试点和部署Microsoft Defender for Identity
适用于:
- Microsoft Defender XDR
本文提供在组织中试点和部署Microsoft Defender for Identity的工作流。 可以使用这些建议将Microsoft Defender for Identity加入为单独的网络安全工具,或使用Microsoft Defender XDR作为端到端解决方案的一部分。
本文假设你有一个生产Microsoft 365 租户,并在此环境中试点和部署Microsoft Defender for Identity。 这种做法将维护在试点期间为完整部署配置的任何设置和自定义项。
Defender for Office 365有助于防止或减少违规造成的业务损失,从而为零信任体系结构做出贡献。 有关详细信息,请参阅Microsoft零信任采用框架中的防止或减少违规业务造成的业务损失。
Microsoft Defender XDR的端到端部署
这是系列文章 2(共 6 篇),可帮助你部署Microsoft Defender XDR组件,包括调查和响应事件。
本系列文章对应于端到端部署的以下阶段:
| 阶段 | 链接 |
|---|---|
| A. 启动试点 | 启动试点 |
| B. 试点和部署Microsoft Defender XDR组件 |
-
试点和部署 Defender for Identity (本文) - 试点和部署Defender for Office 365 - 试点和部署 Defender for Endpoint - 试点和部署Microsoft Defender for Cloud Apps |
| C. 调查并响应威胁 | 实践事件调查和响应 |
为 Defender for Identity 试点和部署工作流
下图演示了在 IT 环境中部署产品或服务的常见过程。
首先评估产品或服务及其在组织中的工作方式。 然后,使用适当的一小部分生产基础结构来试用产品或服务,以便进行测试、学习和自定义。 然后,逐步增加部署范围,直到涵盖整个基础结构或组织。
下面是在生产环境中试点和部署 Defender for Identity 的工作流。
请按照下列步骤操作:
- 设置 Defender for Identity 实例
- 安装和配置传感器
- 在具有传感器的计算机上配置事件日志和代理设置
- 允许 Defender for Identity 标识其他计算机上的本地管理员
- 为标识环境配置基准建议
- 试用功能
下面是每个部署阶段的建议步骤。
| 部署阶段 | 说明 |
|---|---|
| 评估 | 对 Defender for Identity 执行产品评估。 |
| 试点 | 针对生产环境中具有传感器的服务器子集执行步骤 1-6。 |
| 完全部署 | 对剩余的服务器执行步骤 2-5,在试点之外扩展以包括所有服务器。 |
保护组织免受黑客攻击
Defender for Identity 本身提供强大的保护。 但是,当与 Microsoft Defender XDR 的其他功能结合使用时,Defender for Identity 会将数据提供给共享信号,从而共同帮助阻止攻击。
下面是网络攻击的示例,以及Microsoft Defender XDR组件如何帮助检测和缓解网络攻击。
Defender for Identity 从Active Directory 域服务 (AD DS 收集信号,) 域控制器和运行Active Directory 联合身份验证服务 (AD FS) 和 Active Directory 证书服务 (AD CS) 。 它使用这些信号来保护混合标识环境,包括防止黑客使用受损帐户在本地环境中的工作站之间横向移动。
Microsoft Defender XDR关联来自所有Microsoft Defender组件的信号,以提供完整的攻击情况。
Defender for Identity 体系结构
Microsoft Defender for Identity与Microsoft Defender XDR完全集成,并利用来自本地 Active Directory标识的信号,帮助你更好地识别、检测和调查针对组织的高级威胁。
部署Microsoft Defender for Identity以帮助安全运营 (SecOps) 团队跨混合环境提供新式标识威胁检测和响应 (ITDR) 解决方案,包括:
- 使用主动标识安全态势评估来防止违规
- 使用实时分析和数据智能检测威胁
- 使用清晰、可操作的事件信息调查可疑活动
- 使用对已泄露标识的自动响应来响应攻击。 有关详细信息,请参阅什么是Microsoft Defender for Identity?
