagowanie na zdarzenia praktyczne |
Pilotażowy i wdrażany przepływ pracy dla usługi Defender for Identity
Na poniższym diagramie przedstawiono typowy proces wdrażania produktu lub usługi w środowisku IT.
Rozpoczynasz od oceny produktu lub usługi oraz sposobu jej działania w organizacji. Następnie pilotujesz produkt lub usługę za pomocą odpowiednio małego podzestawu infrastruktury produkcyjnej na potrzeby testowania, uczenia się i dostosowywania. Następnie stopniowo zwiększaj zakres wdrożenia, dopóki nie zostanie uwzględniona cała infrastruktura lub organizacja.
Oto przepływ pracy na potrzeby pilotażu i wdrażania usługi Defender for Identity w środowisku produkcyjnym.
Wykonaj następujące czynności:
- Konfigurowanie wystąpienia usługi Defender for Identity
- Instalowanie i konfigurowanie czujników
- Konfigurowanie ustawień dziennika zdarzeń i serwera proxy na maszynach za pomocą czujnika
- Zezwalaj usłudze Defender for Identity na identyfikowanie administratorów lokalnych na innych komputerach
- Konfigurowanie zaleceń dotyczących testu porównawczego dla środowiska tożsamości
- Wypróbuj możliwości
Poniżej przedstawiono zalecane kroki dla każdego etapu wdrażania.
| Etap wdrażania | Opis |
|---|---|
| Oceny | Przeprowadzanie oceny produktu dla usługi Defender for Identity. |
| Pilot | Wykonaj kroki 1–6 dla odpowiedniego podzestawu serwerów z czujnikami w środowisku produkcyjnym. |
| Pełne wdrożenie | Wykonaj kroki 2–5 dla pozostałych serwerów, rozszerzając się poza pilotaż, aby uwzględnić wszystkie z nich. |
Ochrona organizacji przed hakerami
Usługa Defender for Identity zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami usługi Microsoft Defender XDR usługa Defender for Identity udostępnia dane do udostępnionych sygnałów, które razem pomagają zatrzymać ataki.
Oto przykład cyberataku i sposobu, w jaki składniki usługi Microsoft Defender XDR pomagają wykrywać i eliminować ten problem.
Usługa Defender for Identity zbiera sygnały z kontrolerów domeny i serwerów usług Active Directory Domain Services (AD DS) z usługami Active Directory Federation Services (AD FS) i Active Directory Certificate Services (AD CS). Te sygnały są używane do ochrony środowiska tożsamości hybrydowej, w tym ochrony przed hakerami korzystającymi z kont z naruszeniem zabezpieczeń w celu późniejszego przenoszenia między stacjami roboczymi w środowisku lokalnym.
Usługa Microsoft Defender XDR koreluje sygnały ze wszystkich składników usługi Microsoft Defender, aby zapewnić pełną historię ataku.
Architektura usługi Defender for Identity
Usługa Microsoft Defender for Identity jest w pełni zintegrowana z usługą Microsoft Defender XDR i wykorzystuje sygnały z lokalnych tożsamości usługi Active Directory, aby pomóc w lepszym identyfikowaniu, wykrywaniu i badaniu zaawansowanych zagrożeń skierowanych do organizacji.
Wdróż usługę Microsoft Defender for Identity, aby pomóc zespołom operacji zabezpieczeń (SecOps) w dostarczaniu nowoczesnego rozwiązania do wykrywania i reagowania na zagrożenia tożsamości (ITDR) w środowiskach hybrydowych, w tym:
- Zapobieganie naruszeniom zabezpieczeń przy użyciu proaktywnych ocen stanu zabezpieczeń tożsamości
- Wykrywanie zagrożeń przy użyciu analizy w czasie rzeczywistym i analizy danych
- Badanie podejrzanych działań przy użyciu jasnych, możliwych do działania informacji o zdarzeniu
- Reagowanie na ataki przy użyciu automatycznej reakcji na naruszone tożsamości. Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Defender for Identity?
