Pilote e implemente Microsoft Defender para Identidade
Aplica-se a:
- Microsoft Defender XDR
Este artigo fornece um fluxo de trabalho para testar e implementar Microsoft Defender para Identidade na sua organização. Pode utilizar estas recomendações para integrar Microsoft Defender para Identidade como uma ferramenta de cibersegurança individual ou como parte de uma solução ponto a ponto com Microsoft Defender XDR.
Este artigo pressupõe que tem um inquilino do Microsoft 365 de produção e está a testar e implementar Microsoft Defender para Identidade neste ambiente. Esta prática irá manter todas as definições e personalizações que configurar durante o piloto para a sua implementação completa.
Defender para Office 365 contribui para uma arquitetura Confiança Zero, ajudando a evitar ou reduzir os danos comerciais causados por uma falha de segurança. Para obter mais informações, veja Prevent or reduce business damage from a breach business scenario in the Microsoft Confiança Zero adoption framework (Evitar ou reduzir danos comerciais de um cenário de negócio de falha de segurança) no microsoft Confiança Zero adoption framework.
Implementação ponto a ponto para Microsoft Defender XDR
Este é o artigo 2 de 6 de uma série para ajudá-lo a implementar os componentes de Microsoft Defender XDR, incluindo investigar e responder a incidentes.
Os artigos nesta série correspondem às seguintes fases da implementação ponto a ponto:
Fase | Link |
---|---|
A. Iniciar o piloto | Iniciar o piloto |
B. Pilotar e implementar componentes de Microsoft Defender XDR |
-
Pilote e implemente o Defender para Identidade (este artigo) - Pilote e implemente Defender para Office 365 - Pilote e implemente o Defender para Endpoint - Pilote e implemente Microsoft Defender para Aplicativos de Nuvem |
C. Investigar e responder às ameaças | Praticar a investigação e resposta a incidentes |
Testar e implementar o fluxo de trabalho do Defender para Identidade
O diagrama seguinte ilustra um processo comum para implementar um produto ou serviço num ambiente de TI.
Comece por avaliar o produto ou serviço e como irá funcionar na sua organização. Em seguida, vai testar o produto ou serviço com um subconjunto convenientemente pequeno da sua infraestrutura de produção para testes, aprendizagem e personalização. Em seguida, aumente gradualmente o âmbito da implementação até que toda a sua infraestrutura ou organização seja abrangida.
Eis o fluxo de trabalho para testar e implementar o Defender para Identidade no seu ambiente de produção.
Siga estas etapas:
- Configurar a instância do Defender para Identidade
- Instalar e configurar sensores
- Configurar o registo de eventos e as definições de proxy em computadores com o sensor
- Permitir que o Defender para Identidade identifique administradores locais noutros computadores
- Configurar recomendações de referência para o seu ambiente de identidade
- Experimentar capacidades
Eis os passos recomendados para cada fase de implementação.
Fase de implementação | Descrição |
---|---|
Avaliar | Efetue a avaliação do produto para o Defender para Identidade. |
Piloto | Execute os Passos 1 a 6 para um subconjunto adequado de servidores com sensores no seu ambiente de produção. |
Implantação completa | Execute os Passos 2 a 5 para os servidores restantes, expandindo-se para além do piloto para incluir todos. |
Proteger a sua organização contra hackers
O Defender para Identidade fornece proteção avançada por si só. No entanto, quando combinado com as outras capacidades do Microsoft Defender XDR, o Defender para Identidade fornece dados para os sinais partilhados que, em conjunto, ajudam a parar os ataques.
Eis um exemplo de um ciberataque e como os componentes do Microsoft Defender XDR ajudam a detetá-lo e a mitigá-lo.
