إصدار تجريبي ونشر Microsoft Defender for Identity
توفر هذه المقالة سير عمل لتجربة Microsoft Defender for Identity ونشرها في مؤسستك. استخدم هذه التوصيات لإلحاق Microsoft Defender for Identity كجزء من حل شامل مع Microsoft Defender XDR.
تفترض هذه المقالة أن لديك مستأجر Microsoft 365 للإنتاج وتعمل على إصدار تجريبي ونشر Microsoft Defender for Identity في هذه البيئة. ستحافظ هذه الممارسة على أي إعدادات وتخصيصات تقوم بتكوينها أثناء الإصدار التجريبي الخاص بك للتوزيع الكامل.
يساهم Defender for Identity في بنية ثقة معدومة من خلال المساعدة في منع أو تقليل الضرر التجاري من الخرق. لمزيد من المعلومات، راجع سيناريو منع تلف الأعمال أو تقليله من خرق العمل في إطار عمل اعتماد Microsoft ثقة معدومة.
التوزيع الشامل Microsoft Defender XDR
هذه هي المقالة 2 من 6 في سلسلة لمساعدتك على نشر مكونات Microsoft Defender XDR، بما في ذلك التحقيق في الحوادث والاستجابة لها.
تتوافق المقالات الواردة في هذه السلسلة مع المراحل التالية من النشر الشامل:
| طور | رابط |
|---|---|
| A. بدء تشغيل الإصدار التجريبي | بدء تشغيل الإصدار التجريبي |
| B. إصدار تجريبي وتوزيع مكونات Microsoft Defender XDR |
-
إصدار تجريبي ونشر Defender for Identity (هذه المقالة) - إصدار تجريبي ونشر Defender لـ Office 365 - إصدار تجريبي ونشر Defender لنقطة النهاية - إصدار تجريبي ونشر Microsoft Defender for Cloud Apps |
| C. التحقق من التهديدات والاستجابة لها | ممارسة التحقيق في الحوادث والاستجابة لها |
إصدار تجريبي لسير العمل ونشره ل Defender for Identity
يوضح الرسم التخطيطي التالي عملية شائعة لنشر منتج أو خدمة في بيئة تكنولوجيا المعلومات.
تبدأ بتقييم المنتج أو الخدمة وكيفية عملها داخل مؤسستك. بعد ذلك، يمكنك تجربة المنتج أو الخدمة مع مجموعة فرعية صغيرة مناسبة من البنية الأساسية للإنتاج للاختبار والتعلم والتخصيص. بعد ذلك، قم بزيادة نطاق التوزيع تدريجيا حتى تتم تغطية البنية الأساسية أو المؤسسة بأكملها.
فيما يلي سير العمل لتجربة Defender for Identity ونشره في بيئة الإنتاج الخاصة بك.
اتبع الخطوات التالية:
- إعداد مثيل Defender for Identity
- تثبيت أجهزة الاستشعار وتكوينها
- تكوين إعدادات سجل الأحداث والوكيل على الأجهزة باستخدام أداة الاستشعار
- السماح ل Defender for Identity بتحديد المسؤولين المحليين على أجهزة الكمبيوتر الأخرى
- تجربة القدرات
فيما يلي الخطوات الموصى بها لكل مرحلة توزيع.
| مرحلة التوزيع | الوصف |
|---|---|
| تقييم | إجراء تقييم المنتج ل Defender for Identity. |
| طيار | نفذ الخطوات من 1 إلى 5 لمجموعة فرعية مناسبة من الخوادم مع أدوات استشعار في بيئة الإنتاج الخاصة بك. |
| التوزيع الكامل | نفذ الخطوات من 2 إلى 4 للخوادم المتبقية، مع التوسع إلى ما بعد الإصدار التجريبي لتضمينها جميعا. |
حماية مؤسستك من المتسللين
يوفر Defender for Identity حماية قوية من تلقاء نفسه. ومع ذلك، عند دمجها مع القدرات الأخرى Microsoft Defender XDR، يوفر Defender for Identity بيانات في الإشارات المشتركة التي تساعد معا في إيقاف الهجمات.
فيما يلي مثال على هجوم إلكتروني وكيف تساعد مكونات Microsoft Defender XDR في اكتشافه والتخفيف من حدته.
