配置 Microsoft Defender for Identity 感官

  • 5 分钟

在较高级别中,需要执行以下步骤才能启用 Microsoft Defender for Identity:

  1. 在 Microsoft Defender for Identity 管理门户上创建一个实例。
  2. 在 Microsoft Defender for Identity 门户中指定本地 AD 服务帐户。
  3. 下载并安装传感器程序包。
  4. 在所有域控制器上安装 Microsoft Defender for Identity 感官。
  5. 集成 VPN 解决方案(可选)。
  6. 排除设计过程中已列出的敏感帐户。
  7. 配置传感器进行 SAM-R 调用所需的权限。
  8. 配置与 Microsoft Defender for Cloud Apps 的集成。
  9. 配置与 Microsoft Defender XDR (可选) 的集成。

下图显示 Microsoft Defender for Identity 体系结构。 在此单元中,我们将讨论如何配置 Microsoft Defender for Identity 感官。

Microsoft Defender for Identity 的体系结构

Microsoft Defender for Identity 感感器会直接从域控制器访问所需的事件日志,并直接安装在域控制器上。 通过感官分析日志和网络流量后,Microsoft Defender for Identity 仅向 Microsoft Defender for Identity 云服务发送分析信息(只发送一百分比的日志)。

Microsoft Defender for Identity 感官具有以下核心功能:

  • 捕获并检查域控制器网络流量(域控制器的本地流量)
  • 直接从域控制器接收 Windows 事件
  • 从 VPN 提供商处接收 RADIUS 记帐信息
  • 从 Active Directory 域检索有关用户和计算机的数据
  • 执行网络实体(用户、组和计算机)的解析
  • 将相关信息转移到 Microsoft Defender for Identity 云服务

Microsoft Defender for Identity 感官有以下要求:

  • KB4487044 安装在 Server 2019 上。 无需此更新,已在 2019 服务器上安装的 Microsoft Defender for Identity 感官将自动停止。
  • Microsoft Defender for Identity 感官支持域控制器 OS 列表:
    • Windows Server 2008 R2 SP1(不包括服务器核心)
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016(包括 Windows Server 核心,但不包括 Windows Nano Server)
    • Windows Server 2019(包括 Windows 核心,但不包括 Windows Nano Server)
  • 域控制器可以是只读域控制器 (RODC)。
  • 建议使用 10 GB 的磁盘空间。 这包括 Microsoft Defender for Identity 二进制文件、Microsoft Defender for Identity 日志和性能日志所需的空间。
  • Microsoft Defender for Identity 传感器需要在域控制器上安装至少双核和 6 GB 的 RAM。
  • Microsoft Defender for Identity 感官的 Power 选项,提升性能。
  • Microsoft Defender for Identity 感官方案可在各负载和大小的域控制器上部署,具体取决于与域控制器之间的网络流量以及安装的资源量。
  • 作为虚拟机运行时,不支持动态内存或任何其他内存膨胀功能。

要安装 Microsoft Defender for Identity 传感器

  1. 下载并解压传感器文件。 从 Microsoft Defender for Identity 感官设置.exe 运行,然后按照设置向导操作。
  2. 在欢迎页面上,选择你的语言,然后单击“下一步”。

安装步骤:选择语言。

  1. 安装向导会自动检查服务器是域控制器还是专用服务器。 如果是域控制器,则安装 Microsoft Defender for Identity 感官。 如果是专用服务器,则安装 Microsoft Defender for Identity 独立感官。 例如,对于 Microsoft Defender for Identity 传感器,将显示以下屏幕,以让你知道专用服务器上已安装 Microsoft Defender for Identity 传感器:

    安装步骤:确定服务器类型。

  2. 在“配置传感器”上,根据你的环境输入安装路径和访问密钥:

    • 安装路径:安装 Microsoft Defender for Identity 感官的位置。 默认情况下, 路径为 %programfiles%\Microsoft Defender for Identity。 保留默认值。
    • 访问密钥:从 Microsoft Defender for Identity 门户检索。

    安装步骤:配置传感器。

  3. 单击“安装”。

安装 Microsoft Defender for Identity 感官后,执行下列操作以配置 Microsoft Defender for Identity 感官设置:

  1. 单击 启动 打开浏览器并登录到 Microsoft Defender for Identity 门户。

  2. 在 Microsoft Defender for Identity 门户中,转到 配置。 在“系统”部分下,选择“传感器”。

    安装步骤:在 Microsoft Defender for Office 365 门户中选择传感器。

  3. 单击要配置的传感器,并输入以下信息:

    • 说明:输入 Microsoft Defender for Identity 感官描述(可选)。

    • 域控制器 (FQDN)(Microsoft Defender for Identity 独立感官要求,不能为 Microsoft Defender for Identity 感感器进行更改):输入域控制器的完整 FQDN,然后单击 加号 将其添加到列表中。 例如,dc01.contoso.com。

      以下信息适用于你在域控制器列表中输入的服务器:

      • 所有通过端口镜像监视通信流(Microsoft Defender for Identity 独立感官)的域控制器必须列在域控制器列表中。 如果某域控制器未在域控制器列表中列出,则可疑活动的检测可能无法按预期运行。
      • 列表中至少有一个域控制器应该是全局目录。 这将允许 Microsoft Defender for Identity 解析林中其他域中的计算机和用户对象。

    • 捕获网络适配器(必需):

      • 对于 Microsoft Defender for Identity 感官,所有用于与组织中其他计算机通信的网络适配器。
      • 对于专用服务器上 Microsoft Defender for Identity 的独立感官,选择配置为目标镜像端口的网络适配器。 这些网络适配器将接收镜像的域控制器流量。

    安装步骤:输入信息以配置传感器。

  4. 单击保存