Microsoft Defender for Identity üzembe helyezése Microsoft Defender XDR
Ez a cikk áttekintést nyújt a Microsoft Defender for Identity teljes üzembehelyezési folyamatáról, beleértve az előkészítés, az üzembe helyezés és az adott forgatókönyvek további lépéseit.
Az Identitáshoz készült Defender egy Teljes felügyelet stratégia és az Identitásfenyegetések észlelése és reagálása (ITDR) vagy a kiterjesztett észlelési és reagálási (XDR) üzembe helyezés elsődleges összetevője Microsoft Defender XDR. Az Identitáshoz készült Defender az identitásinfrastruktúra-kiszolgálók ( például tartományvezérlők, AD FS/AD CS és Entra Connect-kiszolgálók) jelzéseit használja az olyan fenyegetések észlelésére, mint a jogosultságok eszkalálása vagy a magas kockázatú oldalirányú mozgás, valamint a biztonsági csapat által kijavítandó, könnyen kihasználható identitásproblémákról, például a korlátozás nélküli Kerberos-delegálásról.
Az üzembe helyezéssel kapcsolatos fontos tudnivalókat a Gyors telepítési útmutatóban találja.
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy legalább biztonsági rendszergazdaként rendelkezik hozzáféréssel Microsoft Defender XDR, és rendelkezik az alábbi licencek egyikével:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Biztonság
- Microsoft 365 F5 Biztonság + Megfelelőség*
- Önálló Defender for Identity-licenc
* Mindkét F5 licenchez Microsoft 365 F1/F3 vagy Office 365 F3 és Nagyvállalati mobilitási és biztonsági E3 csomag szükséges.
Licenceket közvetlenül a Microsoft 365 portálon szerezhet be, vagy használhatja a felhőszolgáltatói partner (CSP) licencelési modelljét.
További információ: Licencelés és adatvédelem – gyakori kérdések és Mik azok a Defender for Identity-szerepkörök és -engedélyek?
A Microsoft Defender XDR használatának megkezdése
Ez a szakasz bemutatja, hogyan kezdheti meg az előkészítést a Defender for Identityben.
- Jelentkezzen be a Microsoft Defender portálra.
- A navigációs menüben válasszon ki egy elemet, például incidensek & riasztásokat, veszélyforrás-keresést, műveletközpontot vagy fenyegetéselemzést az előkészítési folyamat elindításához.
Ezután lehetősége lesz a támogatott szolgáltatások, többek között a Microsoft Defender for Identity üzembe helyezésére. A Defender for Identityhez szükséges felhőösszetevők automatikusan hozzáadódnak a Defender for Identity beállítások lapjának megnyitásakor.
További információ:
- Microsoft Defender for Identity a Microsoft Defender XDR-ben
- Ismerkedés a Microsoft Defender XDR
- A Microsoft Defender XDR bekapcsolása
- Támogatott szolgáltatások üzembe helyezése
- Gyakori kérdések a Microsoft Defender XDR bekapcsolásakor
Fontos
A Defender for Identity adatközpontjai jelenleg Európában, az Egyesült Királyságban, Svájcban, Észak-Amerika/Közép-Amerikában/Karib-térségben, Kelet-Ausztráliában, Ázsiában és Indiában vannak üzembe helyezve. A munkaterület (példány) automatikusan létrejön a Microsoft Entra-bérlő földrajzi helyéhez legközelebbi Azure-régióban. A létrehozás után a Defender for Identity-munkaterületek nem mozgathatók.
Tervezés és előkészítés
Az alábbi lépésekkel felkészülhet a Defender for Identity üzembe helyezésére:
Győződjön meg arról, hogy minden előfeltétel teljesül.
Tipp
Javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet a teszteléshez, és ellenőrizze, hogy a környezetben lévő kiszolgálók rendelkeznek-e a szükséges előfeltételekkel. A DefenderForIdentity PowerShell-modullal hozzáadhatja a szükséges naplózást, és konfigurálhatja a szükséges beállításokat.
Fontos
Az új érzékelőt azoknak az ügyfeleknek ajánljuk, akik alapvető identitásvédelmet szeretnének üzembe helyezni a 2019-Windows Server vagy újabb rendszert futtató új tartományvezérlőkre. Az összes többi identitásinfrastruktúra, illetve azoknak az ügyfeleknek, akik a mai Microsoft Defender for Identity elérhető legrobusztusabb identitásvédelmet szeretnék üzembe helyezni, javasoljuk a klasszikus érzékelő üzembe helyezését. További információ az új érzékelőről
A Defender for Identity klasszikus érzékelőjének üzembe helyezése
A rendszer előkészítése után az alábbi lépésekkel telepítse a Defender for Identityt:
- Ellenőrizze a Defender for Identity szolgáltatáshoz való kapcsolódást.
- Töltse le a Defender for Identity klasszikus érzékelőt.
- Telepítse a Defender for Identity klasszikus érzékelőt.
- Konfigurálja a Defender for Identity klasszikus érzékelőt az adatok fogadásának megkezdéséhez.
Üzembe helyezés utáni konfiguráció
Az alábbi eljárások segítenek az üzembe helyezési folyamat befejezésében:
Konfigurálja a Windows-eseménygyűjtést. További információ: Eseménygyűjtés Microsoft Defender for Identity és Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz.
Engedélyezze és konfigurálja az egységes szerepköralapú hozzáférés-vezérlést (RBAC) a Defender for Identityhez.
Konfiguráljon egy címtárszolgáltatás-fiókot (DSA) a Defender for Identity használatához. Bár a DSA bizonyos esetekben nem kötelező, javasoljuk, hogy konfiguráljon egy DSA-t a Defender for Identityhez a teljes biztonsági lefedettség érdekében. Ha például konfigurált egy DSA-t, a rendszer a DSA használatával csatlakozik a tartományvezérlőhöz indításkor. A DSA használatával a tartományvezérlő lekérdezheti a hálózati forgalomban, a figyelt eseményekben és a figyelt ETW-tevékenységekben látott entitások adatait.
Szükség szerint konfigurálja a SAM-hez intézett távoli hívásokat . Bár ez a lépés nem kötelező, javasoljuk, hogy konfigurálja az SAM-R távoli hívásait az oldalirányú mozgás útvonalának észleléséhez a Defender for Identity használatával.
Tipp
Alapértelmezés szerint a Defender for Identity érzékelői LDAP használatával kérdezik le a címtárat a 389-ben és a 3268-on. Ha a 636-os és a 3269-os porton szeretne LDAPS-re váltani, nyisson meg egy támogatási esetet. További információ: Microsoft Defender for Identity támogatás.
Fontos
A Defender for Identity-érzékelő AD FS-/AD CS- és Entra Connect-kiszolgálókra való telepítése további lépéseket igényel. További információ: Érzékelők konfigurálása az AD FS, az AD CS és az Entra Connect számára.