试点和部署 Microsoft Defender for Identity
适用于:
- Microsoft Defender XDR
本文提供在组织中试点和部署 Microsoft Defender for Identity 的工作流。 你可以使用这些建议将 Microsoft Defender for Identity 加入为单个网络安全工具,或者作为使用 Microsoft Defender XDR 的端到端解决方案的一部分。
本文假设你有一个生产Microsoft 365 租户,并在此环境中试点和部署 Microsoft Defender for Identity。 这种做法将维护在试点期间为完整部署配置的任何设置和自定义项。
Defender for Office 365 有助于防止或减少违规造成的业务损失,从而为零信任体系结构做出贡献。 有关详细信息,请参阅Microsoft零信任采用框架中的 防止或减少违规 业务造成的业务损失。
Microsoft Defender XDR 的端到端部署
这是系列文章 2(共 6 篇),可帮助你部署 Microsoft Defender XDR 的组件,包括调查和响应事件。
本系列文章对应于端到端部署的以下阶段:
| 阶段 | 链接 |
|---|---|
| A. 启动试点 | 启动试点 |
| B. 试点和部署 Microsoft Defender XDR 组件 | - 试点和部署 Defender for Identity (本文) - 试点和部署 Defender for Office 365 - 试点和部署 Defender for Endpoint - 试点和部署 Microsoft Defender for Cloud Apps |
| C. 调查并响应威胁 | 实践事件调查和响应 |
为 Defender for Identity 试点和部署工作流
下图演示了在 IT 环境中部署产品或服务的常见过程。
首先评估产品或服务及其在组织中的工作方式。 然后,使用适当的一小部分生产基础结构来试用产品或服务,以便进行测试、学习和自定义。 然后,逐步增加部署范围,直到涵盖整个基础结构或组织。
下面是在生产环境中试点和部署 Defender for Identity 的工作流。
请按照下列步骤操作:
- 设置 Defender for Identity 实例
- 安装和配置传感器
- 在具有传感器的计算机上配置事件日志和代理设置
- 允许 Defender for Identity 标识其他计算机上的本地管理员
- 为标识环境配置基准建议
- 试用功能
下面是每个部署阶段的建议步骤。
| 部署阶段 | 说明 |
|---|---|
| 评估 | 对 Defender for Identity 执行产品评估。 |
| 试点 | 针对生产环境中具有传感器的服务器子集执行步骤 1-6。 |
| 完全部署 | 对剩余的服务器执行步骤 2-5,在试点之外扩展以包括所有服务器。 |
保护组织免受黑客攻击
Defender for Identity 本身提供强大的保护。 但是,当与 Microsoft Defender XDR 的其他功能结合使用时,Defender for Identity 会将数据提供给共享信号,共同帮助阻止攻击。
下面是网络攻击的示例,以及 Microsoft Defender XDR 的组件如何帮助检测和缓解它。
Defender for Identity 从 Active Directory 域服务 (AD DS 收集信号,) 域控制器和运行 Active Directory 联合身份验证服务 (AD FS) 和 Active Directory 证书服务 (AD CS) 的服务器。 它使用这些信号来保护混合标识环境,包括防止黑客使用受损帐户在本地环境中的工作站之间横向移动。
Microsoft Defender XDR 关联来自所有 Microsoft Defender 组件的信号,以提供完整的攻击情况。
Defender for Identity 体系结构
Microsoft Defender for Identity 与 Microsoft Defender XDR 完全集成,并利用来自本地 Active Directory 标识的信号,帮助你更好地识别、检测和调查针对组织的高级威胁。
部署 Microsoft Defender for Identity 以帮助安全运营 (SecOps) 团队跨混合环境提供新式标识威胁检测和响应 (ITDR) 解决方案,包括:
- 使用主动标识安全态势评估来防止违规
- 使用实时分析和数据智能检测威胁
- 使用清晰、可操作的事件信息调查可疑活动
- 使用对已泄露标识的自动响应来响应攻击。 有关详细信息,请参阅 什么是 Microsoft Defender for Identity?
