Pilotaż i wdrażanie Microsoft Defender for Identity
Dotyczy:
- Microsoft Defender XDR
Ten artykuł zawiera przepływ pracy na potrzeby pilotażu i wdrażania Microsoft Defender for Identity w organizacji. Te zalecenia umożliwiają dołączanie Microsoft Defender for Identity jako indywidualnego narzędzia do cyberbezpieczeństwa lub jako część kompleksowego rozwiązania z Microsoft Defender XDR.
W tym artykule przyjęto założenie, że masz produkcyjną dzierżawę platformy Microsoft 365 i pilotujesz i wdrażasz Microsoft Defender for Identity w tym środowisku. Ta praktyka będzie obsługiwać wszelkie ustawienia i dostosowania skonfigurowane podczas pilotażu dla pełnego wdrożenia.
Ochrona usługi Office 365 w usłudze Defender przyczynia się do Zero Trust architektury, pomagając zapobiegać lub zmniejszać szkody biznesowe wynikające z naruszenia. Aby uzyskać więcej informacji, zobacz Scenariusz dotyczący zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zasad biznesowych w strukturze wdrażania Zero Trust firmy Microsoft.
Kompleksowe wdrożenie dla Microsoft Defender XDR
Jest to artykuł 2 z 6 serii, który ułatwia wdrażanie składników Microsoft Defender XDR, w tym badanie zdarzeń i reagowanie na nie.
Artykuły z tej serii odpowiadają następującym fazom kompleksowego wdrożenia:
| Faza | Link |
|---|---|
| Odp. Uruchamianie pilotażu | Uruchamianie pilotażu |
| B. Testowanie i wdrażanie składników Microsoft Defender XDR |
-
Pilotaż i wdrażanie usługi Defender for Identity (w tym artykule) - Pilotaż i wdrażanie Ochrona usługi Office 365 w usłudze Defender - Pilotaż i wdrażanie usługi Defender dla punktu końcowego - Pilotaż i wdrażanie Microsoft Defender for Cloud Apps |
| C. Badanie zagrożeń i odpowiadanie na nie | Badanie i reagowanie na zdarzenia praktyczne |
Pilotażowy i wdrażany przepływ pracy dla usługi Defender for Identity
Na poniższym diagramie przedstawiono typowy proces wdrażania produktu lub usługi w środowisku IT.
Rozpoczynasz od oceny produktu lub usługi oraz sposobu jej działania w organizacji. Następnie pilotujesz produkt lub usługę za pomocą odpowiednio małego podzestawu infrastruktury produkcyjnej na potrzeby testowania, uczenia się i dostosowywania. Następnie stopniowo zwiększaj zakres wdrożenia, dopóki nie zostanie uwzględniona cała infrastruktura lub organizacja.
Oto przepływ pracy na potrzeby pilotażu i wdrażania usługi Defender for Identity w środowisku produkcyjnym.
Wykonaj następujące czynności:
- Konfigurowanie wystąpienia usługi Defender for Identity
- Instalowanie i konfigurowanie czujników
- Konfigurowanie ustawień dziennika zdarzeń i serwera proxy na maszynach za pomocą czujnika
- Zezwalaj usłudze Defender for Identity na identyfikowanie administratorów lokalnych na innych komputerach
- Konfigurowanie zaleceń dotyczących testu porównawczego dla środowiska tożsamości
- Wypróbuj możliwości
Poniżej przedstawiono zalecane kroki dla każdego etapu wdrażania.
| Etap wdrażania | Opis |
|---|---|
| Oceniać | Przeprowadzanie oceny produktu dla usługi Defender for Identity. |
| Pilot | Wykonaj kroki 1–6 dla odpowiedniego podzestawu serwerów z czujnikami w środowisku produkcyjnym. |
| Pełne wdrożenie | Wykonaj kroki 2–5 dla pozostałych serwerów, rozszerzając się poza pilotaż, aby uwzględnić wszystkie z nich. |
Ochrona organizacji przed hakerami
Usługa Defender for Identity zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami Microsoft Defender XDR usługa Defender for Identity dostarcza dane do udostępnionych sygnałów, które razem pomagają zatrzymać ataki.
Oto przykład cyberataku i sposobu, w jaki składniki Microsoft Defender XDR pomagają go wykrywać i eliminować.
Usługa Defender for Identity zbiera sygnały z kontrolerów domeny i serwerów Active Directory Domain Services (AD DS) z uruchomionymi usługami Active Directory Federation Services (AD FS) i Active Directory Certificate Services (AD CS). Te sygnały są używane do ochrony środowiska tożsamości hybrydowej, w tym ochrony przed hakerami korzystającymi z kont z naruszeniem zabezpieczeń w celu późniejszego przenoszenia między stacjami roboczymi w środowisku lokalnym.
