Pilottesta och distribuera Microsoft Defender for Identity
Gäller för:
- Microsoft Defender XDR
Den här artikeln innehåller ett arbetsflöde för att testa och distribuera Microsoft Defender for Identity i din organisation. Du kan använda dessa rekommendationer för att registrera Microsoft Defender for Identity som ett enskilt cybersäkerhetsverktyg eller som en del av en lösning från slutpunkt till slutpunkt med Microsoft Defender XDR.
Den här artikeln förutsätter att du har en Microsoft 365-produktionsklientorganisation och pilottestar och distribuerar Microsoft Defender for Identity i den här miljön. Den här metoden underhåller alla inställningar och anpassningar som du konfigurerar under pilottestet för din fullständiga distribution.
Defender för Office 365 bidrar till en Nolltillit arkitektur genom att hjälpa till att förhindra eller minska affärsskador från ett intrång. Mer information finns i Avsnittet om att förhindra eller minska affärsskador från ett scenario med intrång i Microsoft Nolltillit-implementeringsramverket.
Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR
Det här är artikel 2 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.
Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:
| Fas | Länk |
|---|---|
| A. Starta piloten | Starta piloten |
| B. Pilottesta och distribuera Microsoft Defender XDR komponenter |
-
Pilottesta och distribuera Defender for Identity (den här artikeln) - Pilottesta och distribuera Defender för Office 365 - Pilottesta och distribuera Defender för Endpoint - Pilottesta och distribuera Microsoft Defender for Cloud Apps |
| C. Undersöka och svara på hot | Öva incidentundersökning och svar |
Pilot- och distributionsarbetsflöde för Defender for Identity
Följande diagram illustrerar en gemensam process för att distribuera en produkt eller tjänst i en IT-miljö.
Du börjar med att utvärdera produkten eller tjänsten och hur den fungerar i din organisation. Sedan pilottestar du produkten eller tjänsten med en lämplig liten delmängd av produktionsinfrastrukturen för testning, inlärning och anpassning. Öka sedan distributionens omfattning gradvis tills hela infrastrukturen eller organisationen omfattas.
Här är arbetsflödet för att testa och distribuera Defender for Identity i produktionsmiljön.
Gör så här:
- Konfigurera Defender for Identity-instansen
- Installera och konfigurera sensorer
- Konfigurera händelselogg- och proxyinställningar på datorer med sensorn
- Tillåt att Defender för identitet identifierar lokala administratörer på andra datorer
- Konfigurera benchmark-rekommendationer för din identitetsmiljö
- Prova funktioner
Här är de rekommenderade stegen för varje distributionsfas.
| Distributionssteg | Beskrivning |
|---|---|
| Evaluera | Utför produktutvärdering för Defender for Identity. |
| Pilot | Utför steg 1–6 för en lämplig delmängd servrar med sensorer i produktionsmiljön. |
| Fullständig distribution | Utför steg 2–5 för de återstående servrarna och expandera bortom piloten för att inkludera alla. |
Skydda din organisation från hackare
Defender for Identity ger ett kraftfullt skydd på egen hand. Men i kombination med de andra funktionerna i Microsoft Defender XDR tillhandahåller Defender for Identity data till de delade signalerna som tillsammans hjälper till att stoppa attacker.
Här är ett exempel på en cyberattack och hur komponenterna i Microsoft Defender XDR hjälpa till att identifiera och minimera den.
Defender for Identity samlar in signaler från Active Directory Domain Services (AD DS) domänkontrollanter och servrar som kör Active Directory Federation Services (AD FS) (AD FS) och Active Directory Certificate Services (AD CS). Den använder dessa signaler för att skydda din hybrididentitetsmiljö, inklusive skydd mot hackare som använder komprometterade konton för att flytta i detalj mellan arbetsstationer i den lokala miljön.
Microsoft Defender XDR korrelerar signalerna från alla Microsoft Defender komponenter för att ge den fullständiga attackberättelsen.
Defender for Identity-arkitektur
Microsoft Defender for Identity är helt integrerat med Microsoft Defender XDR och utnyttjar signaler från lokal Active Directory identiteter för att hjälpa dig att bättre identifiera, identifiera och undersöka avancerade hot riktade mot din organisation.
Distribuera Microsoft Defender for Identity för att hjälpa dina SecOps-team (Security Operations) att leverera en modern ITDR-lösning (identifiering och svar för identitetshot) i hybridmiljöer, inklusive:
- Förhindra överträdelser med hjälp av proaktiva utvärderingar av identitetssäkerhetsstatus
- Identifiera hot med hjälp av realtidsanalys och dataintelligens
- Undersök misstänkta aktiviteter med hjälp av tydlig, åtgärdsbar incidentinformation
- Svara på attacker med hjälp av automatiskt svar på komprometterade identiteter. Mer information finns i Vad är Microsoft Defender for Identity?
Defender for Identity skyddar dina lokala AD DS-användarkonton och användarkonton som synkroniserats med din Microsoft Entra ID klientorganisation. Information om hur du skyddar en miljö som endast består av Microsoft Entra användarkonton finns i Microsoft Entra ID Protection.
Följande diagram illustrerar arkitekturen för Defender för identitet.
I den här illustrationen:
- Sensorer installerade på AD DS-domänkontrollanter och AD CS-servrar parsar loggar och nätverkstrafik och skickar dem till Microsoft Defender for Identity för analys och rapportering.
- Sensorer kan också parsa AD FS-autentiseringar för identitetsprovidrar från tredje part och när Microsoft Entra ID har konfigurerats för att använda federerad autentisering (de prickade raderna i bilden).
- Microsoft Defender for Identity delar signaler till Microsoft Defender XDR.
