Implantar o Microsoft Defender for Identity com o Microsoft Defender XDR
Este artigo fornece uma visão geral do processo de implantação completo do Microsoft Defender for Identity, incluindo etapas de preparação, implantação e etapas extras para cenários específicos.
O Defender for Identity é um componente principal de uma estratégia Zero Trust e sua implantação de ITDR (Identity Threat Detection and Response) ou XDR (Extended Threat Detection and Response) com o Microsoft Defender XDR. O Defender for Identity usa sinais de seus servidores de infraestrutura de identidade, como controladores de domínio, servidores AD FS / AD CS e Entra Connect para detetar ameaças como escalonamento de privilégios ou movimento lateral de alto risco, e relatórios sobre problemas de identidade facilmente explorados, como delegação Kerberos sem restrições, para correção pela equipe de segurança.
Para obter um conjunto rápido de destaques de implantação, consulte Guia de instalação rápida.
Pré-requisitos
Antes de começar, certifique-se de que tem acesso ao Microsoft Defender XDR pelo menos como administrador de segurança e que tem uma das seguintes licenças:
- Mobilidade Empresarial + Segurança E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Segurança do Microsoft 365 E5/A5/G5/F5*
- Segurança + Conformidade com o Microsoft 365 F5*
- Uma licença independente do Defender for Identity
* Ambas as licenças F5 requerem Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3.
Adquira licenças diretamente através do portal do Microsoft 365 ou utilize o modelo de licenciamento Cloud Solution Partner (CSP).
Para obter mais informações, consulte Perguntas frequentes sobre licenciamento e privacidade e O que são funções e permissões do Defender for Identity?
Começar a usar o Microsoft Defender XDR
Esta seção descreve como iniciar a integração ao Defender for Identity.
- Entre no portal do Microsoft Defender.
- No menu de navegação, selecione qualquer item, como Incidentes & alertas, Caça, Central de ações ou Análise de ameaças para iniciar o processo de integração.
Em seguida, você terá a opção de implantar serviços suportados, incluindo o Microsoft Defender for Identity. Os componentes de nuvem necessários para o Defender for Identity são adicionados automaticamente quando você abre a página de configurações do Defender for Identity.
Para obter mais informações, consulte:
- Microsoft Defender para identidade no Microsoft Defender XDR
- Introdução ao Microsoft Defender XDR
- Ativar o Microsoft Defender XDR
- Implantar serviços suportados
- Perguntas frequentes ao ativar o Microsoft Defender XDR
Importante
Atualmente, os data centers do Defender for Identity estão implantados na Europa, Reino Unido, Suíça, América do Norte/América Central/Caribe, Austrália Oriental, Ásia e Índia. Seu espaço de trabalho (instância) é criado automaticamente na região do Azure mais próxima da localização geográfica do locatário do Microsoft Entra. Depois de criados, os espaços de trabalho do Defender for Identity não são móveis.
Planear e preparar
Use as seguintes etapas para se preparar para implantar o Defender for Identity:
Certifique-se de que tem todos os pré-requisitos necessários.
Planeje sua capacidade de Defender para Identidade.
Gorjeta
Recomendamos executar o script Test-MdiReadiness.ps1 para testar e ver se seu ambiente tem os pré-requisitos necessários.
O link para o script Test-MdiReadiness.ps1 também está disponível no Microsoft Defender XDR, na página Ferramentas de Identidades > (Visualização).
Implantar o Defender for Identity
Depois de preparar o sistema, use as seguintes etapas para implantar o Defender for Identity:
- Verifique a conectividade com o serviço Defender for Identity.
- Faça o download do sensor Defender for Identity.
- Instale o sensor Defender for Identity.
- Configure o sensor do Defender for Identity para começar a receber dados.
Configuração pós-implantação
Os procedimentos a seguir ajudam a concluir o processo de implantação:
Configure a coleção de eventos do Windows. Para obter mais informações, consulte Coleta de eventos com o Microsoft Defender for Identity e Configurar políticas de auditoria para logs de eventos do Windows.
Habilite e configure o RBAC (controle de acesso unificado baseado em função) para o Defender for Identity.
Configure uma conta de serviço de diretório (DSA) para uso com o Defender for Identity. Embora um DSA seja opcional em alguns cenários, recomendamos que você configure um DSA para o Defender for Identity para cobertura total de segurança. Por exemplo, quando você tem um DSA configurado, o DSA é usado para se conectar ao controlador de domínio na inicialização. Um DSA também pode ser usado para consultar o controlador de domínio em busca de dados sobre entidades vistas no tráfego de rede, eventos monitorados e atividades ETW monitoradas
Configure chamadas remotas para SAM conforme necessário. Embora esta etapa seja opcional, recomendamos que você configure chamadas remotas para SAM-R para deteção de caminho de movimento lateral com o Defender for Identity.
Gorjeta
Por padrão, os sensores do Defender for Identity consultam o diretório usando LDAP nas portas 389 e 3268. Para mudar para LDAPS nas portas 636 e 3269, abra um caso de suporte. Para obter mais informações, consulte Suporte do Microsoft Defender for Identity.
Importante
A instalação de um sensor Defender for Identity em servidores AD FS / AD CS e Entra Connect requer etapas extras. Para obter mais informações, consulte Configurando sensores para AD FS, AD CS e Entra Connect.