Ознакомьтесь с требованиями к архитектуре и основными понятиями для Microsoft Defender для удостоверений

Область применения:

• Microsoft Defender XDR

Эта статья является этапом 1 из 3 в процессе настройки среды оценки для Microsoft Defender для удостоверений. Дополнительные сведения об этом процессе см. в обзорной статье.

Перед включением Microsoft Defender для удостоверений убедитесь, что вы понимаете архитектуру и можете соответствовать требованиям.

Microsoft Defender для удостоверений использует машинное обучение и поведенческую аналитику для выявления атак в локальной сети, а также обнаружения и упреждающего предотвращения рисков входа пользователей, связанных с облачными удостоверениями. Дополнительные сведения см. в статье Что такое Microsoft Defender для удостоверений?

Defender для удостоверений защищает пользователей локальная служба Active Directory и (или) синхронизированную с Microsoft Entra ID. Сведения о защите среды, состоящей только из Microsoft Entra пользователей, см. в разделе Защита Microsoft Entra ID.

Знакомство с архитектурой

На следующей схеме показана базовая архитектура Defender для удостоверений.

На этой иллюстрации:

• Датчики, установленные на контроллерах домена AD, анализируют журналы и сетевой трафик и отправляют их в Microsoft Defender для удостоверений для анализа и создания отчетов.
• Датчики также могут анализировать службы федерации Active Directory (AD FS) (AD FS), если Microsoft Entra ID настроено для использования федеративной проверки подлинности (пунктирная линия на рисунке).
• Microsoft Defender для удостоверений передает сигналы для Microsoft Defender XDR для расширенного обнаружения и реагирования (XDR).

Датчики Defender для удостоверений можно установить непосредственно на следующих серверах:

• Контроллеры домена. Датчик напрямую отслеживает трафик контроллера домена без необходимости использования выделенного сервера или конфигурации зеркального отображения портов.
• AD FS. Датчик напрямую отслеживает сетевой трафик и события проверки подлинности.

Более подробные сведения об архитектуре Defender для удостоверений, включая интеграцию с Defender for Cloud Apps, см. в разделе архитектура Microsoft Defender для удостоверений.

Основные понятия

В следующей таблице определены ключевые понятия, которые важно понимать при оценке, настройке и развертывании Microsoft Defender для удостоверений.

Понятие	Описание	Дополнительная информация
Отслеживаемые действия	Defender для удостоверений отслеживает сигналы, созданные внутри организации, для обнаружения подозрительных или вредоносных действий и помогает определить допустимость каждой потенциальной угрозы, чтобы вы могли эффективно рассматривать и реагировать на них.	Microsoft Defender для удостоверений отслеживаемые действия
Оповещения системы безопасности	Оповещения системы безопасности Defender для удостоверений объясняют подозрительные действия, обнаруженные датчиками в сети, а также субъектами и компьютерами, участвующими в каждой угрозе.	оповещения системы безопасности Microsoft Defender для удостоверений
Профили сущностей	Профили сущностей предоставляют комплексное подробное исследование пользователей, компьютеров, устройств и ресурсов, а также их журнала доступа.	Общие сведения о профилях сущностей
Пути бокового смещения	Ключевым компонентом аналитики безопасности MDI является определение путей бокового перемещения, в которых злоумышленник использует не конфиденциальные учетные записи для получения доступа к конфиденциальным учетным записям или компьютерам в сети.	Microsoft Defender для удостоверений пути бокового смещения (LPS)
Разрешение сетевых имен	Разрешение сетевых имен (NNR) — это компонент функции MDI, который фиксирует действия на основе сетевого трафика, событий Windows, ETW и т. д. и сопоставляет эти необработанные данные с соответствующими компьютерами, участвующими в каждом действии.	Что такое разрешение сетевых имен?
Отчеты	Отчеты Defender для удостоверений позволяют запланировать или немедленно создавать и скачивать отчеты, предоставляющие сведения о состоянии системы и сущности. Вы можете создавать отчеты о работоспособности системы, оповещениях системы и потенциальных путях бокового перемещения, обнаруженных в вашей среде.	Отчеты Microsoft Defender для удостоверений
Группы ролей	Defender для удостоверений предлагает группы на основе ролей и делегированный доступ для защиты данных в соответствии с конкретными потребностями вашей организации в области безопасности и соответствия требованиям, включая администраторов, пользователей и зрителей.	Группы ролей Microsoft Defender для удостоверений
Портал администрирования	Помимо портала Microsoft Defender, портал Defender для удостоверений можно использовать для мониторинга подозрительных действий и реагирования на них.	Работа на портале Microsoft Defender для удостоверений
интеграция Microsoft Defender for Cloud Apps	Microsoft Defender for Cloud Apps интегрируется с Microsoft Defender для удостоверений для предоставления аналитики поведения сущностей пользователей (UEBA) в гибридной среде — как в облачном приложении, так и в локальной среде.	интеграция Microsoft Defender для удостоверений

Проверка предварительных требований

Defender для удостоверений требует некоторых предварительных требований, чтобы обеспечить соответствие локальных удостоверений и сетевых компонентов минимальным требованиям. Используйте эту статью в качестве контрольного списка, чтобы убедиться, что среда готова: Microsoft Defender для удостоверений предварительные требования.

Дальнейшие действия

Шаг 2 из 3. Включение среды оценки Defender для удостоверений

Вернитесь к обзору оценки Microsoft Defender для удостоверений

Вернитесь к обзору оценки и пилотного Microsoft Defender XDR

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.