يجمع Defender for Identity إشارات من وحدات تحكم المجال خدمات مجال Active Directory (AD DS) والخوادم التي تعمل خدمات الأمان المشترك لـ Active Directory (AD FS) وخدمات شهادات Active Directory (AD CS). ويستخدم هذه الإشارات لحماية بيئة الهوية المختلطة، بما في ذلك الحماية من المتسللين الذين يستخدمون الحسابات المخترقة للتنقل أفقيا عبر محطات العمل في البيئة المحلية.
يربط Microsoft Defender XDR الإشارات من جميع مكونات Microsoft Defender لتوفير قصة الهجوم الكاملة.
بنية Defender for Identity
Microsoft Defender for Identity متكامل تماما مع Microsoft Defender XDR والاستفادة من الإشارات من الهويات Active Directory محلي لمساعدتك على تحديد التهديدات المتقدمة الموجهة إلى مؤسستك واكتشافها والتحقيق فيها بشكل أفضل.
انشر Microsoft Defender for Identity لمساعدة فرق عمليات الأمان (SecOps) على تقديم حل حديث للكشف عن تهديدات الهوية والاستجابة لها (ITDR) عبر البيئات المختلطة، بما في ذلك:
- منع الخروقات، باستخدام تقييمات وضع أمان الهوية الاستباقية
- الكشف عن التهديدات، باستخدام التحليلات في الوقت الحقيقي وذكاء البيانات
- التحقيق في الأنشطة المشبوهة، باستخدام معلومات واضحة وقابلة للتنفيذ عن الحوادث
- الاستجابة للهجمات، باستخدام الاستجابة التلقائية للهويات المخترقة. لمزيد من المعلومات، راجع ما هي Microsoft Defender for Identity؟
يحمي Defender for Identity حسابات مستخدمي AD DS المحلية وحسابات المستخدمين المتزامنة مع مستأجر Microsoft Entra ID الخاص بك. لحماية بيئة تتكون من حسابات المستخدمين Microsoft Entra فقط، راجع Microsoft Entra ID Protection.
يوضح الرسم التخطيطي التالي بنية Defender for Identity.
في هذا الرسم التوضيحي:
- تقوم أجهزة الاستشعار المثبتة على وحدات تحكم مجال AD DS وخوادم AD CS بتحليل السجلات وحركة مرور الشبكة وإرسالها إلى Microsoft Defender for Identity للتحليل وإعداد التقارير.
- يمكن لأجهزة الاستشعار أيضا تحليل مصادقات AD FS لموفري الهوية التابعين لجهة خارجية وعند تكوين Microsoft Entra ID لاستخدام المصادقة الموحدة (الخطوط المنقطة في الرسم التوضيحي).
- يشارك Microsoft Defender for Identity الإشارات إلى Microsoft Defender XDR.
يمكن تثبيت مستشعرات Defender for Identity مباشرة على الخوادم التالية:
- وحدات تحكم مجال AD DS. يراقب المستشعر حركة مرور وحدة التحكم بالمجال مباشرة، دون الحاجة إلى خادم مخصص أو تكوين النسخ المتطابق للمنفذ.
- خوادم AD FS / خوادم AD CS. يراقب المستشعر حركة مرور الشبكة وأحداث المصادقة مباشرة.
لإلقاء نظرة أعمق على بنية Defender for Identity، راجع Microsoft Defender for Identity البنية.
الخطوة 1: إعداد مثيل Defender for Identity
سجل الدخول إلى مدخل Defender لبدء نشر الخدمات المدعومة، بما في ذلك Microsoft Defender for Identity. لمزيد من المعلومات، راجع بدء استخدام Microsoft Defender XDR.
الخطوة 2: تثبيت أدوات الاستشعار الخاصة بك
يتطلب Defender for Identity بعض العمل المتطلبات الأساسية لضمان تلبية مكونات الهوية والشبكات المحلية للحد الأدنى من المتطلبات لك لتثبيت أداة استشعار Defender for Identity في بيئتك.
