Пилотный проект и развертывание Microsoft Defender для удостоверений
Область применения:
- Microsoft Defender XDR
В этой статье представлен рабочий процесс для пилотного развертывания и развертывания Microsoft Defender для удостоверений в организации. Эти рекомендации можно использовать для подключения Microsoft Defender для удостоверений в качестве отдельного средства кибербезопасности или в составе комплексного решения с помощью Microsoft Defender XDR.
В этой статье предполагается, что у вас есть рабочий клиент Microsoft 365 и вы выполняете пилотное развертывание Microsoft Defender для удостоверений в этой среде. Эта практика будет поддерживать все параметры и настройки, настроенные во время пилотного проекта для полного развертывания.
Defender для Office 365 вносит свой вклад в архитектуру "Никому не доверяй", помогая предотвратить или уменьшить ущерб для бизнеса от брейка. Дополнительные сведения см. в статье Предотвращение или уменьшение ущерба для бизнеса в результате нарушения бизнес-сценария платформы внедрения "Никому не доверяй" (Майкрософт).
Комплексное развертывание XDR в Microsoft Defender
Это статья 2 из 6 в серии, помогающая развернуть компоненты XDR в Microsoft Defender, включая расследование инцидентов и реагирование на них.
Статьи этой серии соответствуют следующим этапам комплексного развертывания:
| Этап | Ссылка |
|---|---|
| О. Запуск пилотного проекта | Запуск пилотного проекта |
| Б. Пилотный проект и развертывание компонентов XDR в Microsoft Defender | - Пилотный проект и развертывание Defender для удостоверений (эта статья) - Пилотное развертывание Defender для Office 365 - Пилотный проект и развертывание Defender для конечной точки - Пилотный проект и развертывание Microsoft Defender для облачных приложений |
| C. Исследование угроз и реагирование на них | Практическое исследование инцидентов и реагирование на инциденты |
Пилотный и развертывание рабочего процесса для Defender для удостоверений
На следующей схеме показан общий процесс развертывания продукта или службы в ИТ-среде.
Вы начинаете с оценки продукта или службы и того, как они будут работать в вашей организации. Затем вы пилотируете продукт или службу с подходящим небольшим подмножеством производственной инфраструктуры для тестирования, обучения и настройки. Затем постепенно увеличивайте область развертывания, пока не будет охвачена вся инфраструктура или организация.
Ниже приведен рабочий процесс для пилотного развертывания и развертывания Defender для удостоверений в рабочей среде.
Выполните следующие действия:
- Настройка экземпляра Defender для удостоверений
- Установка и настройка датчиков
- Настройка параметров журнала событий и прокси-сервера на компьютерах с помощью датчика
- Разрешить Defender для удостоверений идентифицировать локальных администраторов на других компьютерах
- Настройка рекомендаций производительности для среды удостоверений
- Опробуйте возможности
Ниже приведены рекомендуемые действия для каждого этапа развертывания.
| Этап развертывания | Описание |
|---|---|
| Оценка | Выполните оценку продукта для Defender для удостоверений. |
| Пилотный проект | Выполните шаги 1–6 для подходящего подмножества серверов с датчиками в рабочей среде. |
| Полное развертывание | Выполните шаги 2–5 для остальных серверов, чтобы выйти за рамки пилотного проекта и включить все они. |
Защита организации от хакеров
Defender для удостоверений обеспечивает эффективную защиту самостоятельно. Однако в сочетании с другими возможностями XDR в Microsoft Defender Defender Defender defender для удостоверений предоставляет данные в общие сигналы, которые вместе помогают остановить атаки.
Ниже приведен пример кибератаки и того, как компоненты XDR в Microsoft Defender помогают обнаруживать и устранять ее.
Defender для удостоверений собирает сигналы от контроллеров домена доменных служб Active Directory (AD DS) и серверов, на которых запущены службы федерации Active Directory (AD FS) и службы сертификатов Active Directory (AD CS). Эти сигналы используются для защиты гибридной среды идентификации, в том числе для защиты от хакеров, которые используют скомпрометированные учетные записи для бокового перемещения между рабочими станциями в локальной среде.