O Defender para Identidade recolhe sinais de controladores de domínio do Active Directory Domain Services (AD DS) e servidores com Serviços de Federação do Active Directory (AD FS) (AD FS) e Serviços de Certificados do Active Directory (AD CS). Utiliza estes sinais para proteger o seu ambiente de identidade híbrida, incluindo a proteção contra hackers que utilizam contas comprometidas para se moverem lateralmente entre estações de trabalho no ambiente no local.
Microsoft Defender XDR correlaciona os sinais de todos os componentes Microsoft Defender para fornecer a história completa do ataque.
Arquitetura do Defender para Identidade
Microsoft Defender para Identidade está totalmente integrado com Microsoft Defender XDR e tira partido dos sinais de identidades Active Directory local para o ajudar a identificar, detetar e investigar melhor ameaças avançadas direcionadas para a sua organização.
Implemente Microsoft Defender para Identidade para ajudar as suas equipas de Operações de Segurança (SecOps) a fornecer uma solução moderna de deteção e resposta a ameaças de identidade (ITDR) em ambientes híbridos, incluindo:
- Impedir falhas de segurança através de avaliações proativas da postura de segurança de identidade
- Detetar ameaças com análises em tempo real e inteligência de dados
- Investigar atividades suspeitas com informações claras e acionáveis sobre incidentes
- Responda a ataques através da resposta automática a identidades comprometidas. Para obter mais informações, consulte O que é Microsoft Defender para Identidade?
O Defender para Identidade protege as contas de utilizador do AD DS no local e as contas de utilizador sincronizadas com o seu inquilino Microsoft Entra ID. Para proteger um ambiente composto apenas por Microsoft Entra contas de utilizador, veja Microsoft Entra ID Protection.
O diagrama seguinte ilustra a arquitetura do Defender para Identidade.
Nesta ilustração:
- Os sensores instalados nos controladores de domínio do AD DS e nos servidores do AD CS analisam os registos e o tráfego de rede e enviam-nos para Microsoft Defender para Identidade para análise e relatórios.
- Os sensores também podem analisar autenticações do AD FS para fornecedores de identidade de terceiros e quando Microsoft Entra ID está configurada para utilizar a autenticação federada (as linhas pontilhadas na ilustração).
- Microsoft Defender para Identidade partilha sinais para Microsoft Defender XDR.
Os sensores do Defender para Identidade podem ser instalados diretamente nos seguintes servidores:
Controladores de domínio do AD DS
O sensor monitoriza diretamente o tráfego do controlador de domínio, sem a necessidade de um servidor dedicado ou a configuração do espelhamento de porta.
Servidores do AD CS
Servidores do AD FS
O sensor monitoriza diretamente o tráfego de rede e os eventos de autenticação.
Para obter uma visão mais aprofundada da arquitetura do Defender para Identidade, veja arquitetura Microsoft Defender para Identidade.
Passo 1: Configurar a instância do Defender para Identidade
Em primeiro lugar, o Defender para Identidade requer algum trabalho de pré-requisitos para garantir que a identidade no local e os componentes de rede cumprem os requisitos mínimos. Utilize o artigo Microsoft Defender para Identidade pré-requisitos como uma lista de verificação para garantir que o seu ambiente está pronto.
Em seguida, inicie sessão no portal do Defender para Identidade para criar a instância e, em seguida, ligue esta instância ao seu ambiente do Active Directory.
Etapa | Descrição | Mais informações |
---|---|---|
1 | Criar a instância do Defender para Identidade | Início Rápido: crie sua instância do Microsoft Defender para Identidade |
2 | Ligar a instância do Defender para Identidade à floresta do Active Directory | Início Rápido: Ligar à floresta do Active Directory |
Passo 2: Instalar e configurar sensores
Em seguida, transfira, instale e configure o sensor do Defender para Identidade nos controladores de domínio, nos servidores do AD FS e do AD CS no seu ambiente no local.