Usługa Defender for Identity chroni lokalne konta użytkowników usług AD DS i konta użytkowników zsynchronizowane z dzierżawą identyfikatora Microsoft Entra. Aby chronić środowisko składające się tylko z kont użytkowników usługi Microsoft Entra, zobacz Microsoft Entra ID Protection.
Na poniższym diagramie przedstawiono architekturę usługi Defender for Identity.
Na tej ilustracji:
- Czujniki zainstalowane na kontrolerach domeny usług AD DS i serwerach usług AD CS analizują dzienniki i ruch sieciowy oraz wysyłają je do usługi Microsoft Defender for Identity w celu analizy i raportowania.
- Czujniki mogą również analizować uwierzytelnianie usług AD FS dla dostawców tożsamości innych firm, a gdy identyfikator Entra firmy Microsoft jest skonfigurowany do korzystania z uwierzytelniania federacyjnego (kropkowane wiersze na ilustracji).
- Usługa Microsoft Defender for Identity udostępnia sygnały do usługi Microsoft Defender XDR.
Czujniki usługi Defender for Identity można zainstalować bezpośrednio na następujących serwerach:
Kontrolery domeny usług AD DS
Czujnik bezpośrednio monitoruje ruch kontrolera domeny bez konieczności używania dedykowanego serwera lub konfiguracji dublowania portów.
Serwery usługi AD CS
Serwery usług AD FS
Czujnik bezpośrednio monitoruje ruch sieciowy i zdarzenia uwierzytelniania.
Aby zapoznać się z architekturą usługi Defender for Identity, zobacz Architektura usługi Microsoft Defender for Identity.
Krok 1. Konfigurowanie wystąpienia usługi Defender for Identity
Po pierwsze usługa Defender for Identity wymaga pewnych wymagań wstępnych, aby upewnić się, że tożsamość lokalna i składniki sieci spełniają minimalne wymagania. Użyj artykułu wymagań wstępnych usługi Microsoft Defender for Identity jako listy kontrolnej, aby upewnić się, że środowisko jest gotowe.
Następnie zaloguj się do portalu usługi Defender for Identity, aby utworzyć wystąpienie, a następnie połączyć to wystąpienie ze środowiskiem usługi Active Directory.
| Krok | Opis | Więcej informacji |
|---|---|---|
| 1 | Tworzenie wystąpienia usługi Defender for Identity | Szybki start: tworzenie wystąpienia usługi Microsoft Defender for Identity |
| 2 | Łączenie wystąpienia usługi Defender for Identity z lasem usługi Active Directory | Szybki start: nawiązywanie połączenia z lasem usługi Active Directory |
Krok 2. Instalowanie i konfigurowanie czujników
Następnie pobierz, zainstaluj i skonfiguruj czujnik Defender for Identity na serwerach kontrolerów domeny, usług AD FS i AD CS w środowisku lokalnym.
| Krok | Opis | Więcej informacji |
|---|---|---|
| 1 | Określ, ile czujników usługi Microsoft Defender for Identity potrzebujesz. | Planowanie pojemności usługi Microsoft Defender for Identity |
| 2 | Pobieranie pakietu konfiguracji czujnika | Szybki start: pobieranie pakietu konfiguracji czujnika usługi Microsoft Defender for Identity |
| 3 | Instalowanie czujnika usługi Defender for Identity | Szybki start: instalowanie czujnika tożsamości w usłudze Microsoft Defender |
| 4 | Konfigurowanie czujnika | Konfigurowanie ustawień czujnika usługi Microsoft Defender for Identity |
Krok 3. Konfigurowanie ustawień dziennika zdarzeń i serwera proxy na maszynach za pomocą czujnika
Na komputerach, na których zainstalowano czujnik, skonfiguruj zbieranie dzienników zdarzeń systemu Windows i ustawienia internetowego serwera proxy, aby włączyć i zwiększyć możliwości wykrywania.
