Aktivér Microsoft Defender for Identity funktioner direkte på en domænecontroller

Microsoft Defender for Endpoint kunder, der allerede har onboardet deres domænecontrollere til Defender for Endpoint, kan aktivere Microsoft Defender for Identity funktioner direkte på en domænecontroller i stedet for at bruge Microsoft Defender for Identity klassisk sensor.

I denne artikel beskrives det, hvordan du aktiverer og tester Microsoft Defender for Identity funktioner på din domænecontroller.

Forudsætninger

Før du aktiverer Defender for Identity-egenskaberne på domænecontrolleren, skal du kontrollere, at dit miljø overholder forudsætningerne i dette afsnit.

Konflikter i identitetsføler ved hjælp af Defender for Identity-sensor

Den konfiguration, der er beskrevet i denne artikel, understøtter ikke side om side-installation med en eksisterende Defender for Identity-sensor og anbefales ikke som erstatning for den klassiske Defender for Identity-sensor.

Sørg for, at den domænecontroller, hvor du planlægger at aktivere Defender for Identity-funktioner, ikke har installeret en Defender for Identity-sensor .

Systemkrav

Direct Defender for Identity-funktioner understøttes kun på domænecontrollere ved hjælp af et af følgende operativsystemer:

• Windows Server 2019 eller nyere
• Kumulativ opdatering fra marts 2024 eller nyere

Onboarding af Defender for Endpoint

Domænecontrolleren skal være onboardet til Microsoft Defender for Endpoint.

Du kan få flere oplysninger under Onboarde en Windows-server.

Krav til tilladelser

Hvis du vil have adgang til siden Defender for Identity Activation , skal du enten være sikkerhedsadministrator eller have følgende Unified RBAC-tilladelser:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Du kan finde flere oplysninger under:

• Unified rollebaseret adgangskontrol-RBAC
• Opret en rolle for at få adgang til og administrere roller og tilladelser

Forbindelseskrav

Defender for Identity-funktioner direkte på domænecontrollere bruger Defender for Endpoint URL-slutpunkter til kommunikation, herunder forenklede URL-adresser.

Du kan finde flere oplysninger under Konfigurer dit netværksmiljø for at sikre forbindelse med Defender for Endpoint.

Konfigurer Windows-overvågning

Defender for Identity Detections er afhængig af specifikke Windows-hændelseslogposter for at forbedre registreringer og give ekstra oplysninger om de brugere, der udfører specifikke handlinger, f.eks. NTLM-logon og ændringer af sikkerhedsgrupper.

Konfigurer Windows-hændelsessamling på domænecontrolleren for at understøtte Defender for identitetsregistreringer. Du kan finde flere oplysninger under Hændelsessamling med Microsoft Defender for Identity og Konfigurer overvågningspolitikker for Windows-hændelseslogge.

Det kan være en god idé at bruge Defender for Identity PowerShell-modulet til at konfigurere de påkrævede indstillinger. Du kan finde flere oplysninger under:

• DefenderForIdentity-modul
• Defender for Identity i PowerShell-galleriet

Følgende kommando definerer f.eks. alle indstillinger for domænet, opretter gruppepolitikobjekter og sammenkæder dem.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktivér Defender for identitetsfunktioner

Når du har sikret dig, at dit miljø er fuldt konfigureret, skal du aktivere funktionerne Microsoft Defender for Identity på domænecontrolleren.

Aktivér Defender for Identity fra Microsoft Defender-portalen.

1. Gå tilAktiveringaf systemindstillingers>>identiteter>.

   På siden Aktivering vises de servere, der er registreret i enhedslageret, og som er identificeret som berettigede domænecontrollere.

2. Vælg den domænecontroller, hvor du vil aktivere Defender for Identitetsfunktioner, og vælg derefter Aktivér. Bekræft dit valg, når du bliver bedt om det.

   

   Bemærk!

   Du kan vælge at aktivere berettigede domænecontrollere enten automatisk, hvor Defender for Identity aktiverer dem, så snart de registreres, eller manuelt, hvor du vælger bestemte domænecontrollere på listen over berettigede servere.

3. Når aktiveringen er fuldført, vises et grønt succesbanner. På banneret skal du vælge Klik her for at se de onboardede servere for at gå til siden Indstillinger > Identiteter > sensorer , hvor du kan kontrollere din sensortilstand.

   

Bekræftelse af onboarding

Sådan bekræfter du, at sensoren er blevet onboardet:

1. Naviger til Sensorerfor systemindstillingers>>identiteter>.

2. Kontrollér, at den onboardede domænecontroller er angivet.

Test aktiverede funktioner

Første gang du aktiverer Defender for Identity-funktioner på din domænecontroller, kan det tage op til en time, før den første sensor vises som Kører på siden Sensorer . Efterfølgende aktiveringer vises inden for fem minutter.

