試驗和部署適用於身分識別Microsoft Defender
適用於:
- Microsoft Defender XDR
本文提供在組織中試驗和部署適用於身分識別Microsoft Defender 的工作流程。 您可以使用這些建議,將適用於身分識別Microsoft Defender 上線,作為個別的網路安全性工具,或作為端對端解決方案的一部分,Microsoft Defender XDR。
本文假設您有生產Microsoft 365 租使用者,並在此環境中試驗和部署適用於身分識別的 Microsoft Defender。 此做法會維護您在試驗期間為完整部署所設定的任何設定和自定義。
適用於 Office 365 的 Defender 藉由協助防止或減少因缺口而造成的業務損害,為零信任架構做出貢獻。 For more information, see the Prevent or reduce business damage from a breach business scenario in the Microsoft Zero Trust adoption framework.
Microsoft Defender XDR 的端對端部署
這是系列文章 6 的第 2 篇文章,可協助您部署 Microsoft Defender XDR 的元件,包括調查和回應事件。
本系列中的文章會對應至下列端對端部署階段:
| 階段 | 連結 |
|---|---|
| 答: 啟動試驗 | 啟動試驗 |
| B. 試驗和部署 Microsoft Defender XDR 元件 | - 試驗和部署適用於身分識別的Defender (本文) - 試驗和部署適用於 Office 365 的 Defender - 試驗和部署適用於端點的Defender - 試驗和部署適用於雲端應用程式Microsoft Defender |
| C. 調查和回應威脅 | 練習事件調查和回應 |
試驗和部署適用於身分識別的Defender工作流程
下圖說明在IT環境中部署產品或服務的常見程式。
首先,您會評估產品或服務,以及其在組織內的運作方式。 然後,您可以使用適當的小型生產基礎結構子集來試驗產品或服務,以進行測試、學習和自定義。 然後,逐漸增加部署的範圍,直到涵蓋整個基礎結構或組織為止。
以下是在生產環境中試驗和部署適用於身分識別的Defender的工作流程。
依照下列步驟執行:
- 設定適用於身分識別的Defender實例
- 安裝和設定感測器
- 使用感測器在計算機上設定事件記錄檔和 Proxy 設定
- 允許適用於身分識別的 Defender 識別其他電腦上的本機系統管理員
- 設定身分識別環境的基準檢驗建議
- 試用功能
以下是每個部署階段的建議步驟。
| 部署階段 | 描述 |
|---|---|
| 評估 | 執行適用於身分識別的Defender產品評估。 |
| 試驗 | 針對生產環境中具有感測器的適當伺服器子集,執行步驟 1-6。 |
| 完整部署 | 針對剩餘的伺服器執行步驟 2-5,擴充到試驗之外以包含所有伺服器。 |
保護您的組織免於駭客的攻擊
適用於身分識別的Defender自行提供強大的保護。 不過,結合 Microsoft Defender XDR 的其他功能時,適用於身分識別的 Defender 會將數據提供給共同訊號,以協助停止攻擊。
以下是網路攻擊的範例,以及 Microsoft Defender XDR 的元件如何協助偵測並減輕攻擊。
適用於身分識別的 Defender 會從 Active Directory 網域服務 (AD DS 收集訊號,) 執行 Active Directory 同盟服務的域控制器和伺服器, (AD FS) 和 Active Directory 憑證服務 (AD CS) 。 它會使用這些訊號來保護您的混合式身分識別環境,包括防止駭客使用遭入侵的帳戶橫向在內部部署環境中的工作站之間移動。
Microsoft Defender XDR 會將來自所有 Microsoft Defender 元件的訊號相互關聯,以提供完整的攻擊案例。
適用於身分識別的Defender架構
Microsoft適用於身分識別的 Defender 與 Microsoft Defender XDR 完全整合,並利用來自內部部署 Active Directory 身分識別的訊號,協助您進一步識別、偵測及調查組織導向的進階威脅。
部署適用於身分識別的 Microsoft Defender,以協助您的安全性作業 (SecOps) 小組提供跨混合式環境的新式身分識別威脅偵測和回應 (ITDR) 解決方案,包括:
- 使用主動式身分識別安全性狀態評估來防止缺口
- 使用即時分析和數據智慧偵測威脅
- 使用清楚、可採取動作的事件信息調查可疑活動
- 使用自動回應遭入侵的身分識別來回應攻擊。 如需詳細資訊,請 參閱什麼是適用於身分識別Microsoft Defender?