Microsoft Defender XDR skoreluje sygnały ze wszystkich składników Microsoft Defender, aby zapewnić pełną historię ataku.
Architektura usługi Defender for Identity
Microsoft Defender for Identity jest w pełni zintegrowana z Microsoft Defender XDR i wykorzystuje sygnały z tożsamości lokalna usługa Active Directory, aby ułatwić identyfikowanie, wykrywanie i badanie zaawansowanych zagrożeń skierowanych do organizacji.
Wdróż Microsoft Defender for Identity, aby pomóc zespołom operacji zabezpieczeń (SecOps) w dostarczaniu nowoczesnego rozwiązania do wykrywania i reagowania na zagrożenia tożsamości (ITDR) w środowiskach hybrydowych, w tym:
- Zapobieganie naruszeniom zabezpieczeń przy użyciu proaktywnych ocen stanu zabezpieczeń tożsamości
- Wykrywanie zagrożeń przy użyciu analizy w czasie rzeczywistym i analizy danych
- Badanie podejrzanych działań przy użyciu jasnych, możliwych do działania informacji o zdarzeniu
- Reagowanie na ataki przy użyciu automatycznej reakcji na naruszone tożsamości. Aby uzyskać więcej informacji, zobacz Co to jest Microsoft Defender for Identity?
Usługa Defender for Identity chroni lokalne konta użytkowników usług AD DS i konta użytkowników zsynchronizowane z dzierżawą Tożsamość Microsoft Entra. Aby chronić środowisko składające się tylko z Microsoft Entra kont użytkowników, zobacz Ochrona tożsamości Microsoft Entra.
Na poniższym diagramie przedstawiono architekturę usługi Defender for Identity.
Na tej ilustracji:
- Czujniki zainstalowane na kontrolerach domeny usług AD DS i serwerach usług AD CS analizują dzienniki i ruch sieciowy oraz wysyłają je do Microsoft Defender for Identity w celu analizy i raportowania.
- Czujniki mogą również analizować uwierzytelniania usług AD FS dla dostawców tożsamości innych firm i gdy Tożsamość Microsoft Entra jest skonfigurowany do korzystania z uwierzytelniania federacyjnego (kropkowane wiersze na ilustracji).
- Microsoft Defender for Identity udostępnia sygnały Microsoft Defender XDR.
Czujniki usługi Defender for Identity można zainstalować bezpośrednio na następujących serwerach:
Kontrolery domeny usług AD DS
Czujnik bezpośrednio monitoruje ruch kontrolera domeny bez konieczności używania dedykowanego serwera lub konfiguracji dublowania portów.
Serwery usługi AD CS
Serwery usług AD FS
Czujnik bezpośrednio monitoruje ruch sieciowy i zdarzenia uwierzytelniania.
Aby zapoznać się z architekturą usługi Defender for Identity, zobacz architekturę Microsoft Defender for Identity.
Krok 1. Konfigurowanie wystąpienia usługi Defender for Identity
Po pierwsze usługa Defender for Identity wymaga pewnych wymagań wstępnych, aby upewnić się, że tożsamość lokalna i składniki sieci spełniają minimalne wymagania. Użyj artykułu Microsoft Defender for Identity wymagań wstępnych jako listy kontrolnej, aby upewnić się, że środowisko jest gotowe.
Następnie zaloguj się do portalu usługi Defender for Identity, aby utworzyć wystąpienie, a następnie połączyć to wystąpienie ze środowiskiem usługi Active Directory.
| Krok | Opis | Więcej informacji |
|---|---|---|
| 1 | Tworzenie wystąpienia usługi Defender for Identity | Szybki start: tworzenie wystąpienia Microsoft Defender for Identity |
| 2 | Łączenie wystąpienia usługi Defender for Identity z lasem usługi Active Directory | Szybki start: nawiązywanie połączenia z lasem usługi Active Directory |
Krok 2. Instalowanie i konfigurowanie czujników
Następnie pobierz, zainstaluj i skonfiguruj czujnik Defender for Identity na serwerach kontrolerów domeny, usług AD FS i AD CS w środowisku lokalnym.
