Пилотный и развертывание Microsoft Defender для удостоверений
Область применения:
- Microsoft Defender XDR
В этой статье представлен рабочий процесс для пилотного развертывания и развертывания Microsoft Defender для удостоверений в организации. Эти рекомендации можно использовать для подключения Microsoft Defender для удостоверений как отдельного средства кибербезопасности или в составе комплексного решения с Microsoft Defender XDR.
В этой статье предполагается, что у вас есть рабочий клиент Microsoft 365 и вы выполняете пилотное развертывание Microsoft Defender для удостоверений в этой среде. Эта практика будет поддерживать все параметры и настройки, настроенные во время пилотного проекта для полного развертывания.
Defender для Office 365 вносит свой вклад в архитектуру "Никому не доверяй", помогая предотвратить или уменьшить ущерб для бизнеса в результате нарушения безопасности. Дополнительные сведения см. в статье Предотвращение или уменьшение ущерба для бизнеса в результате нарушения бизнес-сценария платформы внедрения "Никому не доверяй" (Майкрософт).
Комплексное развертывание для Microsoft Defender XDR
Это статья 2 из 6 в серии, помогающая развернуть компоненты Microsoft Defender XDR, включая расследование инцидентов и реагирование на них.
Статьи этой серии соответствуют следующим этапам комплексного развертывания:
| Этап | Ссылка |
|---|---|
| О. Запуск пилотного проекта | Запуск пилотного проекта |
| Б. Пилотное развертывание и развертывание компонентов Microsoft Defender XDR |
-
Пилотный проект и развертывание Defender для удостоверений (эта статья) - Пилотный и развертывание Defender для Office 365 - Пилотный проект и развертывание Defender для конечной точки - Пилотный и развертывание Microsoft Defender for Cloud Apps |
| C. Исследование угроз и реагирование на них | Практическое исследование инцидентов и реагирование на инциденты |
Пилотный и развертывание рабочего процесса для Defender для удостоверений
На следующей схеме показан общий процесс развертывания продукта или службы в ИТ-среде.
Вы начинаете с оценки продукта или службы и того, как они будут работать в вашей организации. Затем вы пилотируете продукт или службу с подходящим небольшим подмножеством производственной инфраструктуры для тестирования, обучения и настройки. Затем постепенно увеличивайте область развертывания, пока не будет охвачена вся инфраструктура или организация.
Ниже приведен рабочий процесс для пилотного развертывания и развертывания Defender для удостоверений в рабочей среде.
Выполните следующие действия:
- Настройка экземпляра Defender для удостоверений
- Установка и настройка датчиков
- Настройка параметров журнала событий и прокси-сервера на компьютерах с помощью датчика
- Разрешить Defender для удостоверений идентифицировать локальных администраторов на других компьютерах
- Настройка рекомендаций производительности для среды удостоверений
- Опробуйте возможности
Ниже приведены рекомендуемые действия для каждого этапа развертывания.
| Этап развертывания | Описание |
|---|---|
| Оценка | Выполните оценку продукта для Defender для удостоверений. |
| Пилотный проект | Выполните шаги 1–6 для подходящего подмножества серверов с датчиками в рабочей среде. |
| Полное развертывание | Выполните шаги 2–5 для остальных серверов, чтобы выйти за рамки пилотного проекта и включить все они. |
Защита организации от хакеров
Defender для удостоверений обеспечивает эффективную защиту самостоятельно. Однако в сочетании с другими возможностями Microsoft Defender XDR Defender для удостоверений предоставляет данные в общие сигналы, которые вместе помогают остановить атаки.
Ниже приведен пример кибератаки и того, как компоненты Microsoft Defender XDR помочь обнаружить и устранить ее.