Defender for Identity 保护同步到Microsoft Entra ID租户的本地 AD DS 用户帐户和用户帐户。 若要保护仅由Microsoft Entra用户帐户组成的环境,请参阅 Microsoft Entra ID 保护。
下图演示了 Defender for Identity 的体系结构。
在此图中:
- 安装在 AD DS 域控制器和 AD CS 服务器上的传感器分析日志和网络流量,并将其发送到Microsoft Defender for Identity进行分析和报告。
- 传感器还可以分析第三方标识提供者的 AD FS 身份验证,以及当Microsoft Entra ID配置为使用联合身份验证 (图) 中的虚线时。
- Microsoft Defender for Identity向Microsoft Defender XDR共享信号。
Defender for Identity 传感器可以直接安装在以下服务器上:
AD DS 域控制器
传感器直接监视域控制器流量,无需专用服务器或端口镜像配置。
AD CS 服务器
AD FS 服务器
传感器直接监视网络流量和身份验证事件。
若要深入了解 Defender for Identity 的体系结构,请参阅 Microsoft Defender for Identity 体系结构。
步骤 1:设置 Defender for Identity 实例
首先,Defender for Identity 需要一些先决条件工作,以确保本地标识和网络组件满足最低要求。 使用Microsoft Defender for Identity先决条件一文作为清单,确保环境准备就绪。
接下来,登录到 Defender for Identity 门户以创建实例,然后将此实例连接到 Active Directory 环境。
| 步骤 | 说明 | 更多信息 |
|---|---|---|
| 1 | 创建 Defender for Identity 实例 | 快速开始:创建 Microsoft Defender for Identity 实例 |
| 2 | 将 Defender for Identity 实例连接到 Active Directory 林 | 快速入门:连接到 Active Directory 林 |
步骤 2:安装和配置传感器
接下来,在本地环境中的域控制器、AD FS 和 AD CS 服务器上下载、安装和配置 Defender for Identity 传感器。
| 步骤 | 说明 | 更多信息 |
|---|---|---|
| 1 | 确定需要多少个Microsoft Defender for Identity传感器。 | 为 Microsoft Defender for Identity 规划容量 |
| 2 | 下载传感器安装包 | 快速入门:下载Microsoft Defender for Identity传感器安装包 |
| 3 | 安装 Defender for Identity 传感器 | 快速入门:安装Microsoft Defender for Identity传感器 |
| 4 | 配置传感器 | 配置Microsoft Defender for Identity传感器设置 |
步骤 3:在具有传感器的计算机上配置事件日志和代理设置
在安装了传感器的计算机上,配置 Windows 事件日志收集和 Internet 代理设置,以启用和增强检测功能。
| 步骤 | 说明 | 更多信息 |
|---|---|---|
| 1 | 配置 Windows 事件日志收集 | 配置 Windows 事件集合 |
| 2 | 配置 Internet 代理设置 | 为Microsoft Defender for Identity传感器配置终结点代理和 Internet 连接设置 |
步骤 4:允许 Defender for Identity 标识其他计算机上的本地管理员
Microsoft Defender for Identity横向移动路径检测依赖于标识特定计算机上的本地管理员的查询。 这些查询使用 SAM-R 协议使用 Defender for Identity Service 帐户执行。
为确保 Windows 客户端和服务器允许 Defender for Identity 帐户执行 SAM-R,除了网络访问策略中列出的已配置帐户外,还必须修改 组策略 以添加 Defender for Identity 服务帐户。 请确保将组策略应用于 域控制器以外的所有计算机。
有关如何执行此操作的说明,请参阅配置Microsoft Defender for Identity以对 SAM 进行远程调用。
步骤 5:为标识环境配置基准建议
Microsoft为使用 Microsoft 云服务的客户提供安全基准建议。 Azure 安全基准 (ASB) 提供了规范性的最佳做法和建议,以帮助提高 Azure 上工作负载、数据和服务的安全性。
实施这些建议可能需要一些时间来规划和实施。 虽然这些建议极大地提高了标识环境的安全性,但它们不应阻止你继续评估和实现Microsoft Defender for Identity。 此处提供这些建议是为了提高你的意识。
步骤 6:试用功能
Defender for Identity 文档包括以下教程,这些教程介绍了识别和修正各种攻击类型的过程:
SIEM 集成
可以将 Defender for Identity 与 Microsoft Sentinel 或通用安全信息和事件管理集成 (SIEM) 服务,以集中监视来自连接的应用的警报和活动。 借助Microsoft Sentinel,你可以更全面地分析整个组织的安全事件,并生成 playbook,以便进行有效和即时的响应。
Microsoft Sentinel包括 Defender for Identity 连接器。 有关详细信息,请参阅用于Microsoft Sentinel的Microsoft Defender for Identity连接器。
有关与第三方 SIEM 系统集成的信息,请参阅 通用 SIEM 集成。
后续步骤
将以下内容合并到 SecOps 流程中:
Microsoft Defender XDR的端到端部署的下一步
使用试点继续Microsoft Defender XDR的端到端部署,并部署Defender for Office 365。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。