| Krok | Opis | Więcej informacji |
|---|---|---|
| 1 | Konfigurowanie zbierania dzienników zdarzeń systemu Windows | Konfigurowanie kolekcji zdarzeń systemu Windows |
| 2 | Konfigurowanie ustawień internetowego serwera proxy | Konfigurowanie ustawień serwera proxy punktu końcowego i łączności z Internetem dla czujnika tożsamości usługi Microsoft Defender |
Krok 4. Zezwalanie usłudze Defender for Identity na identyfikowanie administratorów lokalnych na innych komputerach
Wykrywanie ścieżki ruchu bocznego usługi Microsoft Defender for Identity opiera się na zapytaniach identyfikujących administratorów lokalnych na określonych maszynach. Te zapytania są wykonywane przy użyciu protokołu SAM-R przy użyciu konta usługi Defender for Identity Service.
Aby upewnić się, że klienci i serwery systemu Windows zezwalają kontu usługi Defender for Identity na wykonywanie funkcji SAM-R, należy wprowadzić modyfikację zasad grupy w celu dodania konta usługi Defender for Identity oprócz skonfigurowanych kont wymienionych w zasadach dostępu do sieci. Pamiętaj, aby zastosować zasady grupy do wszystkich komputerów z wyjątkiem kontrolerów domeny.
Aby uzyskać instrukcje dotyczące tego, jak to zrobić, zobacz Konfigurowanie usługi Microsoft Defender for Identity w celu wykonywania zdalnych wywołań do sam.
Krok 5. Konfigurowanie zaleceń dotyczących testu porównawczego dla środowiska tożsamości
Firma Microsoft udostępnia zalecenia dotyczące testów porównawczych zabezpieczeń dla klientów korzystających z usług w chmurze firmy Microsoft. Test porównawczy zabezpieczeń platformy Azure (ASB) zawiera nakazowe najlepsze rozwiązania i zalecenia ułatwiające zwiększenie bezpieczeństwa obciążeń, danych i usług na platformie Azure.
Zaimplementowanie tych zaleceń może zająć trochę czasu, aby zaplanować i zaimplementować. Zalecenia te znacznie zwiększają bezpieczeństwo środowiska tożsamości, ale nie powinny uniemożliwiać kontynuowania oceny i implementowania usługi Microsoft Defender for Identity. Te zalecenia są dostępne tutaj dla Twojej świadomości.
Krok 6. Wypróbowanie możliwości
Dokumentacja usługi Defender for Identity zawiera następujące samouczki, w których opisano proces identyfikowania i korygowania różnych typów ataków:
- Alerty rekonesansu
- Alerty dotyczące naruszeń poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Alerty dotyczące dominacji domeny
- Alerty eksfiltracji
- Badanie użytkownika
- Badanie komputera
- Badanie ścieżek ruchu bocznego
- Badanie jednostek
Integracja zarządzania informacjami i zdarzeniami zabezpieczeń
Usługę Defender for Identity można zintegrować z usługą Microsoft Sentinel lub ogólną usługą zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji. Dzięki usłudze Microsoft Sentinel można bardziej kompleksowo analizować zdarzenia zabezpieczeń w całej organizacji i tworzyć podręczniki w celu zapewnienia skutecznej i natychmiastowej reakcji.
Usługa Microsoft Sentinel zawiera łącznik usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz Łącznik usługi Microsoft Defender for Identity dla usługi Microsoft Sentinel.
Aby uzyskać informacje na temat integracji z systemami SIEM innych firm, zobacz Ogólna integracja SIEM.
Następny krok
Uwzględnij następujące elementy w procesach SecOps:
- Wyświetlanie pulpitu nawigacyjnego ITDR
- Wyświetlanie problemów z kondycją usługi Defender for Identity i zarządzanie nimi
Następny krok dla kompleksowego wdrożenia usługi Microsoft Defender XDR
Kontynuuj kompleksowe wdrożenie usługi Microsoft Defender XDR za pomocą pilotażu i wdróż usługę Defender dla usługi Office 365.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla