Megosztás a következőn keresztül:


Próbaüzem és üzembe helyezés Microsoft Defender for Identity

Érintett szolgáltatás:

  • Microsoft Defender XDR

Ez a cikk egy munkafolyamatot biztosít a Microsoft Defender for Identity a szervezetben való kipróbálásához és üzembe helyezéséhez. Ezekkel a javaslatokkal Microsoft Defender for Identity egy teljes körű megoldás részeként Microsoft Defender XDR.

Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és ebben a környezetben teszteli és telepíti a Microsoft Defender for Identity. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.

A Defender for Identity hozzájárul egy Teljes felügyelet architektúrához, és segít megelőzni vagy csökkenteni a biztonsági incidensből eredő üzleti károkat. További információ: A Microsoft Teljes felügyelet bevezetési keretrendszerének üzleti incidensekből eredő üzleti kárainak megelőzése vagy csökkentése.

Teljes körű üzembe helyezés Microsoft Defender XDR

Ez egy sorozat 6. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.

A próbaüzemben Microsoft Defender for Identity és Microsoft Defender XDR folyamat üzembe helyezését bemutató diagram.

Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:

Fázis Láncszem
Egy. A próbaüzem indítása A próbaüzem indítása
B. Microsoft Defender XDR összetevők kipróbálása és üzembe helyezése - A Defender for Identity próbaüzeme és üzembe helyezése (ez a cikk)

- Próbaüzem és üzembe helyezés Office 365-höz készült Defender

- Végponthoz készült Defender próbaüzeme és üzembe helyezése

- Próbaüzem és üzembe helyezés Microsoft Defender for Cloud Apps
C. Veszélyforrások vizsgálata és reagálás rájuk Incidensvizsgálat és reagálás gyakorlata

A Defender for Identity próba- és üzembe helyezési munkafolyamata

Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.

A próbaüzem, a kiértékelés és a teljes üzembe helyezés bevezetési fázisának ábrája.

Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.

Az alábbi munkafolyamat a Defender for Identity éles környezetben való kipróbálására és üzembe helyezésére vonatkozik.

A Microsoft Defender for Identity próbaüzemének és üzembe helyezésének lépéseit bemutató diagram.

Hajtsa végre az alábbi lépéseket:

  1. A Defender for Identity-példány beállítása
  2. Érzékelők telepítése és konfigurálása
  3. Eseménynapló- és proxybeállítások konfigurálása gépeken az érzékelővel
  4. A Defender for Identity lehetővé teszi a helyi rendszergazdák azonosítását más számítógépeken
  5. Képességek kipróbálás

Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.

Üzembe helyezési szakasz Leírás
Kiértékel Végezze el a Defender for Identity termékértékelését.
Pilóta Hajtsa végre az 1–5. lépést az éles környezetben érzékelőkkel rendelkező kiszolgálók megfelelő részhalmazához.
Teljes üzembe helyezés Hajtsa végre a 2–4. lépést a fennmaradó kiszolgálókon, és bővítse a próbaüzemet, hogy az összeset belefoglalja.

Szervezet védelme a hackerek ellen

A Defender for Identity önállóan nyújt hatékony védelmet. A Microsoft Defender XDR egyéb képességeivel kombinálva azonban a Defender for Identity adatokat biztosít a megosztott jelekhez, amelyek együttesen segítenek a támadások leállításában.

Íme egy példa egy kibertámadásra, valamint arra, hogy a Microsoft Defender XDR összetevői hogyan segítenek észlelni és enyhíteni a támadást.

Egy diagram, amely bemutatja, hogyan állítja le Microsoft Defender XDR a fenyegetésláncot.

A Defender for Identity jeleket gyűjt Active Directory tartományi szolgáltatások (AD DS) tartományvezérlőkről és Active Directory összevonási szolgáltatások (AD FS) (AD FS) és Active Directory tanúsítványszolgáltatást (AD CS) futtató kiszolgálókról. Ezeket a jeleket a hibrid identitáskezelési környezet védelmére használja, beleértve a feltört fiókokat használó hackerek elleni védelmet a helyszíni környezetben található munkaállomások közötti oldalirányú mozgáshoz.

Microsoft Defender XDR az összes Microsoft Defender összetevőtől érkező jeleket korrelálja a teljes támadási történet biztosítása érdekében.

A Defender for Identity architektúrája

Microsoft Defender for Identity teljes mértékben integrálva van a Microsoft Defender XDR, és helyi Active Directory identitásokból származó jeleket használja a szervezetre irányított speciális fenyegetések jobb azonosításához, észleléséhez és kivizsgálásához.

Helyezzen üzembe Microsoft Defender for Identity annak érdekében, hogy a biztonsági üzemeltetési (SecOps-) csapatok modern identitásfenyegetési és -reagálási (ITDR) megoldást nyújtsanak hibrid környezetekben, beleértve a következőket:

  • A biztonsági incidensek megelőzése proaktív identitásbiztonsági állapotértékelések használatával
  • Fenyegetések észlelése valós idejű elemzés és adatintelligencia használatával
  • Gyanús tevékenységek vizsgálata világos, végrehajtható incidensadatok használatával
  • A feltört identitásokra adott automatikus válaszokkal reagálhat a támadásokra. További információ: Mi az a Microsoft Defender for Identity?

A Defender for Identity megvédi a helyszíni AD DS-felhasználói fiókokat és a Microsoft Entra ID bérlővel szinkronizált felhasználói fiókokat. A csak Microsoft Entra felhasználói fiókokból álló környezetek védelméről lásd: Microsoft Entra ID-védelem.

Az alábbi ábrán a Defender for Identity architektúrája látható.

