Granska arkitekturkrav och viktiga begrepp för Microsoft Defender for Identity
Gäller för:
- Microsoft Defender XDR
Den här artikeln är steg 1 av 3 i processen att konfigurera utvärderingsmiljön för Microsoft Defender for Identity. Mer information om den här processen finns i översiktsartikeln.
Innan du aktiverar Microsoft Defender for Identity måste du förstå arkitekturen och uppfylla kraven.
Microsoft Defender for Identity använder maskininlärning och beteendeanalys för att identifiera attacker i ditt lokala nätverk tillsammans med att identifiera och proaktivt förhindra användarinloggningsrisker som är associerade med molnidentiteter. Mer information finns i Vad är Microsoft Defender for Identity?
Defender for Identity skyddar dina lokal Active Directory användare och/eller användare som synkroniserats med din Microsoft Entra ID. Information om hur du skyddar en miljö som endast består av Microsoft Entra användare finns i Microsoft Entra ID Protection.
Förstå arkitekturen
Följande diagram illustrerar baslinjearkitekturen för Defender för identitet.
I den här illustrationen:
- Sensorer installerade på Active Directory Domain Services domänkontrollanter (AD DS) parsar loggar och nätverkstrafik och skickar dem till Microsoft Defender for Identity för analys och rapportering.
- Sensorer kan också parsa Active Directory Federation Services (AD FS) (AD FS) när Microsoft Entra ID har konfigurerats för att använda federerad autentisering (prickad linje i bild).
- Microsoft Defender for Identity delar signaler till Microsoft Defender XDR för utökad identifiering och svar (XDR).
Defender for Identity-sensorer kan installeras direkt på följande servrar:
- Domänkontrollanter: Sensorn övervakar direkt domänkontrollanttrafik, utan behov av en dedikerad server eller konfiguration av portspegling.
- AD FS: Sensorn övervakar direkt nätverkstrafik och autentiseringshändelser.
Mer information om arkitekturen för Defender for Identity, inklusive integrering med Defender för Cloud Apps, finns i Microsoft Defender for Identity arkitektur.
Förstå viktiga begrepp
I följande tabell identifierades viktiga begrepp som är viktiga att förstå när du utvärderar, konfigurerar och distribuerar Microsoft Defender for Identity.
| Koncept | Beskrivning | Mer information |
|---|---|---|
| Övervakade aktiviteter | Defender for Identity övervakar signaler som genereras inifrån din organisation för att identifiera misstänkt eller skadlig aktivitet och hjälper dig att fastställa giltigheten för varje potentiellt hot så att du effektivt kan sortera och svara. | Microsoft Defender for Identity övervakade aktiviteter |
| Säkerhetsaviseringar | Säkerhetsaviseringar för Defender for Identity förklarar de misstänkta aktiviteter som identifieras av sensorer i nätverket tillsammans med de aktörer och datorer som är inblandade i varje hot. | Microsoft Defender for Identity säkerhetsaviseringar |
| Entitetsprofiler | Entitetsprofiler ger en omfattande djupgående undersökning av användare, datorer, enheter och resurser tillsammans med deras åtkomsthistorik. | Förstå entitetsprofiler |
| Laterala förflyttningsvägar | En viktig komponent i MDI-säkerhetsinsikter är att identifiera laterala rörelsevägar där en angripare använder icke-känsliga konton för att få åtkomst till känsliga konton eller datorer i hela nätverket. | Microsoft Defender for Identity laterala rörelsevägar (LMP:er) |
| Nätverksnamnmatchning | NNR (Network Name Resolution) är en komponent i MDI-funktioner som samlar in aktiviteter baserade på nätverkstrafik, Windows-händelser, ETW osv. och korrelerar dessa rådata med relevanta datorer som är involverade i varje aktivitet. | Vad är nätverksnamnmatchning? |
| Rapporter | Med Defender for Identity-rapporter kan du schemalägga eller omedelbart generera och ladda ned rapporter som tillhandahåller information om system- och entitetsstatus. Du kan skapa rapporter om systemhälsa, säkerhetsaviseringar och potentiella laterala rörelsevägar som identifieras i din miljö. | Microsoft Defender for Identity rapporter |
| Rollgrupper | Defender for Identity erbjuder rollbaserade grupper och delegerad åtkomst för att skydda data enligt organisationens specifika säkerhets- och efterlevnadsbehov som omfattar administratörer, användare och tittare. | Rollgrupper för Microsoft Defender |
| Administrativ portal | Förutom Microsoft Defender-portalen kan Defender för identitetsportalen användas för att övervaka och svara på misstänkt aktivitet. | Arbeta med Microsoft Defender for Identity-portalen |
| Microsoft Defender for Cloud Apps integrering | Microsoft Defender for Cloud Apps integreras med Microsoft Defender for Identity för att tillhandahålla användarentitetsbeteendeanalys (UEBA) i en hybridmiljö – både molnapp och lokalt | Microsoft Defender for Identity integrering |
Granska förhandskraven
Defender for Identity kräver ett visst kravarbete för att säkerställa att dina lokala identitets- och nätverkskomponenter uppfyller minimikraven. Använd den här artikeln som en checklista för att se till att din miljö är klar: Microsoft Defender for Identity förutsättningar.
Nästa steg
Steg 2 av 3: Aktivera utvärderingsmiljön Defender for Identity
Gå tillbaka till översikten för Utvärdera Microsoft Defender for Identity
Gå tillbaka till översikten för Utvärdera och pilottesta Microsoft Defender XDR
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för