使用 Microsoft Defender XDR 部署 Microsoft Defender for Identity
本文概述了 Microsoft Defender for Identity 的完整部署过程,包括准备、部署步骤以及适用于特定应用场景的额外步骤。
Defender for Identity 是零信任策略的主要组件,也是使用 Microsoft Defender XDR 进行身份威胁检测与响应 (ITDR) 或扩展检测和响应 (XDR) 部署的主要组件。 Defender for Identity 使用来自标识基础结构服务器(如域控制器、AD FS/AD CS 和 Entra Connect 服务器)的信号来检测权限提升或高风险横向移动等威胁,并报告容易容易被利用的标识问题(如不受约束的 Kerberos 委派),以供安全团队更正。
有关一组快速部署亮点,请参阅快速安装指南。
先决条件
在开始之前,确保至少作为安全管理员有权访问 Microsoft Defender XDR,并且具有以下许可证之一:
- 企业移动性 + 安全性 E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* 安全性
- Microsoft 365 F5 安全与合规*
- 独立 Defender for Identity 许可证
* 两个 F5 许可证都需要 Microsoft 365 F1/F3 或 Office 365 F3 和企业移动性 + 安全性 E3。
直接通过 Microsoft 365 门户获取许可证,或使用云解决方案合作伙伴 (CSP) 许可模型。
有关详细信息,请参阅许可和隐私常见问题解答以及什么是 Defender for Identity 角色和权限?
开始使用 Microsoft Defender XDR
本部分介绍如何开始加入 Defender for Identity。
- 登录 Microsoft Defender 门户。
- 从导航菜单中,选择任意项,例如事件 & 警报、搜寻、操作中心或威胁分析,以启动载入过程。
然后,可以选择部署支持的服务,包括 Microsoft Defender for Identity。 打开 Defender for Identity 设置页面时,会自动添加 Defender for Identity 所需的云组件。
有关详细信息,请参阅:
- Microsoft Defender XDR 中的 Microsoft Defender for Identity
- Microsoft Defender XDR 入门
- 打开 Microsoft Defender XDR
- 部署支持的服务
- d打开 Microsoft Defender XDR 时的常见问题解答
重要
目前,Defender for Identity 数据中心部署在欧洲、英国、瑞士、北美/中美/加勒比海地区、澳大利亚东部、亚洲和印度。 工作区(实例)在离 Microsoft Entra 租户所在地理位置最近的 Azure 区域中自动创建。 创建后,Defender for Identity 工作区无法移动。
规划和准备
按照以下步骤准备部署 Defender for Identity:
确保已满足所有必要的先决条件。
提示
我们建议运行 Test-MdiReadiness.ps1 脚本进行测试,看看你的环境是否具备必要的先决条件。
Microsoft Defender XDR 的标识 > 工具页面(预览版)上也提供了 Test-MdiReadiness.ps1 脚本的链接。
部署 Defender for Identity
在准备好系统后,按照以下步骤部署 Defender for Identity:
- 验证与 Defender for Identity 服务的连接。
- 下载 Defender for Identity 传感器。
- 安装 Defender for Identity 传感器。
- 配置 Defender for Identity 传感器以开始接收数据。
部署后配置
以下过程有助于完成部署流程:
配置 Windows 事件收集。 有关详细信息,请参阅使用 Microsoft Defender for Identity 收集事件,以及配置 Windows 事件日志的审核策略。
为 Defender for Identity 启用和配置统一基于角色的访问控制 (RBAC)。
将目录服务帐户 (DSA) 配置为与 Defender for Identity 搭配使用。 虽然 DSA 在某些应用场景下是可选的,但我们建议你为 Defender for Identity 配置 DSA 以实现完全的安全覆盖。 例如,在配置了 DSA 时,DSA 将用于在启动时连接到域控制器。 DSA 还可用于向域控制器查询网络流量、监视的事件和监视的 ETW 活动中看到的实体的数据
根据需要配置对 SAM 的远程调用。 虽然此步骤为可选步骤,但建议使用 Defender for Identity 配置对 SAM-R 的远程调用,以进行横向移动路径检测。
提示
默认情况下,Defender for Identity 传感器在端口 389 和 3268 上使用 LDAP 查询目录。 若要在端口 636 和 3269 上切换到 LDAPS,请打开支持案例。 有关详细信息,请参阅 Microsoft Defender for Identity 支持。
重要
要在 AD FS/AD CS 和 Entra Connect 服务器上安装 Defender for Identity 传感器,需要执行额外的步骤。 有关详细信息,请参阅为 AD FS、AD CS 和 Entra Connect 配置传感器。