Microsoft Defender XDR ile Kimlik için Microsoft Defender dağıtma
Bu makalede, hazırlık, dağıtım ve belirli senaryolar için ek adımlar da dahil olmak üzere Kimlik için Microsoft Defender için tam dağıtım işlemine genel bir bakış sağlanır.
Kimlik için Defender, Sıfır Güven stratejisinin birincil bileşenidir ve Microsoft Defender XDR ile Kimlik Tehdit Algılama ve Yanıtı (ITDR) veya genişletilmiş algılama ve yanıt (XDR) dağıtımınızdır. Kimlik için Defender, ayrıcalık yükseltme veya yüksek riskli yanal hareket gibi tehditleri algılamak için kimlik altyapısı sunucularınızdan gelen etki alanı denetleyicileri, AD FS / AD CS ve Entra Connect sunucuları gibi sinyalleri kullanır ve güvenlik ekibinin düzeltmesi için kısıtlanmamış Kerberos temsilcisi gibi kolayca yararlanılan kimlik sorunlarına ilişkin raporlar sunar.
Hızlı dağıtım vurguları kümesi için bkz . Hızlı yükleme kılavuzu.
Önkoşullar
Başlamadan önce, Microsoft Defender XDR en azından Güvenlik yöneticisi olarak erişiminiz olduğundan ve aşağıdaki lisanslardan birine sahip olduğunuzdan emin olun:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Güvenlik
- Microsoft 365 F5 Güvenlik + Uyumluluk*
- Tek başına Kimlik için Defender lisansı
* Her iki F5 lisansı da Microsoft 365 F1/F3 veya Office 365 F3 ve Enterprise Mobility + Security E3 gerektirir.
Lisansları doğrudan Microsoft 365 portalı üzerinden alın veya Bulut Çözümü İş Ortağı (CSP) lisanslama modelini kullanın.
Daha fazla bilgi için bkz . Lisanslama ve gizlilik hakkında SSS ve Kimlik için Defender rolleri ve izinleri nedir?
Microsoft Defender XDR kullanmaya başlama
Bu bölümde Kimlik için Defender'a ekleme işleminin nasıl başlatıldığı açıklanır.
- Microsoft Defender portalında oturum açın.
- Ekleme işlemini başlatmak için gezinti menüsünden Olaylar & uyarıları, Tehdit Avcılığı, İşlem merkezi veya Tehdit analizi gibi herhangi bir öğeyi seçin.
Ardından, Kimlik için Microsoft Defender dahil olmak üzere desteklenen hizmetleri dağıtma seçeneği sağlanır. Kimlik için Defender için gereken bulut bileşenleri, Kimlik için Defender ayarları sayfasını açtığınızda otomatik olarak eklenir.
Daha fazla bilgi için bkz.:
- Microsoft Defender XDR'da Kimlik için Microsoft Defender
- Microsoft Defender XDR kullanmaya başlama
- Microsoft Defender XDR açma
- Desteklenen hizmetleri dağıtın
- Microsoft Defender XDR açarken sık sorulan sorular
Önemli
Şu anda Defender for Identity veri merkezleri Avrupa, birleşik krallık, İsviçre, Kuzey Amerika/Orta Amerika/Karayipler, Doğu Avustralya, Asya ve Hindistan'da dağıtılmaktadır. Çalışma alanınız (örnek), Microsoft Entra kiracınızın coğrafi konumuna en yakın Azure bölgesinde otomatik olarak oluşturulur. Oluşturulduktan sonra Kimlik için Defender çalışma alanları taşınamaz.
Planlama ve hazırlama
Kimlik için Defender'ı dağıtmaya hazırlanmak için aşağıdaki adımları kullanın:
Tüm önkoşulların gerekli olduğundan emin olun.
İpucu
Ortamınızın gerekli önkoşullara sahip olup olmadığını test etmek ve görmek için Test-MdiReadiness.ps1 betiğini çalıştırmanızı öneririz.
Test-MdiReadiness.ps1 betiğinin bağlantısı, kimlik > araçları sayfasında (Önizleme) Microsoft Defender XDR de kullanılabilir.
Kimlik için Defender'ı dağıtma
Sisteminizi hazırladıktan sonra Kimlik için Defender'ı dağıtmak için aşağıdaki adımları kullanın:
- Kimlik için Defender hizmetine bağlantıyı doğrulayın.
- Kimlik için Defender algılayıcısını indirin.
- Kimlik için Defender algılayıcısını yükleyin.
- Veri almaya başlamak için Kimlik için Defender algılayıcısını yapılandırın.
Dağıtım sonrası yapılandırma
Aşağıdaki yordamlar dağıtım işlemini tamamlamanıza yardımcı olur:
Windows olay koleksiyonunu yapılandırın. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender ile olay toplama ve Windows olay günlükleri için denetim ilkelerini yapılandırma.
Kimlik için Defender için birleşik rol tabanlı erişim denetimini (RBAC) etkinleştirin ve yapılandırın.
Kimlik için Defender ile kullanmak üzere bir Dizin Hizmeti hesabı (DSA) yapılandırın. Bazı senaryolarda DSA isteğe bağlı olsa da, tam güvenlik kapsamı için Kimlik için Defender için DSA yapılandırmanızı öneririz. Örneğin, yapılandırılmış bir DSA'nız olduğunda, başlangıçta etki alanı denetleyicisine bağlanmak için DSA kullanılır. DSA, ağ trafiğinde, izlenen olaylarda ve izlenen ETW etkinliklerinde görülen varlıklardaki veriler için etki alanı denetleyicisini sorgulamak için de kullanılabilir
Sam'e uzak çağrıları gerektiği gibi yapılandırın. Bu adım isteğe bağlı olsa da, Kimlik için Defender ile yanal hareket yolu algılaması için SAM-R'ye uzak çağrılar yapılandırmanızı öneririz.
İpucu
Varsayılan olarak, Kimlik için Defender algılayıcıları 389 ve 3268 bağlantı noktalarında LDAP kullanarak dizini sorgular. 636 ve 3269 bağlantı noktalarında LDAPS'ye geçmek için lütfen bir destek olayı açın. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender desteği.
Önemli
AD FS / AD CS ve Entra Connect sunucularına Kimlik için Defender algılayıcısı yüklemek için ek adımlar gerekir. Daha fazla bilgi için bkz . AD FS, AD CS ve Entra Connect için algılayıcıları yapılandırma.