使用 Microsoft Defender XDR 部署 Microsoft Defender for Identity

项目
03/25/2024

本文概述了 Microsoft Defender for Identity 的完整部署过程，包括准备、部署步骤以及适用于特定应用场景的额外步骤。

Defender for Identity 是零信任策略的主要组件，也是使用 Microsoft Defender XDR 进行身份威胁检测与响应 (ITDR) 或扩展检测和响应 (XDR) 部署的主要组件。 Defender for Identity 利用 Active Directory 信号检测帐户的突然更改（例如特权升级或高风险横向移动），并报告容易被恶意利用的身份问题（例如不受约束的 Kerberos 委派），以供安全团队进行更正。

有关一组快速部署亮点，请参阅快速安装指南。

先决条件

在开始之前，确保至少作为安全管理员有权访问 Microsoft Defender XDR，并且具有以下许可证之一：

企业移动性 + 安全性 E5 (EMS E5/A5)
Microsoft 365 E5 (Microsoft E5/A5/G5)
Microsoft 365 E5/A5/G5/F5* 安全性
Microsoft 365 F5 安全与合规*
独立 Defender for Identity 许可证

* 两个 F5 许可证都需要 Microsoft 365 F1/F3 或 Office 365 F3 和企业移动性 + 安全性 E3。

直接通过 Microsoft 365 门户获取许可证，或使用云解决方案合作伙伴 (CSP) 许可模型。

有关详细信息，请参阅许可和隐私常见问题解答以及什么是 Defender for Identity 角色和权限？

开始使用 Microsoft Defender XDR

本部分介绍如何开始加入 Defender for Identity。

登录 Microsoft Defender 门户。
从导航菜单中，选择任意项，例如事件 & 警报、搜寻、操作中心或威胁分析，以启动载入过程。

然后，可以选择部署支持的服务，包括 Microsoft Defender for Identity。打开 Defender for Identity 设置页面时，会自动添加 Defender for Identity 所需的云组件。

有关详细信息，请参阅：

重要

目前，Defender for Identity 数据中心部署在欧洲、英国、北美/中美/加勒比海地区、澳大利亚东部和亚洲。工作区（实例）在离 Microsoft Entra 租户所在地理位置最近的 Azure 区域中自动创建。创建后，Defender for Identity 工作区无法移动。

规划和准备

按照以下步骤准备部署 Defender for Identity：

确保已满足所有必要的先决条件。
规划 Defender for Identity 容量。

提示

我们建议运行 Test-MdiReadiness.ps1 脚本进行测试，看看你的环境是否具备必要的先决条件。

Microsoft Defender XDR 的标识 > 工具页面（预览版）上也提供了 Test-MdiReadiness.ps1 脚本的链接。

部署 Defender for Identity

在准备好系统后，按照以下步骤部署 Defender for Identity：

部署后配置

以下过程有助于完成部署流程：

配置 Windows 事件收集。有关详细信息，请参阅使用 Microsoft Defender for Identity 收集事件，以及配置 Windows 事件日志的审核策略。
为 Defender for Identity 启用和配置统一基于角色的访问控制 (RBAC)。
将目录服务帐户 (DSA) 配置为与 Defender for Identity 搭配使用。虽然 DSA 在某些应用场景下是可选的，但我们建议你为 Defender for Identity 配置 DSA 以实现完全的安全覆盖。
根据需要配置对 SAM 的远程调用。虽然此步骤为可选步骤，但建议使用 Defender for Identity 配置对 SAM-R 的远程调用，以进行横向移动路径检测。

重要

要在 AD FS/AD CS 服务器上安装 Defender for Identity 传感器，需要执行额外的步骤。有关详细信息，请参阅为 AD FS 和 AD CS 配置传感器。

下一步

Defender for Identity 先决条件 »