Defender for Identity 保护同步到 Microsoft Entra ID 租户的本地 AD DS 用户帐户和用户帐户。 若要保护仅由 Microsoft Entra 用户帐户组成的环境,请参阅 Microsoft Entra ID Protection。
下图演示了 Defender for Identity 的体系结构。
在此图中:
- 安装在 AD DS 域控制器和 AD CS 服务器上的传感器分析日志和网络流量,并将其发送到 Microsoft Defender for Identity 进行分析和报告。
- 传感器还可以分析第三方标识提供者的 AD FS 身份验证,当Microsoft Entra ID 配置为使用联合身份验证 (图) 中的虚线时。
- Microsoft Defender for Identity 共享信号到 Microsoft Defender XDR。
Defender for Identity 传感器可以直接安装在以下服务器上:
AD DS 域控制器
传感器直接监视域控制器流量,无需专用服务器或端口镜像配置。
AD CS 服务器
AD FS 服务器
传感器直接监视网络流量和身份验证事件。
若要深入了解 Defender for Identity 的体系结构,请参阅 Microsoft Defender for Identity 体系结构。
步骤 1:设置 Defender for Identity 实例
首先,Defender for Identity 需要一些先决条件工作,以确保本地标识和网络组件满足最低要求。 使用 Microsoft Defender for Identity 先决条件 一文作为清单,确保环境已准备就绪。
接下来,登录到 Defender for Identity 门户以创建实例,然后将此实例连接到 Active Directory 环境。
| 步骤 | 说明 | 更多信息 |
|---|---|---|
| 1 | 创建 Defender for Identity 实例 | 快速开始:创建 Microsoft Defender for Identity 实例 |
| 2 | 将 Defender for Identity 实例连接到 Active Directory 林 | 快速入门:连接到 Active Directory 林 |
步骤 2:安装和配置传感器
接下来,在本地环境中的域控制器、AD FS 和 AD CS 服务器上下载、安装和配置 Defender for Identity 传感器。
| 步骤 | 说明 | 更多信息 |
|---|---|---|
| 1 | 确定需要多少个Microsoft Defender for Identity 传感器。 | 为 Microsoft Defender for Identity 规划容量 |
| 2 | 下载传感器安装包 | 快速入门:下载 Microsoft Defender for Identity 传感器安装包 |
| 3 | 安装 Defender for Identity 传感器 | 快速入门:安装 Microsoft Defender for Identity 传感器 |
| 4 | 配置传感器 | 配置 Microsoft Defender for Identity 传感器设置 |
步骤 3:在具有传感器的计算机上配置事件日志和代理设置
在安装了传感器的计算机上,配置 Windows 事件日志收集和 Internet 代理设置,以启用和增强检测功能。
| 步骤 | 说明 | 更多信息 |
|---|---|---|
| 1 | 配置 Windows 事件日志收集 | 配置 Windows 事件集合 |
| 2 | 配置 Internet 代理设置 | 为 Microsoft Defender for Identity Sensor 配置终结点代理和 Internet 连接设置 |
步骤 4:允许 Defender for Identity 标识其他计算机上的本地管理员
Microsoft Defender for Identity 横向移动路径检测依赖于标识特定计算机上的本地管理员的查询。 这些查询使用 SAM-R 协议使用 Defender for Identity Service 帐户执行。
若要确保 Windows 客户端和服务器允许 Defender for Identity 帐户执行 SAM-R,除了网络访问策略中列出的已配置帐户外,还必须修改组策略以添加 Defender for Identity 服务帐户。 请确保将组策略应用于 域控制器以外的所有计算机。
有关如何执行此操作的说明,请参阅 配置 Microsoft Defender for Identity 以对 SAM 进行远程调用。
步骤 5:为标识环境配置基准建议
Microsoft为使用 Microsoft 云服务的客户提供安全基准建议。 Azure 安全基准 (ASB) 提供了规范性的最佳做法和建议,以帮助提高 Azure 上工作负载、数据和服务的安全性。
实施这些建议可能需要一些时间来规划和实施。 虽然这些建议极大地提高了标识环境的安全性,但它们不应阻止你继续评估和实现 Microsoft Defender for Identity。 此处提供这些建议是为了提高你的意识。
步骤 6:试用功能
Defender for Identity 文档包括以下教程,这些教程介绍了识别和修正各种攻击类型的过程:
SIEM 集成
可以将 Defender for Identity 与 Microsoft Sentinel 或泛型安全信息和事件管理集成 (SIEM) 服务,以从连接的应用集中监视警报和活动。 使用 Microsoft Sentinel,可以更全面地分析整个组织的安全事件,并生成 playbook,以便进行有效和即时的响应。
Microsoft Sentinel 包括 Defender for Identity 连接器。 有关详细信息,请参阅 适用于 Microsoft Sentinel 的 Microsoft Defender for Identity 连接器。
有关与第三方 SIEM 系统集成的信息,请参阅 通用 SIEM 集成。
后续步骤
将以下内容合并到 SecOps 流程中:
Microsoft Defender XDR 端到端部署的下一步
使用 Pilot 继续对 Microsoft Defender XDR 进行端到端部署 ,并部署 Defender for Office 365。
提示
想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