Ознакомьтесь с требованиями к архитектуре и основными понятиями для Microsoft Defender для удостоверений
Область применения:
- Microsoft Defender XDR
Эта статья является этапом 1 из 3 в процессе настройки среды оценки для Microsoft Defender для удостоверений. Дополнительные сведения об этом процессе см. в обзорной статье.
Перед включением Microsoft Defender для удостоверений убедитесь, что вы понимаете архитектуру и можете соответствовать требованиям.
Microsoft Defender для удостоверений использует машинное обучение и поведенческую аналитику для выявления атак в локальной сети, а также обнаружения и упреждающего предотвращения рисков входа пользователей, связанных с облачными удостоверениями. Дополнительные сведения см. в статье Что такое Microsoft Defender для удостоверений?
Defender для удостоверений защищает пользователей локальная служба Active Directory и (или) синхронизированную с Microsoft Entra ID. Сведения о защите среды, состоящей только из Microsoft Entra пользователей, см. в разделе Защита Microsoft Entra ID.
Знакомство с архитектурой
На следующей схеме показана базовая архитектура Defender для удостоверений.
На этой иллюстрации:
- Датчики, установленные на контроллерах домена AD, анализируют журналы и сетевой трафик и отправляют их в Microsoft Defender для удостоверений для анализа и создания отчетов.
- Датчики также могут анализировать службы федерации Active Directory (AD FS) (AD FS), если Microsoft Entra ID настроено для использования федеративной проверки подлинности (пунктирная линия на рисунке).
- Microsoft Defender для удостоверений передает сигналы для Microsoft Defender XDR для расширенного обнаружения и реагирования (XDR).
Датчики Defender для удостоверений можно установить непосредственно на следующих серверах:
- Контроллеры домена. Датчик напрямую отслеживает трафик контроллера домена без необходимости использования выделенного сервера или конфигурации зеркального отображения портов.
- AD FS. Датчик напрямую отслеживает сетевой трафик и события проверки подлинности.
Более подробные сведения об архитектуре Defender для удостоверений, включая интеграцию с Defender for Cloud Apps, см. в разделе архитектура Microsoft Defender для удостоверений.
Основные понятия
В следующей таблице определены ключевые понятия, которые важно понимать при оценке, настройке и развертывании Microsoft Defender для удостоверений.
Понятие | Описание | Дополнительная информация |
---|---|---|
Отслеживаемые действия | Defender для удостоверений отслеживает сигналы, созданные внутри организации, для обнаружения подозрительных или вредоносных действий и помогает определить допустимость каждой потенциальной угрозы, чтобы вы могли эффективно рассматривать и реагировать на них. | Microsoft Defender для удостоверений отслеживаемые действия |
Оповещения системы безопасности | Оповещения системы безопасности Defender для удостоверений объясняют подозрительные действия, обнаруженные датчиками в сети, а также субъектами и компьютерами, участвующими в каждой угрозе. | оповещения системы безопасности Microsoft Defender для удостоверений |
Профили сущностей | Профили сущностей предоставляют комплексное подробное исследование пользователей, компьютеров, устройств и ресурсов, а также их журнала доступа. | Общие сведения о профилях сущностей |
Пути бокового смещения | Ключевым компонентом аналитики безопасности MDI является определение путей бокового перемещения, в которых злоумышленник использует не конфиденциальные учетные записи для получения доступа к конфиденциальным учетным записям или компьютерам в сети. | Microsoft Defender для удостоверений пути бокового смещения (LPS) |
Разрешение сетевых имен | Разрешение сетевых имен (NNR) — это компонент функции MDI, который фиксирует действия на основе сетевого трафика, событий Windows, ETW и т. д. и сопоставляет эти необработанные данные с соответствующими компьютерами, участвующими в каждом действии. | Что такое разрешение сетевых имен? |
Отчеты | Отчеты Defender для удостоверений позволяют запланировать или немедленно создавать и скачивать отчеты, предоставляющие сведения о состоянии системы и сущности. Вы можете создавать отчеты о работоспособности системы, оповещениях системы и потенциальных путях бокового перемещения, обнаруженных в вашей среде. | Отчеты Microsoft Defender для удостоверений |
Группы ролей | Defender для удостоверений предлагает группы на основе ролей и делегированный доступ для защиты данных в соответствии с конкретными потребностями вашей организации в области безопасности и соответствия требованиям, включая администраторов, пользователей и зрителей. | Группы ролей Microsoft Defender для удостоверений |
Портал администрирования | Помимо портала Microsoft Defender, портал Defender для удостоверений можно использовать для мониторинга подозрительных действий и реагирования на них. | Работа на портале Microsoft Defender для удостоверений |
интеграция Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps интегрируется с Microsoft Defender для удостоверений для предоставления аналитики поведения сущностей пользователей (UEBA) в гибридной среде — как в облачном приложении, так и в локальной среде. | интеграция Microsoft Defender для удостоверений |
Проверка предварительных требований
Defender для удостоверений требует некоторых предварительных требований, чтобы обеспечить соответствие локальных удостоверений и сетевых компонентов минимальным требованиям. Используйте эту статью в качестве контрольного списка, чтобы убедиться, что среда готова: Microsoft Defender для удостоверений предварительные требования.
Дальнейшие действия
Шаг 2 из 3. Включение среды оценки Defender для удостоверений
Вернитесь к обзору оценки Microsoft Defender для удостоверений
Вернитесь к обзору оценки и пилотного Microsoft Defender XDR
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по