Defender for Identity-sensorer kan installeras direkt på följande servrar:
AD DS-domänkontrollanter
Sensorn övervakar direkt domänkontrollanttrafik, utan behov av en dedikerad server eller konfiguration av portspegling.
AD CS-servrar
AD FS-servrar
Sensorn övervakar direkt nätverkstrafik och autentiseringshändelser.
Mer information om arkitekturen för Defender for Identity finns i Microsoft Defender for Identity arkitektur.
Steg 1: Konfigurera Defender for Identity-instansen
För det första kräver Defender for Identity ett visst krav för att säkerställa att dina lokala identitets- och nätverkskomponenter uppfyller minimikraven. Använd artikeln Microsoft Defender for Identity krav som en checklista för att se till att din miljö är klar.
Logga sedan in på Defender for Identity-portalen för att skapa din instans och anslut sedan den här instansen till din Active Directory-miljö.
| Steg | Beskrivning | Mer information |
|---|---|---|
| 1 | Skapa Defender for Identity-instansen | Snabbstart: Skapa din Microsoft Defender for Identity-instans |
| 2 | Ansluta Defender for Identity-instansen till din Active Directory-skog | Snabbstart: Ansluta till din Active Directory-skog |
Steg 2: Installera och konfigurera sensorer
Ladda sedan ned, installera och konfigurera Defender for Identity-sensorn på domänkontrollanterna, AD FS- och AD CS-servrarna i din lokala miljö.
| Steg | Beskrivning | Mer information |
|---|---|---|
| 1 | Fastställ hur många Microsoft Defender for Identity sensorer du behöver. | Planera kapacitet för Microsoft Defender for Identity |
| 2 | Ladda ned installationspaketet för sensorn | Snabbstart: Ladda ned installationspaketet för Microsoft Defender for Identity sensor |
| 3 | Installera Defender for Identity-sensorn | Snabbstart: Installera Microsoft Defender for Identity sensorn |
| 4 | Konfigurera sensorn | Konfigurera Microsoft Defender for Identity sensorinställningar |
Steg 3: Konfigurera händelselogg- och proxyinställningar på datorer med sensorn
På de datorer som du installerade sensorn på konfigurerar du Insamling av Windows-händelseloggar och Internetproxyinställningar för att aktivera och förbättra identifieringsfunktionerna.
| Steg | Beskrivning | Mer information |
|---|---|---|
| 1 | Konfigurera insamling av Windows-händelseloggar | Konfigurera Windows-händelsesamling |
| 2 | Konfigurera inställningar för Internetproxy | Konfigurera inställningar för slutpunktsproxy och Internetanslutning för din Microsoft Defender for Identity Sensor |
Steg 4: Tillåt att Defender for Identity identifierar lokala administratörer på andra datorer
Microsoft Defender for Identity identifiering av lateral förflyttningssökväg förlitar sig på frågor som identifierar lokala administratörer på specifika datorer. Dessa frågor utförs med SAM-R-protokollet med hjälp av Defender for Identity Service-kontot.
För att säkerställa att Windows-klienter och -servrar tillåter att ditt Defender for Identity-konto utför SAM-R måste en ändring av grupprincip göras för att lägga till defender för identitetstjänstkontot utöver de konfigurerade konton som anges i principen för nätverksåtkomst. Se till att tillämpa grupprinciper på alla datorer utom domänkontrollanter.
Anvisningar om hur du gör detta finns i Konfigurera Microsoft Defender for Identity för att göra fjärranrop till SAM.
Steg 5: Konfigurera benchmark-rekommendationer för din identitetsmiljö
Microsoft tillhandahåller rekommendationer för säkerhetsmått för kunder som använder Microsoft Cloud-tjänster. Azure Security Benchmark (ASB) innehåller förebyggande metodtips och rekommendationer för att förbättra säkerheten för arbetsbelastningar, data och tjänster i Azure.
Det kan ta lite tid att planera och implementera dessa rekommendationer. Även om dessa rekommendationer avsevärt ökar säkerheten i din identitetsmiljö bör de inte hindra dig från att fortsätta utvärdera och implementera Microsoft Defender for Identity. Dessa rekommendationer tillhandahålls här för din medvetenhet.
Steg 6: Prova funktioner
Dokumentationen om Defender för identitet innehåller följande självstudier som går igenom processen för att identifiera och åtgärda olika attacktyper:
- Rekognoseringsaviseringar
- Aviseringar om komprometterade autentiseringsuppgifter
- Laterala förflyttningsaviseringar
- Aviseringar om domändominans
- Exfiltreringsaviseringar
- Undersöka en användare
- Undersöka en dator
- Undersöka laterala rörelsevägar
- Undersöka entiteter
SIEM-integrering
Du kan integrera Defender for Identity med Microsoft Sentinel eller en allmän SIEM-tjänst (säkerhetsinformation och händelsehantering) för att aktivera centraliserad övervakning av aviseringar och aktiviteter från anslutna appar. Med Microsoft Sentinel kan du mer omfattande analysera säkerhetshändelser i organisationen och skapa spelböcker för effektiv och omedelbar respons.
Microsoft Sentinel innehåller en Defender for Identity-anslutningsapp. Mer information finns i Microsoft Defender for Identity-anslutningsappen för Microsoft Sentinel.
Information om integrering med SIEM-system från tredje part finns i Allmän SIEM-integrering.
Nästa steg
Införliva följande i dina SecOps-processer:
Nästa steg för distribution från slutpunkt till slutpunkt av Microsoft Defender XDR
Fortsätt distributionen av Microsoft Defender XDR från slutpunkt till slutpunkt med Pilot och distribuera Defender för Office 365.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.