Defender for Identity-funktioner på domænecontrollere understøtter i øjeblikket følgende Defender for Identity-funktionalitet:

• Undersøgelsesfunktioner på ITDR-dashboardet, identitetsoversigten og avancerede identitetssøgningsdata
• Angivne anbefalinger til sikkerhedsholdning
• Angivne registreringer af beskeder
• Afhjælpningshandlinger
• Automatisk afbrydelse af angreb

Brug følgende procedurer til at teste dit miljø for Defender for Identity-funktioner på en domænecontroller.

Kontrollér ITDR-dashboardet

På Defender-portalen skal du vælge Dashboard for identiteter> og gennemse de viste oplysninger og søge efter forventede resultater fra dit miljø.

Du kan få flere oplysninger under Arbejd med Defender for Identity's ITDR-dashboard.

Bekræft oplysninger om enhedsside

Bekræft, at enheder, f.eks. domænecontrollere, brugere og grupper, udfyldes som forventet.

Se følgende oplysninger i Defender-portalen:

• Enhedsenheder: Vælg Aktiver > Enheder, og vælg maskinen til din nye sensor. Defender for Identity-hændelser vises på enhedens tidslinje.

• Brugerobjekter: Vælg Aktiver brugere, > og kontrollér, om der er brugere fra et nyligt onboardet domæne. Alternativt kan du bruge indstillingen global søgning til at søge efter bestemte brugere. Sider med brugeroplysninger skal omfatte Oversigt, Arbejdsfri i organisationen og Tidslinjedata .

• Gruppeobjekter: Brug global søgning til at finde en brugergruppe eller pivotere fra en side med bruger- eller enhedsoplysninger, hvor gruppeoplysninger vises. Se for at få oplysninger om gruppemedlemskab, få vist gruppebrugere og gruppetidslinjedata.

  Hvis der ikke findes nogen hændelsesdata på gruppetidslinjen, skal du muligvis oprette nogle manuelt. Det kan du f.eks. gøre ved at tilføje og fjerne brugere fra gruppen i Active Directory.

Du kan få flere oplysninger under Undersøg aktiver.

Test avancerede jagttabeller

På siden Avanceret jagt på Defender-portalen skal du bruge følgende eksempelforespørgsler til at kontrollere, at dataene vises i relevante tabeller som forventet for dit miljø:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Du kan finde flere oplysninger under Avanceret jagt på portalen Microsoft Defender.

Test ISPM-anbefalinger (Identity Security Posture Management)

Vi anbefaler simuleret risikoadfærd i et testmiljø for at udløse understøttede vurderinger og bekræfte, at de vises som forventet. Det kan f.eks. være:

1. Udløs en ny anbefaling af Løs usikre domænekonfigurationer ved at angive Active Directory-konfigurationen til en tilstand, der ikke overholder angivne standarder, og derefter returnere den til en kompatibel tilstand. Kør f.eks. følgende kommandoer:

   Sådan angiver du en tilstand, der ikke overholder angivne standarder

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Sådan vender du tilbage til en kompatibel tilstand:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Sådan kontrollerer du din lokale konfiguration:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. I Microsoft Secure Score skal du vælge Anbefalede handlinger for at kontrollere, om der er en ny Løsning af usikre domænekonfigurationer . Det kan være en god idé at filtrere anbefalinger fra produktet Defender for Identity .

Du kan få flere oplysninger under vurderinger af Microsoft Defender for Identity sikkerhedsholdning

Test beskedfunktionalitet

Test beskedfunktionalitet ved at simulere risikable aktiviteter i et testmiljø. Det kan f.eks. være:

• Tag en konto som en honeytoken-konto, og prøv derefter at logge på honeytoken-kontoen mod den aktiverede domænecontroller.
• Opret en mistænkelig tjeneste på domænecontrolleren.
• Kør en fjernkommando på domænecontrolleren som administrator, der er logget på fra arbejdsstationen.

Du kan få flere oplysninger under Undersøg defender for identitetssikkerhedsbeskeder i Microsoft Defender XDR.

Test afhjælpningshandlinger

Test afhjælpningshandlinger for en testbruger. Det kan f.eks. være:

1. Gå til siden med brugeroplysninger for en testbruger på Defender-portalen.

2. Vælg en af de tilgængelige afhjælpningshandlinger i menuen Indstillinger .

3. Kontrollér Active Directory for den forventede aktivitet.

Du kan få flere oplysninger under Afhjælpningshandlinger i Microsoft Defender for Identity.

Deaktiver Defender for identitetsfunktioner på domænecontrolleren

Hvis du vil deaktivere Defender for Identity-egenskaber på din domænecontroller, skal du slette den på siden Sensorer :

1. På Defender-portalen skal du vælge Indstillinger>Identiteter Sensorer>.

2. Vælg den domænecontroller, hvor du vil deaktivere Defender for identitetsfunktioner, vælg Slet, og bekræft dit valg.

   

Hvis du deaktiverer Defender for Identity-egenskaber fra domænecontrolleren, fjernes domænecontrolleren ikke fra Defender for Endpoint. Du kan finde flere oplysninger i dokumentationen til Defender for Endpoint.

Næste trin

Du kan få flere oplysninger under Administrer og opdater Microsoft Defender for Identity sensorer.