Pilottesta och distribuera Microsoft Defender for Identity
Gäller för:
- Microsoft Defender XDR
Den här artikeln innehåller ett arbetsflöde för att testa och distribuera Microsoft Defender for Identity i din organisation. Du kan använda dessa rekommendationer för att registrera Microsoft Defender för identitet som ett enskilt cybersäkerhetsverktyg eller som en del av en heltäckande lösning med Microsoft Defender XDR.
Den här artikeln förutsätter att du har en Microsoft 365-produktionsklientorganisation och pilottestar och distribuerar Microsoft Defender för identitet i den här miljön. Den här metoden underhåller alla inställningar och anpassningar som du konfigurerar under pilottestet för din fullständiga distribution.
Defender för Office 365 bidrar till en Zero Trust-arkitektur genom att hjälpa till att förhindra eller minska företagsskador från ett intrång. Mer information finns i Avsnittet om att förhindra eller minska affärsskador från ett scenario med intrång i Microsoft Zero Trust-implementeringsramverket.
Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR
Det här är artikel 2 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.
Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:
| Fas | Länk |
|---|---|
| A. Starta piloten | Starta piloten |
| B. Pilottesta och distribuera Microsoft Defender XDR-komponenter | - Pilottesta och distribuera Defender for Identity (den här artikeln) - Pilottesta och distribuera Defender för Office 365 - Pilottesta och distribuera Defender för Endpoint - Pilottesta och distribuera Microsoft Defender för Cloud Apps |
| C. Undersöka och svara på hot | Öva incidentundersökning och svar |
Pilot- och distributionsarbetsflöde för Defender for Identity
Följande diagram illustrerar en gemensam process för att distribuera en produkt eller tjänst i en IT-miljö.
Du börjar med att utvärdera produkten eller tjänsten och hur den fungerar i din organisation. Sedan pilottestar du produkten eller tjänsten med en lämplig liten delmängd av produktionsinfrastrukturen för testning, inlärning och anpassning. Öka sedan distributionens omfattning gradvis tills hela infrastrukturen eller organisationen omfattas.
Här är arbetsflödet för att testa och distribuera Defender for Identity i produktionsmiljön.
Gör så här:
- Konfigurera Defender for Identity-instansen
- Installera och konfigurera sensorer
- Konfigurera händelselogg- och proxyinställningar på datorer med sensorn
- Tillåt att Defender för identitet identifierar lokala administratörer på andra datorer
- Konfigurera benchmark-rekommendationer för din identitetsmiljö
- Prova funktioner
Här är de rekommenderade stegen för varje distributionsfas.
| Distributionssteg | Beskrivning |
|---|---|
| Evaluera | Utför produktutvärdering för Defender for Identity. |
| Pilot | Utför steg 1–6 för en lämplig delmängd servrar med sensorer i produktionsmiljön. |
| Fullständig distribution | Utför steg 2–5 för de återstående servrarna och expandera bortom piloten för att inkludera alla. |
Skydda din organisation från hackare
Defender for Identity ger ett kraftfullt skydd på egen hand. Men i kombination med de andra funktionerna i Microsoft Defender XDR tillhandahåller Defender for Identity data till de delade signalerna som tillsammans hjälper till att stoppa attacker.
Här är ett exempel på en cyberattack och hur komponenterna i Microsoft Defender XDR hjälper till att identifiera och åtgärda det.
Defender for Identity samlar in signaler från Active Directory Domain Services (AD DS) domänkontrollanter och servrar som kör Active Directory Federation Services (AD FS) och Active Directory Certificate Services (AD CS). Den använder dessa signaler för att skydda din hybrididentitetsmiljö, inklusive skydd mot hackare som använder komprometterade konton för att flytta i detalj mellan arbetsstationer i den lokala miljön.
Microsoft Defender XDR korrelerar signalerna från alla Microsoft Defender-komponenter för att ge den fullständiga attackberättelsen.
Defender for Identity-arkitektur
Microsoft Defender for Identity är helt integrerat med Microsoft Defender XDR och använder signaler från lokala Active Directory-identiteter för att hjälpa dig att bättre identifiera, identifiera och undersöka avancerade hot riktade mot din organisation.
Distribuera Microsoft Defender for Identity för att hjälpa dina SecOps-team (Security Operations) att leverera en modern ITDR-lösning (Identity Threat Detection and Response) i hybridmiljöer, inklusive:
- Förhindra överträdelser med hjälp av proaktiva utvärderingar av identitetssäkerhetsstatus
- Identifiera hot med hjälp av realtidsanalys och dataintelligens
- Undersök misstänkta aktiviteter med hjälp av tydlig, åtgärdsbar incidentinformation
- Svara på attacker med hjälp av automatiskt svar på komprometterade identiteter. Mer information finns i Vad är Microsoft Defender för identitet?
Defender for Identity skyddar dina lokala AD DS-användarkonton och användarkonton som synkroniserats med din Microsoft Entra ID-klientorganisation. Information om hur du skyddar en miljö som endast består av Microsoft Entra-användarkonton finns i Microsoft Entra ID Protection.
Följande diagram illustrerar arkitekturen för Defender för identitet.
I den här illustrationen:
- Sensorer som är installerade på AD DS-domänkontrollanter och AD CS-servrar parsar loggar och nätverkstrafik och skickar dem till Microsoft Defender för identitet för analys och rapportering.
- Sensorer kan också parsa AD FS-autentiseringar för identitetsprovidrar från tredje part och när Microsoft Entra-ID har konfigurerats för att använda federerad autentisering (de streckade raderna i bilden).
- Microsoft Defender för identitet delar signaler till Microsoft Defender XDR.