適用於身分識別的 Defender 可保護內部部署 AD DS 用戶帳戶,以及同步至您Microsoft Entra ID 租使用者的用戶帳戶。 若要保護僅由 Microsoft Entra 使用者帳戶所組成的環境,請 參閱 Microsoft Entra ID Protection] 。
下圖說明適用於身分識別的Defender的架構。
在此圖例中:
- 安裝在 AD DS 域控制器和 AD CS 伺服器上的感測器會剖析記錄和網路流量,並將它們傳送至適用於身分識別的 Microsoft Defender 進行分析和報告。
- 感測器也可以剖析第三方識別提供者的 AD FS 驗證,以及將 Microsoft Entra ID 設定為在圖例) 中虛線 (使用同盟驗證時。
- Microsoft適用於身分識別的 Defender 共享訊號以Microsoft Defender XDR。
適用於身分識別的 Defender 感測器可以直接安裝在下列伺服器上:
AD DS 域控制器
感測器會直接監視域控制器流量,而不需要專用伺服器或埠鏡像設定。
AD CS 伺服器
AD FS 伺服器
感測器會直接監視網路流量和驗證事件。
如需深入瞭解適用於身分識別的Defender架構,請參閱 Microsoft Defender for Identity 架構。
步驟 1:設定適用於身分識別的 Defender 實例
首先,適用於身分識別的 Defender 需要一些必要工作,以確保您的內部部署身分識別和網路元件符合最低需求。 使用 適用於身分識別Microsoft Defender 必要條件 一文作為檢查清單,以確保您的環境已就緒。
接下來,登入適用於身分識別的Defender入口網站以建立您的實例,然後將此實例連線到您的Active Directory環境。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 建立適用於身分識別的Defender實例 | 快速入門:建立適用於身分識別的 Microsoft Defender 執行個體 |
| 2 | 將適用於身分識別的 Defender 實例連線到您的 Active Directory 樹系 | 快速入門:連線到您的 Active Directory 樹系 |
步驟 2:安裝和設定感測器
接下來,在內部部署環境中的域控制器、AD FS 和 AD CS 伺服器上下載、安裝及設定適用於身分識別的 Defender 感測器。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 判斷您需要多少Microsoft適用於身分識別的Defender感測器。 | 規劃適用於身分識別的 Microsoft Defender 容量 |
| 2 | 下載感測器安裝套件 | 快速入門:下載適用於身分識別的 Microsoft Defender 感測器安裝套件 |
| 3 | 安裝適用於身分識別的Defender感測器 | 快速入門:安裝適用於身分識別的 Microsoft Defender 感測器 |
| 4 | 設定感測器 | 設定適用於身分識別Microsoft Defender 感測器設定 |
步驟 3:使用感測器在電腦上設定事件記錄檔和 Proxy 設定
在您安裝感測器的電腦上,設定 Windows 事件記錄檔收集和因特網 Proxy 設定,以啟用和增強偵測功能。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 設定 Windows 事件記錄檔收集 | 設定 Windows 事件集合 |
| 2 | 設定因特網 Proxy 設定 | 為適用於身分識別感測器的 Microsoft Defender 設定端點 Proxy 和因特網連線設定 |
步驟 4:允許適用於身分識別的 Defender 識別其他電腦上的本機系統管理員
Microsoft適用於身分識別的 Defender 橫向動作路徑偵測依賴可識別特定電腦上本機系統管理員的查詢。 這些查詢是使用適用於身分識別的Defender服務帳戶,以SAM-R 通訊協定執行。
若要確保 Windows 用戶端和伺服器允許適用於身分識別的 Defender 帳戶執行 SAM-R,除了網路存取原則中所列的已設定帳戶之外,還必須修改組策略,以新增適用於身分識別的 Defender 服務帳戶。 請務必將組策略套用至 域控制器以外的所有計算機。
如需如何執行這項操作的指示,請 參閱設定適用於身分識別的 Microsoft Defender 對 SAM 進行遠端呼叫。
步驟 5:設定身分識別環境的基準檢驗建議
Microsoft為使用 Microsoft 雲端服務的客戶提供安全性基準檢驗建議。 Azure 安全性效能評定 (ASB) 提供規範的最佳做法和建議,以協助改善 Azure 上工作負載、數據和服務的安全性。
實作這些建議可能需要一些時間來規劃和實作。 雖然這些建議可大幅提高身分識別環境的安全性,但不應阻止您繼續評估和實作適用於身分識別的 Defender Microsoft。 這裡提供這些建議以供您瞭解。
步驟 6:試用功能
適用於身分識別的 Defender 檔包含下列教學課程,逐步解說識別和補救各種攻擊類型的程式:
SIEM 整合
您可以整合適用於身分識別的 Defender 與 Microsoft Sentinel 或一般安全性資訊和事件管理 (SIEM) 服務,以啟用來自已連線應用程式的警示和活動的集中監視。 透過 Microsoft Sentinel,您可以更全面地分析整個組織的安全性事件,並建置劇本以獲得有效且立即的回應。
Microsoft Sentinel 包含適用於身分識別的 Defender 連接器。 如需詳細資訊, 請參閱 Microsoft 適用於 Microsoft Sentinel 的適用於身分識別的 Defender 連接器。
如需與第三方 SIEM 系統整合的相關信息,請參閱 一般 SIEM 整合。
下一步
將下列內容併入您的 SecOps 程式中:
Microsoft Defender XDR 端對端部署的下一個步驟
使用試驗繼續進行 Microsoft Defender XDR 的端對端部署 ,並部署適用於 Office 365 的 Defender。
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。