بمجرد التأكد من جاهزية بيئتك، خطط لقدرتك، وتحقق من الاتصال ب Defender for Identity. ثم عندما تكون جاهزا، قم بتنزيل وتثبيت وتكوين مستشعر Defender for Identity على وحدات التحكم بالمجال وخوادم AD FS وخوادم AD CS في بيئتك المحلية.
| درج | الوصف | معلومات إضافية |
|---|---|---|
| 1 | تأكد من أن بيئتك تفي بالمتطلبات الأساسية ل Defender for Identity. | المتطلبات الأساسية Microsoft Defender for Identity |
| 2 | حدد عدد أجهزة الاستشعار Microsoft Defender for Identity التي تحتاجها. | تخطيط السعة Microsoft Defender for Identity |
| 3 | التحقق من الاتصال بخدمة Defender for Identity | التحقق من نشاط الشبكة |
| 4 | تنزيل وتثبيت مستشعر Defender for Identity | تثبيت Defender for Identity |
| 5 | تكوين أداة الاستشعار | تكوين إعدادات مستشعر Microsoft Defender for Identity |
الخطوة 3: تكوين سجل الأحداث وإعدادات الوكيل على الأجهزة باستخدام أداة الاستشعار
على الأجهزة التي قمت بتثبيت المستشعر عليها، قم بتكوين مجموعة سجل أحداث Windows لتمكين قدرات الكشف وتحسينها.
| درج | الوصف | معلومات إضافية |
|---|---|---|
| 1 | تكوين مجموعة سجل أحداث Windows |
مجموعة الأحداث مع Microsoft Defender for Identity تكوين نهج التدقيق لسجلات أحداث Windows |
الخطوة 4: السماح ل Defender for Identity بتحديد المسؤولين المحليين على أجهزة الكمبيوتر الأخرى
يعتمد الكشف عن مسار الحركة الجانبية (LMP) Microsoft Defender for Identity على الاستعلامات التي تحدد المسؤولين المحليين على أجهزة معينة. يتم تنفيذ هذه الاستعلامات باستخدام بروتوكول SAM-R، باستخدام حساب Defender for Identity Service.
للتأكد من أن عملاء وخوادم Windows تسمح لحساب Defender for Identity بإجراء SAM-R، يجب إجراء تعديل على نهج المجموعة لإضافة حساب خدمة Defender for Identity بالإضافة إلى الحسابات المكونة المدرجة في نهج الوصول إلى الشبكة. تأكد من تطبيق نهج المجموعة على جميع أجهزة الكمبيوتر باستثناء وحدات التحكم بالمجال.
للحصول على إرشادات حول كيفية القيام بذلك، راجع تكوين SAM-R لتمكين الكشف عن مسار الحركة الجانبية في Microsoft Defender for Identity.
الخطوة 5: تجربة القدرات
تتضمن وثائق Defender for Identity المقالات التالية التي تستعرض عملية تحديد ومعالجة أنواع الهجمات المختلفة:
- التحقيق في الأصول، بما في ذلك المستخدمين والمجموعات والأجهزة المشبوهة
- فهم LMPs والتحقيق فيها باستخدام Microsoft Defender for Identity
- فهم تنبيهات الأمان
لمزيد من المعلومات، اطلع على:
- تنبيهات الاستطلاع
- تنبيهات بيانات الاعتماد المخترقة
- تنبيهات الحركة الجانبية
- تنبيهات هيمنة المجال
- تنبيهات النقل غير المصرح به
- التحقيق في مستخدم
- التحقيق في جهاز كمبيوتر
- التحقيق في مسارات الحركة الجانبية
- التحقيق في الكيانات
تكامل إدارة معلومات الأمان والأحداث
يمكنك دمج Defender for Identity مع Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة من Microsoft، أو مع خدمة معلومات الأمان العامة وإدارة الأحداث (SIEM) لتمكين المراقبة المركزية للتنبيهات والأنشطة من التطبيقات المتصلة. باستخدام Microsoft Sentinel، يمكنك تحليل أحداث الأمان بشكل أكثر شمولا عبر مؤسستك وإنشاء أدلة مبادئ للاستجابة الفعالة والفورية.
يدعم Microsoft Sentinel Microsoft Defender لموصل بيانات XDR لإحضار جميع الإشارات من Defender XDR، بما في ذلك Defender for Identity، إلى Microsoft Sentinel. استخدم مدخل Defender كمنصة عمليات أمان موحدة (SecOps).
لمزيد من المعلومات، اطلع على:
الخطوة التالية
دمج ما يلي في عمليات SecOps الخاصة بك:
الخطوة التالية للتوزيع الشامل Microsoft Defender XDR
تابع التوزيع الشامل Microsoft Defender XDR باستخدام الإصدار التجريبي ونشر Defender لـ Office 365.
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.