XDR в Microsoft Defender сопоставляет сигналы от всех компонентов Microsoft Defender, чтобы предоставить полную историю атаки.
Архитектура Defender для удостоверений
Microsoft Defender для удостоверений полностью интегрирован с Microsoft Defender XDR и использует сигналы от локальных удостоверений Active Directory, чтобы лучше выявлять, обнаруживать и исследовать расширенные угрозы, направленные на вашу организацию.
Разверните Microsoft Defender для удостоверений, чтобы помочь группам по операциям безопасности (SecOps) предоставить современное решение для обнаружения угроз идентификации и реагирования на них (ITDR) в гибридных средах, в том числе:
- Предотвращение нарушений с помощью упреждающих оценок состояния безопасности удостоверений
- Обнаружение угроз с помощью аналитики в режиме реального времени и аналитики данных
- Исследование подозрительных действий с использованием четкой информации об инцидентах с действиями
- Реагирование на атаки с помощью автоматического ответа на скомпрометированные удостоверения. Дополнительные сведения см. в статье Что такое Microsoft Defender для удостоверений?
Defender для удостоверений защищает локальные учетные записи пользователей AD DS и учетные записи пользователей, синхронизированные с клиентом Microsoft Entra ID. Сведения о защите среды, состоящей только из учетных записей пользователей Microsoft Entra, см. в статье Защита идентификаторов Microsoft Entra.
На следующей схеме показана архитектура Defender для удостоверений.
На этой иллюстрации:
- Датчики, установленные на контроллерах домена AD DS и серверах AD CS, анализируют журналы и сетевой трафик и отправляют их в Microsoft Defender для удостоверений для анализа и создания отчетов.
- Датчики также могут анализировать проверки подлинности AD FS для сторонних поставщиков удостоверений и при настройке идентификатора Microsoft Entra для использования федеративной проверки подлинности (пунктирные линии на рисунке).
- Microsoft Defender для удостоверений передает сигналы XDR в Microsoft Defender.
Датчики Defender для удостоверений можно установить непосредственно на следующих серверах:
Контроллеры доменов AD DS
Датчик напрямую отслеживает трафик контроллера домена без необходимости использования выделенного сервера или конфигурации зеркального отображения портов.
Серверы AD CS
Серверы AD FS
Датчик напрямую отслеживает сетевой трафик и события проверки подлинности.
Более подробное описание архитектуры Defender для удостоверений см. в статье Архитектура Microsoft Defender для удостоверений.
Шаг 1. Настройка экземпляра Defender для удостоверений
Во-первых, Defender для удостоверений требует некоторых предварительных требований, чтобы обеспечить соответствие локальных удостоверений и сетевых компонентов минимальным требованиям. Используйте статью Предварительные требования Microsoft Defender для удостоверений в качестве контрольного списка, чтобы убедиться, что ваша среда готова.
Затем войдите на портал Defender для удостоверений, чтобы создать экземпляр, а затем подключите его к среде Active Directory.
| Шаг | Описание | Дополнительная информация |
|---|---|---|
| 1 | Создание экземпляра Defender для удостоверений | Краткое руководство. Создание экземпляра Microsoft Defender для удостоверений |
| 2 | Подключение экземпляра Defender для удостоверений к лесу Active Directory | Краткое руководство. Подключение к лесу Active Directory |
Шаг 2. Установка и настройка датчиков
Затем скачайте, установите и настройте датчик Defender для удостоверений на контроллерах домена, серверах AD FS и AD CS в локальной среде.