A Microsoft Defender for Identity architektúrájának ábrája.

Ebben az ábrán:

  • Az AD DS-tartományvezérlőkre és AD CS-kiszolgálókra telepített érzékelők elemzik a naplókat és a hálózati forgalmat, és elemzés és jelentéskészítés céljából elküldik őket a Microsoft Defender for Identity.
  • Az érzékelők elemezhetik a külső identitásszolgáltatók AD FS-hitelesítéseit is, és ha Microsoft Entra ID összevont hitelesítés használatára van konfigurálva (az ábrán látható pontozott vonalak).
  • Microsoft Defender for Identity jeleket oszt meg Microsoft Defender XDR.

A Defender for Identity érzékelői közvetlenül a következő kiszolgálókra telepíthetők:

  • AD DS-tartományvezérlők. Az érzékelő közvetlenül figyeli a tartományvezérlő forgalmát anélkül, hogy dedikált kiszolgálóra vagy porttükrözés konfigurálására van szükség.
  • AD FS-kiszolgálók/AD CS-kiszolgálók. Az érzékelő közvetlenül figyeli a hálózati forgalmat és a hitelesítési eseményeket.

A Defender for Identity architektúrájának részletesebb megismeréséhez lásd: Microsoft Defender for Identity architektúra.

1. lépés: A Defender for Identity-példány beállítása

Jelentkezzen be a Defender portálra a támogatott szolgáltatások, többek között a Microsoft Defender for Identity üzembe helyezésének megkezdéséhez. További információ: A Microsoft Defender XDR használatának megkezdése.

2. lépés: Az érzékelők telepítése

A Defender for Identity bizonyos előfeltételekkel kapcsolatos munkát igényel annak biztosításához, hogy a helyszíni identitás- és hálózatkezelési összetevők megfeleljenek a minimális követelményeknek ahhoz, hogy telepíteni tudja a Defender for Identity érzékelőt a környezetében.

Ha meggyőződik a környezet felkészültségéről, tervezze meg a kapacitását, és ellenőrizze a Defender for Identityhez való kapcsolódást. Ezután amikor készen áll, töltse le, telepítse és konfigurálja a Defender for Identity érzékelőt a helyszíni környezetben lévő tartományvezérlők, AD FS és AD CS-kiszolgálókon.

Lépés Leírás További információ
1 Győződjön meg arról, hogy a környezet megfelel a Defender for Identity előfeltételeinek. Microsoft Defender for Identity előfeltételek
2 Határozza meg, hogy hány Microsoft Defender for Identity érzékelőre van szüksége. Kapacitás tervezése Microsoft Defender for Identity
3 A Defender for Identity szolgáltatáshoz való csatlakozás ellenőrzése Hálózati tevékenység ellenőrzése
4 A Defender for Identity érzékelő letöltése és telepítése A Defender for Identity telepítése
5 Az érzékelő konfigurálása Microsoft Defender for Identity érzékelő beállításainak konfigurálása

3. lépés: Eseménynapló- és proxybeállítások konfigurálása az érzékelővel rendelkező gépeken

Azon gépeken, amelyeken telepítette az érzékelőt, konfigurálja a Windows eseménynapló-gyűjtését az észlelési képességek engedélyezéséhez és javításához.

Lépés Leírás További információ
1 A Windows eseménynapló-gyűjtésének konfigurálása Eseménygyűjtés Microsoft Defender for Identity

Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz

4. lépés: Annak engedélyezése, hogy a Defender for Identity azonosítsa a helyi rendszergazdákat más számítógépeken

Microsoft Defender for Identity oldalirányú mozgási útvonal (LMP) észlelése olyan lekérdezésekre támaszkodik, amelyek adott gépek helyi rendszergazdáit azonosítják. Ezek a lekérdezések az SAM-R protokollal, a Defender for Identity Service-fiókkal hajthatók végre.

Annak biztosítása érdekében, hogy a Windows-ügyfelek és -kiszolgálók lehetővé tegyék a Defender for Identity-fiók SAM-R végrehajtását, módosítani kell a Csoportházirend, hogy hozzáadja a Defender for Identity szolgáltatásfiókot a hálózati hozzáférési szabályzatban felsorolt konfigurált fiókok mellett. Győződjön meg arról, hogy a tartományvezérlők kivételével minden számítógépre alkalmazza a csoportházirendeket.

Ennek módjáról az SAM-R konfigurálása az oldalirányú mozgásvonal észlelésének engedélyezéséhez Microsoft Defender for Identity című témakörben olvashat.

5. lépés: Képességek kipróbálás

A Defender for Identity dokumentációja a következő cikkeket tartalmazza, amelyek végigvezetik a különböző támadástípusok azonosításának és elhárításának folyamatán:

További információ:

SIEM-integráció

A Defender for Identity integrálható Microsoft Sentinel a Microsoft egységes biztonsági üzemeltetési platformjának részeként, vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással, amely lehetővé teszi a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított monitorozását. A Microsoft Sentinel átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.

Microsoft Sentinel támogatja az XDR-adatösszekötőkhöz készült Microsoft Defender, hogy az Defender XDR minden jelét Microsoft Sentinel, beleértve a Defender for Identityt is. Használja a Defender portált egységes biztonsági műveletek (SecOps) platformként.

További információ:

További lépés

Építse be a következőket a SecOps-folyamatokba:

A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése

Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Próbaüzem és a Office 365-höz készült Defender üzembe helyezésével.

A próbaüzemben Office 365-höz készült Microsoft Defender ábrázoló diagram, amely Microsoft Defender XDR folyamat üzembe helyezését mutatja be.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.