Etapa | Descrição | Mais informações |
---|---|---|
1 | Determine quantos sensores de Microsoft Defender para Identidade precisa. | Capacidade de planejamento para Microsoft Defender para Identidade |
2 | Transferir o pacote de configuração do sensor | Início Rápido: Transferir o pacote de configuração do sensor Microsoft Defender para Identidade |
3 | Instalar o sensor do Defender para Identidade | Início Rápido: Instalar o sensor de Microsoft Defender para Identidade |
4 | Configurar o sensor | Configurar as definições do sensor Microsoft Defender para Identidade |
Passo 3: Configurar o registo de eventos e as definições de proxy em computadores com o sensor
Nos computadores em que instalou o sensor, configure a recolha de registos de eventos do Windows e as definições de proxy da Internet para ativar e melhorar as capacidades de deteção.
Etapa | Descrição | Mais informações |
---|---|---|
1 | Configurar a recolha de registos de eventos do Windows | Configurar a coleção de Eventos do Windows |
2 | Configurar definições de proxy da Internet | Configurar as definições de proxy de ponto final e de conectividade Internet para o sensor de Microsoft Defender para Identidade |
Passo 4: Permitir que o Defender para Identidade identifique administradores locais noutros computadores
Microsoft Defender para Identidade deteção de caminho de movimento lateral baseia-se em consultas que identificam administradores locais em computadores específicos. Estas consultas são efetuadas com o protocolo SAM-R, utilizando a conta do Serviço defender para identidade.
Para garantir que os clientes e servidores do Windows permitem que a sua conta do Defender para Identidade execute SAM-R, tem de ser efetuada uma modificação ao Política de Grupo para adicionar a conta de serviço do Defender para Identidade, além das contas configuradas listadas na política de acesso à Rede. Certifique-se de que aplica políticas de grupo a todos os computadores , exceto aos controladores de domínio.
Para obter instruções sobre como fazê-lo, veja Configurar Microsoft Defender para Identidade para efetuar chamadas remotas para SAM.
Passo 5: Configurar recomendações de referência para o seu ambiente de identidade
A Microsoft fornece recomendações de referência de segurança para clientes que utilizam serviços Cloud da Microsoft. A Referência de Segurança do Azure (ASB) fornece melhores práticas prescritivas e recomendações para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure.
A implementação destas recomendações pode demorar algum tempo a planear e implementar. Embora estas recomendações aumentem consideravelmente a segurança do seu ambiente de identidade, não devem impedi-lo de continuar a avaliar e implementar Microsoft Defender para Identidade. Estas recomendações são fornecidas aqui para sua consciência.
Passo 6: Experimentar as capacidades
A documentação do Defender para Identidade inclui os seguintes tutoriais que explicam o processo de identificação e remediação de vários tipos de ataque:
- Alertas de reconhecimento
- Alertas de credenciais comprometidos
- Alertas de movimento lateral
- Alertas de dominância de domínio
- Alertas de exfiltração
- Investigar um utilizador
- Investigar um computador
- Investigar caminhos de movimento lateral
- Investigar entidades nos dispositivos
Integração SIEM
Pode integrar o Defender para Identidade com Microsoft Sentinel ou um serviço genérico de gestão de informações e eventos de segurança (SIEM) para ativar a monitorização centralizada de alertas e atividades de aplicações ligadas. Com Microsoft Sentinel, pode analisar eventos de segurança em toda a sua organização de forma mais abrangente e criar manuais de procedimentos para obter uma resposta eficaz e imediata.
Microsoft Sentinel inclui um conector do Defender para Identidade. Para obter mais informações, veja Microsoft Defender para Identidade conector para Microsoft Sentinel.
Para obter informações sobre a integração com sistemas SIEM de terceiros, veja Integração genérica do SIEM.
Próxima etapa
Incorpore o seguinte nos seus processos secOps:
Passo seguinte para a implementação ponto a ponto do Microsoft Defender XDR
Continue a implementação ponto a ponto do Microsoft Defender XDR com o Piloto e implemente Defender para Office 365.
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.