| Шаг | Описание | Дополнительная информация |
|---|---|---|
| 1 | Определите необходимое количество датчиков Microsoft Defender для удостоверений. | Планирование ресурсов для Microsoft Defender для удостоверений |
| 2 | Скачивание пакета настройки датчика | Краткое руководство. Скачивание пакета настройки датчика Microsoft Defender для удостоверений |
| 3 | Установка датчика Defender для удостоверений | Краткое руководство. Установка датчика Microsoft Defender для удостоверений |
| 4 | Настройка датчика | Настройка параметров датчика Microsoft Defender для удостоверений |
Шаг 3. Настройка параметров журнала событий и прокси-сервера на компьютерах с помощью датчика
На компьютерах, на которые установлен датчик, настройте сбор журналов событий Windows и параметры прокси-сервера в Интернете, чтобы включить и расширить возможности обнаружения.
| Шаг | Описание | Дополнительная информация |
|---|---|---|
| 1 | Настройка сбора журналов событий Windows | Настройка коллекции событий Windows |
| 2 | Настройка параметров прокси-сервера в Интернете | Настройка прокси-сервера конечной точки и параметров подключения к Интернету для датчика Microsoft Defender для удостоверений |
Шаг 4. Разрешить Defender для удостоверений идентифицировать локальных администраторов на других компьютерах
Обнаружение пути бокового перемещения в Microsoft Defender для удостоверений зависит от запросов, которые определяют локальных администраторов на определенных компьютерах. Эти запросы выполняются по протоколу SAM-R с использованием учетной записи Службы Defender для удостоверений.
Чтобы клиенты и серверы Windows разрешали учетной записи Defender для удостоверений выполнять SAM-R, необходимо внести изменения в групповую политику, чтобы добавить учетную запись службы Defender для удостоверений в дополнение к настроенным учетным записям, перечисленным в политике сетевого доступа. Обязательно применяйте групповые политики ко всем компьютерам , кроме контроллеров домена.
Инструкции о том, как это сделать, см. в статье Настройка Microsoft Defender для удостоверений для выполнения удаленных вызовов к SAM.
Шаг 5. Настройка рекомендаций производительности для среды удостоверений
Корпорация Майкрософт предоставляет рекомендации по эталонам безопасности для клиентов, использующих облачные службы Майкрософт. Azure Security Benchmark (ASB) содержит рекомендации и рекомендации по повышению безопасности рабочих нагрузок, данных и служб в Azure.
Реализация этих рекомендаций может занять некоторое время для планирования и реализации. Хотя эти рекомендации значительно повышают безопасность вашей среды удостоверений, они не должны препятствовать вам продолжать оценивать и внедрять Microsoft Defender для удостоверений. Эти рекомендации приведены здесь для вашей осведомленности.
Шаг 6. Опробуйте возможности
Документация по Defender для удостоверений содержит следующие учебники, в которые показано, как выявлять и устранять различные типы атак.
- Оповещения рекогносцировки
- Оповещения о компрометации учетных данных
- Оповещения о боковом перемещении
- Оповещения о доминировании в домене
- Оповещения о краже
- Исследование пользователя
- Исследование компьютера
- Исследование путей бокового смещения
- Исследование объектов
Интеграция SIEM
Вы можете интегрировать Defender для удостоверений с Microsoft Sentinel или универсальной службой управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. С помощью Microsoft Sentinel вы можете более полно анализировать события безопасности в организации и создавать сборники схем для эффективного и немедленного реагирования.
Microsoft Sentinel включает соединитель Defender для удостоверений. Дополнительные сведения см. в статье Соединитель Microsoft Defender для удостоверений для Microsoft Sentinel.
Сведения об интеграции со сторонними системами SIEM см. в разделе Универсальная интеграция SIEM.
Следующее действие
Включите следующие компоненты в процессы SecOps:
- Просмотр панели мониторинга ITDR
- Просмотр проблем работоспособности Defender для удостоверений и управление ими
Следующий шаг для комплексного развертывания XDR в Microsoft Defender
Продолжайте комплексное развертывание XDR в Microsoft Defender с помощью пилотного проекта и разверните Defender для Office 365.
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по