Defender для удостоверений собирает сигналы от контроллеров домена доменные службы Active Directory (AD DS) и серверов под управлением службы федерации Active Directory (AD FS) (AD FS) и служб сертификатов Active Directory (AD CS). Эти сигналы используются для защиты гибридной среды идентификации, в том числе для защиты от хакеров, которые используют скомпрометированные учетные записи для бокового перемещения между рабочими станциями в локальной среде.
Microsoft Defender XDR сопоставляет сигналы от всех компонентов Microsoft Defender, чтобы обеспечить полную историю атаки.
Архитектура Defender для удостоверений
Microsoft Defender для удостоверений полностью интегрирована с Microsoft Defender XDR и использует сигналы от локальная служба Active Directory удостоверений для более эффективного выявления, обнаружения и исследования сложных угроз, направленных на ваши организация.
Разверните Microsoft Defender для удостоверений, чтобы помочь командам по операциям безопасности (SecOps) предоставить современное решение для обнаружения угроз идентификации и реагирования на них (ITDR) в гибридных средах, в том числе:
- Предотвращение нарушений с помощью упреждающих оценок состояния безопасности удостоверений
- Обнаружение угроз с помощью аналитики в режиме реального времени и аналитики данных
- Исследование подозрительных действий с использованием четкой информации об инцидентах с действиями
- Реагирование на атаки с помощью автоматического ответа на скомпрометированные удостоверения. Дополнительные сведения см. в статье Что такое Microsoft Defender для удостоверений?
Defender для удостоверений защищает локальные учетные записи пользователей AD DS и учетные записи пользователей, синхронизированные с клиентом Microsoft Entra ID. Сведения о защите среды, состоящей только из Microsoft Entra учетных записей пользователей, см. в разделе Защита Microsoft Entra ID.
На следующей схеме показана архитектура Defender для удостоверений.
На этой иллюстрации:
- Датчики, установленные на контроллерах домена AD DS и серверах AD CS, анализируют журналы и сетевой трафик и отправляют их в Microsoft Defender для удостоверений для анализа и создания отчетов.
- Датчики также могут анализировать проверки подлинности AD FS для сторонних поставщиков удостоверений и при настройке Microsoft Entra ID для использования федеративной проверки подлинности (пунктирные линии на рисунке).
- Microsoft Defender для удостоверений передает сигналы для Microsoft Defender XDR.
Датчики Defender для удостоверений можно установить непосредственно на следующих серверах:
Контроллеры доменов AD DS
Датчик напрямую отслеживает трафик контроллера домена без необходимости использования выделенного сервера или конфигурации зеркального отображения портов.
Серверы AD CS
Серверы AD FS
Датчик напрямую отслеживает сетевой трафик и события проверки подлинности.
Более подробное описание архитектуры Defender для удостоверений см. в разделе архитектура Microsoft Defender для удостоверений.
Шаг 1. Настройка экземпляра Defender для удостоверений
Во-первых, Defender для удостоверений требует некоторых предварительных требований, чтобы обеспечить соответствие локальных удостоверений и сетевых компонентов минимальным требованиям. Используйте статью о предварительных требованиях Microsoft Defender для удостоверений в качестве контрольного списка, чтобы убедиться, что ваша среда готова.
Затем войдите на портал Defender для удостоверений, чтобы создать экземпляр, а затем подключите его к среде Active Directory.
| Шаг | Описание | Дополнительная информация |
|---|---|---|
| 1 | Создание экземпляра Defender для удостоверений | Краткое руководство. Создание экземпляра Microsoft Defender для удостоверений |
| 2 | Подключение экземпляра Defender для удостоверений к лесу Active Directory | Краткое руководство. Подключение к лесу Active Directory |
Шаг 2. Установка и настройка датчиков
Затем скачайте, установите и настройте датчик Defender для удостоверений на контроллерах домена, серверах AD FS и AD CS в локальной среде.
