为Microsoft Defender for Identity启用评估环境
适用于:
- Microsoft Defender XDR
本文是设置Microsoft Defender for Identity评估环境过程中的第 2 步(其中第 2 步)。 有关此过程的详细信息,请参阅 概述文章。
使用以下步骤设置Microsoft Defender for Identity环境。
- 步骤 1. 设置 Defender for Identity 实例
- 步骤 2. 安装和配置传感器
- 步骤 3. 在具有传感器的计算机上配置事件日志和代理设置
- 步骤 4. 允许 Defender for Identity 标识其他计算机上的本地管理员
步骤 1:设置 Defender for Identity 实例
登录到 Defender for Identity 门户以创建实例,然后将此实例连接到 Active Directory 环境。
步骤 | 说明 | 更多信息 |
---|---|---|
1 | Create Defender for Identity 实例 | 快速开始:创建 Microsoft Defender for Identity 实例 |
2 | 将 Defender for Identity 实例连接到 Active Directory 林 | 快速入门:连接到 Active Directory 林 |
步骤 2:安装和配置传感器
接下来,在本地环境中的域控制器和 AD FS 服务器上下载、安装和配置 Defender for Identity 传感器。
步骤 | 说明 | 更多信息 |
---|---|---|
1 | 确定需要多少个Microsoft Defender for Identity传感器。 | 为 Microsoft Defender for Identity 规划容量 |
2 | 下载传感器安装包 | 快速入门:下载Microsoft Defender for Identity传感器安装包 |
3 | 安装 Defender for Identity 传感器 | 快速入门:安装Microsoft Defender for Identity传感器 |
4 | 配置传感器 | 配置Microsoft Defender for Identity传感器设置 |
步骤 3:在具有传感器的计算机上配置事件日志和代理设置
在安装了传感器的计算机上,配置 Windows 事件日志收集和 Internet 代理设置,以启用和增强检测功能。
步骤 | 说明 | 更多信息 |
---|---|---|
1 | 配置 Windows 事件日志收集 | 配置 Windows 事件集合 |
2 | 配置 Internet 代理设置 | 为Microsoft Defender for Identity传感器配置终结点代理和 Internet 连接设置 |
步骤 4:允许 Defender for Identity 标识其他计算机上的本地管理员
Microsoft Defender for Identity横向移动路径检测依赖于标识特定计算机上的本地管理员的查询。 这些查询使用 SAM-R 协议使用 Defender for Identity Service 帐户执行。
为确保 Windows 客户端和服务器允许 Defender for Identity 帐户执行 SAM-R,除了网络访问策略中列出的已配置帐户外,还必须修改 组策略 以添加 Defender for Identity 服务帐户。 请确保将组策略应用于 域控制器以外的所有计算机。
有关如何执行此操作的说明,请参阅配置Microsoft Defender for Identity以对 SAM 进行远程调用。
后续步骤
步骤 3(共 3 步):试点Microsoft Defender for Identity
返回到评估Microsoft Defender for Identity概述
返回到评估和试点Microsoft Defender XDR概述
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