Defender for Identity-sensorer kan installeras direkt på följande servrar:
AD DS-domänkontrollanter
Sensorn övervakar direkt domänkontrollanttrafik, utan behov av en dedikerad server eller konfiguration av portspegling.
AD CS-servrar
AD FS-servrar
Sensorn övervakar direkt nätverkstrafik och autentiseringshändelser.
Mer information om arkitekturen för Defender for Identity finns i Microsoft Defender för identitetsarkitektur.
Steg 1: Konfigurera Defender for Identity-instansen
För det första kräver Defender for Identity ett visst krav för att säkerställa att dina lokala identitets- och nätverkskomponenter uppfyller minimikraven. Använd microsoft Defender för identitetskrav som en checklista för att se till att din miljö är klar.
Logga sedan in på Defender for Identity-portalen för att skapa din instans och anslut sedan den här instansen till din Active Directory-miljö.
| Steg | Beskrivning | Mer information |
|---|---|---|
| 1 | Skapa Defender for Identity-instansen | Snabbstart: Skapa din Microsoft Defender for Identity-instans |
| 2 | Ansluta Defender for Identity-instansen till din Active Directory-skog | Snabbstart: Ansluta till din Active Directory-skog |
Steg 2: Installera och konfigurera sensorer
Ladda sedan ned, installera och konfigurera Defender for Identity-sensorn på domänkontrollanterna, AD FS- och AD CS-servrarna i din lokala miljö.
| Steg | Beskrivning | Mer information |
|---|---|---|
| 1 | Fastställ hur många Microsoft Defender för identitetssensorer du behöver. | Planera kapacitet för Microsoft Defender för identitet |
| 2 | Ladda ned installationspaketet för sensorn | Snabbstart: Ladda ned installationspaketet för Microsoft Defender for Identity-sensorn |
| 3 | Installera Defender for Identity-sensorn | Snabbstart: Installera Microsoft Defender for Identity-sensorn |
| 4 | Konfigurera sensorn | Konfigurera sensorinställningar för Microsoft Defender för identitet |
Steg 3: Konfigurera händelselogg- och proxyinställningar på datorer med sensorn
På de datorer som du installerade sensorn på konfigurerar du Insamling av Windows-händelseloggar och Internetproxyinställningar för att aktivera och förbättra identifieringsfunktionerna.
| Steg | Beskrivning | Mer information |
|---|---|---|
| 1 | Konfigurera insamling av Windows-händelseloggar | Konfigurera Windows-händelsesamling |
| 2 | Konfigurera inställningar för Internetproxy | Konfigurera inställningar för slutpunktsproxy och Internetanslutning för Din Microsoft Defender för identitetssensor |
Steg 4: Tillåt att Defender for Identity identifierar lokala administratörer på andra datorer
Identifiering av laterala förflyttningsvägar i Microsoft Defender för identiteter är beroende av frågor som identifierar lokala administratörer på specifika datorer. Dessa frågor utförs med SAM-R-protokollet med hjälp av Defender for Identity Service-kontot.
För att säkerställa att Windows-klienter och -servrar tillåter att ditt Defender for Identity-konto utför SAM-R måste en ändring av grupprincipen göras för att lägga till Defender för identitetstjänstkontot utöver de konfigurerade konton som anges i principen för nätverksåtkomst. Se till att tillämpa grupprinciper på alla datorer utom domänkontrollanter.
Anvisningar om hur du gör detta finns i Konfigurera Microsoft Defender för identitet för att göra fjärranrop till SAM.
Steg 5: Konfigurera benchmark-rekommendationer för din identitetsmiljö
Microsoft tillhandahåller rekommendationer för säkerhetsmått för kunder som använder Microsoft Cloud-tjänster. Azure Security Benchmark (ASB) innehåller förebyggande metodtips och rekommendationer för att förbättra säkerheten för arbetsbelastningar, data och tjänster i Azure.
Det kan ta lite tid att planera och implementera dessa rekommendationer. Även om de här rekommendationerna avsevärt ökar säkerheten i din identitetsmiljö bör de inte hindra dig från att fortsätta utvärdera och implementera Microsoft Defender för identitet. Dessa rekommendationer tillhandahålls här för din medvetenhet.
Steg 6: Prova funktioner
Dokumentationen om Defender för identitet innehåller följande självstudier som går igenom processen för att identifiera och åtgärda olika attacktyper:
- Rekognoseringsaviseringar
- Aviseringar om komprometterade autentiseringsuppgifter
- Laterala förflyttningsaviseringar
- Aviseringar om domändominans
- Exfiltreringsaviseringar
- Undersöka en användare
- Undersöka en dator
- Undersöka laterala rörelsevägar
- Undersöka entiteter
SIEM-integrering
Du kan integrera Defender for Identity med Microsoft Sentinel eller en allmän SIEM-tjänst (säkerhetsinformation och händelsehantering) för att aktivera centraliserad övervakning av aviseringar och aktiviteter från anslutna appar. Med Microsoft Sentinel kan du mer omfattande analysera säkerhetshändelser i organisationen och skapa spelböcker för effektiv och omedelbar respons.
Microsoft Sentinel innehåller en Defender for Identity-anslutningsapp. Mer information finns i Microsoft Defender for Identity Connector för Microsoft Sentinel.
Information om integrering med SIEM-system från tredje part finns i Allmän SIEM-integrering.
Nästa steg
Införliva följande i dina SecOps-processer:
Nästa steg för distribution från slutpunkt till slutpunkt av Microsoft Defender XDR
Fortsätt distributionen från slutpunkt till slutpunkt av Microsoft Defender XDR med Pilot och distribuera Defender för Office 365.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för