Distribuera Microsoft Defender za identitet med Microsoft Defender XDR

Den här artikeln innehåller en översikt över den fullständiga distributionsprocessen för Microsoft Defender za identitet, inklusive steg för förberedelse, distribution och extra steg för specifika scenarier.

Defender for Identity är en primär komponent i en Nulta pouzdanost strategi och din ITDR(Identity Threat Detection and Response) eller XDR-distribution (Extended Detection and Response) med Microsoft Defender XDR. Defender for Identity använder signaler från dina identitetsinfrastrukturservrar som domänkontrollanter, AD FS/AD CS- och Entra Connect-servrar för att identifiera hot som eskalering av privilegier eller lateral förflyttning med hög risk och rapporter om lätt utnyttjade identitetsproblem som obegränsad Kerberos-delegering, för korrigering av säkerhetsteamet.

En snabb uppsättning distributionshöjdpunkter finns i Snabbinstallationsguide.

Förutsättningar

Innan du börjar kontrollerar du att du har åtkomst till Microsoft Defender XDR minst som säkerhetsadministratör och att du har någon av följande licenser:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Security
• Microsoft 365 F5 Säkerhet + efterlevnad*
• En fristående Defender for Identity-licens

* Båda F5-licenserna kräver Microsoft 365 F1/F3 eller Office 365 F3 och Enterprise Mobility + Security E3.

Skaffa licenser direkt via Microsoft 365-portalen eller använd csp-licensieringsmodellen (Cloud Solution Partner).

Mer information finns i Vanliga frågor och svar om licensiering och sekretess och Vad är Defender för identitetsroller och behörigheter?

Börja använda Microsoft Defender XDR

I det här avsnittet beskrivs hur du börjar registrera dig för Defender for Identity.

1. Logga in på Microsoft Defender-portalen.
2. På navigeringsmenyn väljer du valfritt objekt, till exempel Incidenter och aviseringar, Jakt, Åtgärdscenter eller Hotanalys för att initiera registreringsprocessen.

Sedan får du möjlighet att distribuera tjänster som stöds, inklusive Microsoft Defender za identitet. Molnkomponenter som krävs för Defender för identitet läggs automatiskt till när du öppnar sidan Inställningar för Defender för identitet.

Mer information finns i:

• Microsoft Defender za identitet i Microsoft Defender XDR
• Kom igång med Microsoft Defender XDR
• Aktivera Microsoft Defender XDR
• Distribuera tjänster som stöds
• Vanliga frågor och svar när du aktiverar Microsoft Defender XDR

Viktigt!

För närvarande distribueras Defender for Identity-datacenter i Europa, Storbritannien, Schweiz, Nordamerika/Centralamerika/Karibien, Australien, östra, Asien och Indien. Din arbetsyta (instans) skapas automatiskt i Den Azure-region som är närmast den geografiska platsen för din Microsoft Entra-klientorganisation. När de har skapats kan inte Defender för identitetsarbetsytor flyttas.

Planera och förbereda

Använd följande steg för att förbereda distributionen av Defender for Identity:

1. Kontrollera att du har alla krav som krävs.

2. Planera din Defender for Identity-kapacitet.

Dricks

Vi rekommenderar att du kör skriptet Test-MdiReadiness.ps1 för att testa och se om din miljö har nödvändiga förutsättningar.

Länken till skriptet Test-MdiReadiness.ps1 är också tillgänglig från Microsoft Defender XDR på sidan Identitetsverktyg > (förhandsversion).

Distribuera Defender för identitet

När du har förberett systemet använder du följande steg för att distribuera Defender for Identity:

1. Verifiera anslutningen till Defender for Identity-tjänsten.
2. Ladda ned Defender for Identity-sensorn.
3. Installera Defender for Identity-sensorn.
4. Konfigurera Defender for Identity-sensorn för att börja ta emot data.

Konfigurationer efter distribution

Följande procedurer hjälper dig att slutföra distributionsprocessen:

• Konfigurera Windows-händelsesamling. Mer information finns i Händelseinsamling med Microsoft Defender za identitet och Konfigurera granskningsprinciper för Windows-händelseloggar.

• Aktivera och konfigurera enhetlig rollbaserad åtkomstkontroll (RBAC) för Defender for Identity.

• Konfigurera ett Katalogtjänstkonto (DSA) för användning med Defender för identitet. Även om en DSA är valfri i vissa scenarier rekommenderar vi att du konfigurerar en DSA för Defender för identitet för fullständig säkerhetstäckning. När du till exempel har konfigurerat en DSA används DSA för att ansluta till domänkontrollanten vid start. En DSA kan också användas för att fråga domänkontrollanten efter data om entiteter som visas i nätverkstrafik, övervakade händelser och övervakade ETW-aktiviteter

• Konfigurera fjärrsamtal till SAM efter behov. Även om det här steget är valfritt rekommenderar vi att du konfigurerar fjärranrop till SAM-R för identifiering av laterala förflyttningsvägar med Defender för identitet.

Dricks

Som standard frågar Defender för identitetssensorer katalogen med LDAP på portarna 389 och 3268. Om du vill växla till LDAPS på portarna 636 och 3269 öppnar du ett supportärende. Mer information finns i Microsoft Defender za identitet support.

Viktigt!

Att installera en Defender för identitetssensor på en AD FS/AD CS- och Entra Connect-servrar kräver extra steg. Mer information finns i Konfigurera sensorer för AD FS, AD CS och Entra Connect.

Gå vidare

Krav för Defender för identitet »