| Шаг | Описание | Дополнительная информация |
|---|---|---|
| 1 | Определите, сколько Microsoft Defender для удостоверений датчиков вам нужно. | Планирование ресурсов для Microsoft Defender для удостоверений |
| 2 | Скачивание пакета настройки датчика | Краткое руководство. Скачивание пакета настройки датчика Microsoft Defender для удостоверений |
| 3 | Установка датчика Defender для удостоверений | Краткое руководство. Установка датчика Microsoft Defender для удостоверений |
| 4 | Настройка датчика | Настройка параметров датчика Microsoft Defender для удостоверений |
Шаг 3. Настройка параметров журнала событий и прокси-сервера на компьютерах с помощью датчика
На компьютерах, на которые установлен датчик, настройте сбор журналов событий Windows и параметры прокси-сервера в Интернете, чтобы включить и расширить возможности обнаружения.
| Шаг | Описание | Дополнительная информация |
|---|---|---|
| 1 | Настройка сбора журналов событий Windows | Настройка коллекции событий Windows |
| 2 | Настройка параметров прокси-сервера в Интернете | Настройка прокси-сервера конечной точки и параметров подключения к Интернету для датчика Microsoft Defender для удостоверений |
Шаг 4. Разрешить Defender для удостоверений идентифицировать локальных администраторов на других компьютерах
Microsoft Defender для удостоверений обнаружение пути бокового перемещения зависит от запросов, которые определяют локальных администраторов на определенных компьютерах. Эти запросы выполняются по протоколу SAM-R с использованием учетной записи Службы Defender для удостоверений.
Чтобы клиенты и серверы Windows разрешали учетной записи Defender для удостоверений выполнять SAM-R, необходимо внести изменения в групповая политика, чтобы добавить учетную запись службы Defender для удостоверений в дополнение к настроенным учетным записям, перечисленным в политике сетевого доступа. Обязательно применяйте групповые политики ко всем компьютерам , кроме контроллеров домена.
Инструкции по этому способу см. в статье Настройка Microsoft Defender для удостоверений для удаленных вызовов SAM.
Шаг 5. Настройка рекомендаций производительности для среды удостоверений
Корпорация Майкрософт предоставляет рекомендации по эталонам безопасности для клиентов, использующих облачные службы Майкрософт. Azure Security Benchmark (ASB) содержит рекомендации и рекомендации по повышению безопасности рабочих нагрузок, данных и служб в Azure.
Реализация этих рекомендаций может занять некоторое время для планирования и реализации. Хотя эти рекомендации значительно повышают безопасность вашей среды идентификации, они не должны помешать вам продолжать оценивать и реализовывать Microsoft Defender для удостоверений. Эти рекомендации приведены здесь для вашей осведомленности.
Шаг 6. Опробуйте возможности
Документация по Defender для удостоверений содержит следующие учебники, в которые показано, как выявлять и устранять различные типы атак.
- Оповещения рекогносцировки
- Оповещения о компрометации учетных данных
- Оповещения о боковом перемещении
- Оповещения о доминировании в домене
- Оповещения о краже
- Исследование пользователя
- Исследование компьютера
- Исследование путей бокового смещения
- Исследование объектов
Интеграция SIEM
Вы можете интегрировать Defender для удостоверений с Microsoft Sentinel или универсальной службой управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. С помощью Microsoft Sentinel вы можете более полно анализировать события безопасности в организации и создавать сборники схем для эффективного и немедленного реагирования.
Microsoft Sentinel включает соединитель Defender для удостоверений. Дополнительные сведения см. в разделе соединитель Microsoft Defender для удостоверений для Microsoft Sentinel.
Сведения об интеграции со сторонними системами SIEM см. в разделе Универсальная интеграция SIEM.
Следующее действие
Включите следующие компоненты в процессы SecOps:
- Просмотр панели мониторинга ITDR
- Просмотр проблем работоспособности Defender для удостоверений и управление ими
Следующий шаг для комплексного развертывания Microsoft Defender XDR
Продолжайте комплексное развертывание Microsoft Defender XDR с помощью пилотного проекта и разверните Defender для Office 365.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.