查看Microsoft Defender for Identity的体系结构要求和关键概念
适用于:
- Microsoft Defender XDR
本文是设置Microsoft Defender for Identity评估环境过程中的步骤 1(共 3 步)。 有关此过程的详细信息,请参阅 概述文章。
在启用Microsoft Defender for Identity之前,请确保了解体系结构并满足要求。
Microsoft Defender for Identity使用机器学习和行为分析来识别本地网络的攻击,同时检测和主动防止与云标识相关的用户登录风险。 有关详细信息,请参阅什么是Microsoft Defender for Identity?
Defender for Identity 可保护本地 Active Directory用户和/或同步到Microsoft Entra ID的用户。 若要保护仅由Microsoft Entra用户组成的环境,请参阅 Microsoft Entra ID 保护。
了解体系结构
下图演示了 Defender for Identity 的基线体系结构。
在此图中:
- 安装在 Active Directory 域服务 (AD DS 上的传感器) 域控制器分析日志和网络流量,并将其发送到Microsoft Defender for Identity进行分析和报告。
- 当Microsoft Entra ID配置为在图) 中使用联合身份验证 (虚线时,传感器还可以分析Active Directory 联合身份验证服务 (AD FS) 。
- Microsoft Defender for Identity将信号共享给Microsoft Defender XDR,以 (XDR) 进行扩展检测和响应。
Defender for Identity 传感器可以直接安装在以下服务器上:
- 域控制器:传感器直接监视域控制器流量,无需专用服务器或端口镜像配置。
- AD FS:传感器直接监视网络流量和身份验证事件。
若要深入了解 Defender for Identity 的体系结构,包括与 Defender for Cloud Apps 的集成,请参阅Microsoft Defender for Identity体系结构。
了解关键概念
下表确定了在评估、配置和部署Microsoft Defender for Identity时必须了解的重要概念。
概念 | 说明 | 更多信息 |
---|---|---|
受监视的活动 | Defender for Identity 监视从组织内部生成的信号,以检测可疑或恶意活动,并帮助你确定每个潜在威胁的有效性,以便你可以有效地会审和响应。 | Microsoft Defender for Identity监视的活动 |
安全警报 | Defender for Identity 安全警报解释了网络上的传感器检测到的可疑活动,以及每个威胁中涉及的参与者和计算机。 | Microsoft Defender for Identity安全警报 |
实体配置文件 | 实体配置文件提供对用户、计算机、设备和资源及其访问历史记录的全面深入调查。 | 了解实体配置文件 |
横向移动路径 | MDI 安全见解的一个关键组件是识别横向移动路径,攻击者在其中使用非敏感帐户来访问整个网络中的敏感帐户或计算机。 | ) Microsoft Defender for Identity (LMP 的横向移动路径 |
网络名称解析 | 网络名称解析 (NNR) 是 MDI 功能的一个组件,它基于网络流量、Windows 事件、ETW 等捕获活动,并将此原始数据与每个活动所涉及的相关计算机相关联。 | 什么是网络名称解析? |
报表 | 使用 Defender for Identity 报表,可以计划或立即生成和下载提供系统和实体状态信息的报表。 可以创建有关环境中检测到的系统运行状况、安全警报和潜在横向移动路径的报告。 | Microsoft Defender for Identity报表 |
角色组 | Defender for Identity 提供基于角色的组和委派访问权限,以根据组织的特定安全性和合规性需求(包括管理员、用户和查看者)保护数据。 | Microsoft Defender for Identity 角色组 |
管理门户 | 除了Microsoft Defender门户外,还可以使用 Defender for Identity 门户监视和响应可疑活动。 | 使用Microsoft Defender for Identity 门户 |
Microsoft Defender for Cloud Apps集成 | Microsoft Defender for Cloud Apps与 Microsoft Defender for Identity 集成,以跨混合环境(云应用和本地) (UEBA) 提供用户实体行为分析 | Microsoft Defender for Identity集成 |
查看先决条件
Defender for Identity 需要一些先决条件工作,以确保本地标识和网络组件满足最低要求。 使用本文作为清单来确保环境准备就绪:Microsoft Defender for Identity先决条件。
后续步骤
步骤 2(共 3 步): 启用评估环境 Defender for Identity
返回到评估Microsoft Defender for Identity概述
返回到评估和试点Microsoft Defender XDR概述
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