| Krok | Opis | Więcej informacji |
|---|---|---|
| 1 | Określ, ile czujników Microsoft Defender for Identity potrzebujesz. | Planowanie pojemności dla Microsoft Defender for Identity |
| 2 | Pobieranie pakietu konfiguracji czujnika | Szybki start: pobieranie pakietu konfiguracji czujnika Microsoft Defender for Identity |
| 3 | Instalowanie czujnika usługi Defender for Identity | Szybki start: instalowanie czujnika Microsoft Defender for Identity |
| 4 | Konfigurowanie czujnika | Konfigurowanie ustawień czujnika Microsoft Defender for Identity |
Krok 3. Konfigurowanie ustawień dziennika zdarzeń i serwera proxy na maszynach za pomocą czujnika
Na komputerach, na których zainstalowano czujnik, skonfiguruj zbieranie dzienników zdarzeń systemu Windows i ustawienia internetowego serwera proxy, aby włączyć i zwiększyć możliwości wykrywania.
| Krok | Opis | Więcej informacji |
|---|---|---|
| 1 | Konfigurowanie zbierania dzienników zdarzeń systemu Windows | Konfigurowanie kolekcji zdarzeń systemu Windows |
| 2 | Konfigurowanie ustawień internetowego serwera proxy | Konfigurowanie ustawień serwera proxy punktu końcowego i łączności z Internetem dla czujnika Microsoft Defender for Identity |
Krok 4. Zezwalanie usłudze Defender for Identity na identyfikowanie administratorów lokalnych na innych komputerach
Microsoft Defender for Identity wykrywanie bocznych ścieżek przenoszenia opiera się na zapytaniach identyfikujących administratorów lokalnych na określonych maszynach. Te zapytania są wykonywane przy użyciu protokołu SAM-R przy użyciu konta usługi Defender for Identity Service.
Aby upewnić się, że klienci i serwery systemu Windows zezwalają kontu usługi Defender for Identity na wykonywanie funkcji SAM-R, należy wprowadzić modyfikację zasady grupy w celu dodania konta usługi Defender for Identity oprócz skonfigurowanych kont wymienionych w zasadach dostępu do sieci. Pamiętaj, aby zastosować zasady grupy do wszystkich komputerów z wyjątkiem kontrolerów domeny.
Aby uzyskać instrukcje dotyczące tego, jak to zrobić, zobacz Konfigurowanie Microsoft Defender for Identity do wykonywania zdalnych wywołań do sam.
Krok 5. Konfigurowanie zaleceń dotyczących testu porównawczego dla środowiska tożsamości
Firma Microsoft udostępnia zalecenia dotyczące testów porównawczych zabezpieczeń dla klientów korzystających z usług w chmurze firmy Microsoft. Test porównawczy zabezpieczeń platformy Azure (ASB) zawiera nakazowe najlepsze rozwiązania i zalecenia ułatwiające zwiększenie bezpieczeństwa obciążeń, danych i usług na platformie Azure.
Zaimplementowanie tych zaleceń może zająć trochę czasu, aby zaplanować i zaimplementować. Zalecenia te znacznie zwiększają bezpieczeństwo środowiska tożsamości, ale nie powinny uniemożliwiać kontynuowania oceny i implementowania Microsoft Defender for Identity. Te zalecenia są dostępne tutaj dla Twojej świadomości.
Krok 6. Wypróbowanie możliwości
Dokumentacja usługi Defender for Identity zawiera następujące samouczki, w których opisano proces identyfikowania i korygowania różnych typów ataków:
- Alerty rekonesansu
- Alerty dotyczące naruszeń poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Alerty dotyczące dominacji domeny
- Alerty eksfiltracji
- Badanie użytkownika
- Badanie komputera
- Badanie ścieżek ruchu bocznego
- Badanie jednostek
Integracja zarządzania informacjami i zdarzeniami zabezpieczeń
Usługę Defender for Identity można zintegrować z usługą Microsoft Sentinel lub ogólną usługą zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji. Dzięki Microsoft Sentinel można bardziej kompleksowo analizować zdarzenia zabezpieczeń w całej organizacji i tworzyć podręczniki w celu zapewnienia skutecznej i natychmiastowej reakcji.
Microsoft Sentinel zawiera łącznik usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz łącznik Microsoft Defender for Identity dla Microsoft Sentinel.
Aby uzyskać informacje na temat integracji z systemami SIEM innych firm, zobacz Ogólna integracja SIEM.
Następny krok
Uwzględnij następujące elementy w procesach SecOps:
- Wyświetlanie pulpitu nawigacyjnego ITDR
- Wyświetlanie problemów z kondycją usługi Defender for Identity i zarządzanie nimi
Następny krok dla kompleksowego wdrożenia Microsoft Defender XDR
Kontynuuj kompleksowe wdrażanie Microsoft Defender XDR za pomocą Ochrona usługi Office 365 w usłudze Defender pilotażowego i wdrażania.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.