Ознакомьтесь с требованиями к архитектуре и основными понятиями для Microsoft Defender для удостоверений
Область применения:
- Microsoft Defender XDR
Эта статья является этапом 1 из 3 в процессе настройки среды оценки для Microsoft Defender для удостоверений. Дополнительные сведения об этом процессе см. в обзорной статье.
Перед включением Microsoft Defender для удостоверений убедитесь, что вы понимаете архитектуру и можете соответствовать требованиям.
Microsoft Defender для удостоверений полностью интегрирована с Microsoft Defender XDR и использует сигналы от локальная служба Active Directory и облачных удостоверений, чтобы лучше выявлять, обнаруживать и исследовать расширенные угрозы, направленные в вашей организации.
Разверните Microsoft Defender для удостоверений, чтобы помочь командам SecOp предоставить современное решение для обнаружения угроз идентификации (ITDR) в гибридных средах, в том числе:
- Предотвращение нарушений с помощью упреждающих оценок состояния безопасности удостоверений
- Обнаружение угроз с помощью аналитики в режиме реального времени и аналитики данных
- Исследование подозрительных действий с использованием четкой информации об инцидентах с действиями
- Реагирование на атаки с помощью автоматического ответа на скомпрометированные удостоверения. Дополнительные сведения см. в статье Что такое Microsoft Defender для удостоверений?
Defender для удостоверений защищает пользователей локальная служба Active Directory и (или) синхронизированную с Microsoft Entra ID. Сведения о защите среды, состоящей только из Microsoft Entra пользователей, см. в разделе Защита Microsoft Entra ID.
Знакомство с архитектурой
На следующей схеме показана базовая архитектура Defender для удостоверений.
На этой иллюстрации:
- Датчики, установленные на контроллерах домена доменные службы Active Directory (AD DS) и серверах служб сертификатов Active Directory (AD CS), анализируют журналы и сетевой трафик и отправляют их в Microsoft Defender для удостоверений для анализа и создания отчетов.
- Датчики также могут анализировать службы федерации Active Directory (AD FS) проверки подлинности (AD FS) для сторонних поставщиков удостоверений и при настройке Microsoft Entra ID для использования федеративной проверки подлинности (пунктирные линии на рисунке).
- Microsoft Defender для удостоверений передает сигналы для Microsoft Defender XDR для расширенного обнаружения и реагирования (XDR).
Датчики Defender для удостоверений можно установить непосредственно на следующих серверах:
Контроллеры доменов AD DS
Датчик напрямую отслеживает трафик контроллера домена без необходимости использования выделенного сервера или конфигурации зеркального отображения портов.
Серверы AD CS
Серверы AD FS
Датчик напрямую отслеживает сетевой трафик и события проверки подлинности.
Более подробное описание архитектуры Defender для удостоверений см. в разделе архитектура Microsoft Defender для удостоверений.
Основные понятия
В следующей таблице определены ключевые понятия, которые важно понимать при оценке, настройке и развертывании Microsoft Defender для удостоверений.
Понятие | Описание | Дополнительная информация |
---|---|---|
Отслеживаемые действия | Defender для удостоверений отслеживает сигналы, созданные внутри организации, для обнаружения подозрительных или вредоносных действий и помогает определить допустимость каждой потенциальной угрозы, чтобы вы могли эффективно рассматривать и реагировать на них. | Microsoft Defender для удостоверений отслеживаемые действия |
Оповещения системы безопасности | Оповещения системы безопасности Defender для удостоверений объясняют подозрительные действия, обнаруженные датчиками в сети, а также субъектами и компьютерами, участвующими в каждой угрозе. | оповещения системы безопасности Microsoft Defender для удостоверений |
Профили сущностей | Профили сущностей предоставляют комплексное подробное исследование пользователей, компьютеров, устройств и ресурсов, а также их журнала доступа. | Общие сведения о профилях сущностей |
Пути бокового смещения | Ключевым компонентом аналитики безопасности MDI является определение путей бокового перемещения, в которых злоумышленник использует не конфиденциальные учетные записи для получения доступа к конфиденциальным учетным записям или компьютерам в сети. | Microsoft Defender для удостоверений пути бокового смещения (LPS) |
Разрешение сетевых имен | Разрешение сетевых имен (NNR) — это компонент функции MDI, который фиксирует действия на основе сетевого трафика, событий Windows, ETW и т. д. и сопоставляет эти необработанные данные с соответствующими компьютерами, участвующими в каждом действии. | Что такое разрешение сетевых имен? |
Отчеты | Отчеты Defender для удостоверений позволяют запланировать или немедленно создавать и скачивать отчеты, предоставляющие сведения о состоянии системы и сущности. Вы можете создавать отчеты о работоспособности системы, оповещениях системы и потенциальных путях бокового перемещения, обнаруженных в вашей среде. | Отчеты Microsoft Defender для удостоверений |
Группы ролей | Defender для удостоверений предлагает группы на основе ролей и делегированный доступ для защиты данных в соответствии с конкретными потребностями вашей организации в области безопасности и соответствия требованиям, включая администраторов, пользователей и зрителей. | Группы ролей Microsoft Defender для удостоверений |
Портал администрирования | Помимо портала Microsoft Defender, портал Defender для удостоверений можно использовать для мониторинга подозрительных действий и реагирования на них. | Работа на портале Microsoft Defender для удостоверений |
интеграция Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps интегрируется с Microsoft Defender для удостоверений для предоставления аналитики поведения сущностей пользователей (UEBA) в гибридной среде — как в облачном приложении, так и в локальной среде. | интеграция Microsoft Defender для удостоверений |
Проверка предварительных требований
Defender для удостоверений требует некоторых предварительных требований, чтобы обеспечить соответствие локальных удостоверений и сетевых компонентов минимальным требованиям. Используйте эту статью в качестве контрольного списка, чтобы убедиться, что среда готова: Microsoft Defender для удостоверений предварительные требования.
Дальнейшие действия
Шаг 2 из 3. Включение среды оценки Defender для удостоверений
Вернитесь к обзору оценки Microsoft Defender для удостоверений
Вернитесь к обзору оценки и пилотного Microsoft Defender XDR
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по