使用 Microsoft Defender XDR 部署適用於身分識別的 Microsoft Defender
本文提供 適用於身分識別的 Microsoft Defender 的完整部署程式概觀,包括準備、部署和特定案例的額外步驟。
適用於身分識別的 Defender 是 零信任 策略的主要元件,以及您的身分識別威脅偵測和回應 (ITDR) 或具有 Microsoft Defender 全面偵測回應 的擴充偵測和回應 (XDR) 部署。 適用於身分識別的 Defender 會使用來自您身分識別基礎結構伺服器的訊號,例如域控制器和 AD FS / AD CS 伺服器來偵測威脅,例如許可權提升或高風險橫向移動,以及報告安全性小組輕鬆惡意探索的身分識別問題,例如不受限制的 Kerberos 委派。
如需一組快速部署重點,請參閱 快速安裝指南。
必要條件
開始之前,請確定您至少可以存取 Microsoft Defender 全面偵測回應 為安全性系統管理員,而且您有下列其中一個授權:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* 安全性
- Microsoft 365 F5 安全性 + 合規性
- 適用於身分識別的獨立 Defender 授權
* 這兩個 F5 授權都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企業行動力 + 安全性 E3。
直接透過 Microsoft 365 入口網站 取得授權,或使用雲端解決方案合作夥伴 (CSP) 授權模型。
如需詳細資訊,請參閱 授權和隱私權常見問題 和 什麼是適用於身分識別角色和許可權的Defender?
開始使用 Microsoft Defender 全面偵測回應
本節說明如何開始上線至適用於身分識別的 Defender。
- 登入 Microsoft Defender 入口網站。
- 從導覽功能表中,選取任何專案,例如 事件和警示、 搜捕、 控制中心或 威脅分析 ,以起始上線程式。
接著,您可以選擇部署支援的服務,包括 適用於身分識別的 Microsoft Defender。 當您開啟適用於身分識別的 Defender 設定頁面時,會自動新增適用於身分識別的 Defender 所需的雲端元件。
如需詳細資訊,請參閱
- Microsoft Defender 全面偵測回應中的 適用於身分識別的 Microsoft Defender
- 開始使用 Microsoft Defender 全面偵測回應
- 開啟 Microsoft Defender 全面偵測回應
- 部署支持的服務
- 開啟 Microsoft Defender 全面偵測回應 時的常見問題
重要
目前,適用於身分識別的 Defender 數據中心部署在歐洲、英國、瑞士、北美洲/中美洲/加勒比、澳大利亞東部和亞洲。 您的工作區(實例)會自動在最接近 Microsoft Entra 租使用者的地理位置的 Azure 區域中建立。 建立之後,適用於身分識別的Defender工作區將無法移動。
規劃和準備
使用下列步驟來準備部署適用於身分識別的Defender:
請確定您具備所有必要的 必要條件 。
提示
建議您執行 Test-MdiReadiness.ps1 腳本來測試,並查看您的環境是否有必要的必要條件。
Test-MdiReadiness.ps1 腳本的連結也可從 [身分識別>工具] 頁面的 [Microsoft Defender 全面偵測回應 取得 。預覽]。
部署適用於身分識別的Defender
準備好系統之後,請使用下列步驟來部署適用於身分識別的Defender:
- 確認與適用於身分識別的 Defender 服務的連線。
- 下載適用於身分識別的 Defender 感測器。
- 安裝適用於身分識別的Defender感測器。
- 設定適用於身分識別的 Defender 感測器 以開始接收數據。
部署後設定
下列程式可協助您完成部署程式:
設定 Windows 事件集合。 如需詳細資訊,請參閱事件收集與 適用於身分識別的 Microsoft Defender 和設定 Windows 事件記錄的稽核策略。
設定目錄服務帳戶 (DSA) 以與適用於身分識別的 Defender 搭配使用。 在某些案例中,DSA 是選擇性的,但建議您為適用於身分識別的 Defender 設定 DSA,以取得完整的安全性涵蓋範圍。 例如,當您設定 DSA 時,DSA 會用來在啟動時連線到域控制器。 DSA 也可用來查詢域控制器,以取得網路流量、受監視事件和受監視 ETW 活動中所見實體的數據
視需要設定對SAM 的遠端呼叫。 雖然此步驟是選擇性的,但建議您使用適用於身分識別的 Defender 來設定 SAM-R 的遠端呼叫,以進行橫向動作路徑偵測。
重要
在AD FS / AD CS 伺服器上安裝適用於身分識別的Defender感測器需要額外的步驟。 如需詳細資訊,請參閱 設定AD FS和AD CS的感測器。
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應