Próbaüzem és üzembe helyezés Microsoft Defender for Identity
Érintett szolgáltatás:
- Microsoft Defender XDR
Ez a cikk egy munkafolyamatot biztosít a Microsoft Defender for Identity a szervezetben való kipróbálásához és üzembe helyezéséhez. Ezekkel a javaslatokkal Microsoft Defender for Identity egy teljes körű megoldás részeként Microsoft Defender XDR.
Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és ebben a környezetben teszteli és telepíti a Microsoft Defender for Identity. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.
A Defender for Identity hozzájárul egy Teljes felügyelet architektúrához, és segít megelőzni vagy csökkenteni a biztonsági incidensből eredő üzleti károkat. További információ: A Microsoft Teljes felügyelet bevezetési keretrendszerének üzleti incidensekből eredő üzleti kárainak megelőzése vagy csökkentése.
Teljes körű üzembe helyezés Microsoft Defender XDR
Ez egy sorozat 6. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.
Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:
| Fázis | Láncszem |
|---|---|
| Egy. A próbaüzem indítása | A próbaüzem indítása |
| B. Microsoft Defender XDR összetevők kipróbálása és üzembe helyezése |
-
A Defender for Identity próbaüzeme és üzembe helyezése (ez a cikk) - Próbaüzem és üzembe helyezés Office 365-höz készült Defender - Végponthoz készült Defender próbaüzeme és üzembe helyezése - Próbaüzem és üzembe helyezés Microsoft Defender for Cloud Apps |
| C. Veszélyforrások vizsgálata és reagálás rájuk | Incidensvizsgálat és reagálás gyakorlata |
A Defender for Identity próba- és üzembe helyezési munkafolyamata
Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.
Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.
Az alábbi munkafolyamat a Defender for Identity éles környezetben való kipróbálására és üzembe helyezésére vonatkozik.
Hajtsa végre az alábbi lépéseket:
- A Defender for Identity-példány beállítása
- Érzékelők telepítése és konfigurálása
- Eseménynapló- és proxybeállítások konfigurálása gépeken az érzékelővel
- A Defender for Identity lehetővé teszi a helyi rendszergazdák azonosítását más számítógépeken
- Képességek kipróbálás
Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.
| Üzembe helyezési szakasz | Leírás |
|---|---|
| Kiértékel | Végezze el a Defender for Identity termékértékelését. |
| Pilóta | Hajtsa végre az 1–5. lépést az éles környezetben érzékelőkkel rendelkező kiszolgálók megfelelő részhalmazához. |
| Teljes üzembe helyezés | Hajtsa végre a 2–4. lépést a fennmaradó kiszolgálókon, és bővítse a próbaüzemet, hogy az összeset belefoglalja. |
Szervezet védelme a hackerek ellen
A Defender for Identity önállóan nyújt hatékony védelmet. A Microsoft Defender XDR egyéb képességeivel kombinálva azonban a Defender for Identity adatokat biztosít a megosztott jelekhez, amelyek együttesen segítenek a támadások leállításában.
Íme egy példa egy kibertámadásra, valamint arra, hogy a Microsoft Defender XDR összetevői hogyan segítenek észlelni és enyhíteni a támadást.
A Defender for Identity jeleket gyűjt Active Directory tartományi szolgáltatások (AD DS) tartományvezérlőkről és Active Directory összevonási szolgáltatások (AD FS) (AD FS) és Active Directory tanúsítványszolgáltatást (AD CS) futtató kiszolgálókról. Ezeket a jeleket a hibrid identitáskezelési környezet védelmére használja, beleértve a feltört fiókokat használó hackerek elleni védelmet a helyszíni környezetben található munkaállomások közötti oldalirányú mozgáshoz.
Microsoft Defender XDR az összes Microsoft Defender összetevőtől érkező jeleket korrelálja a teljes támadási történet biztosítása érdekében.
A Defender for Identity architektúrája
Microsoft Defender for Identity teljes mértékben integrálva van a Microsoft Defender XDR, és helyi Active Directory identitásokból származó jeleket használja a szervezetre irányított speciális fenyegetések jobb azonosításához, észleléséhez és kivizsgálásához.
Helyezzen üzembe Microsoft Defender for Identity annak érdekében, hogy a biztonsági üzemeltetési (SecOps-) csapatok modern identitásfenyegetési és -reagálási (ITDR) megoldást nyújtsanak hibrid környezetekben, beleértve a következőket:
- A biztonsági incidensek megelőzése proaktív identitásbiztonsági állapotértékelések használatával
- Fenyegetések észlelése valós idejű elemzés és adatintelligencia használatával
- Gyanús tevékenységek vizsgálata világos, végrehajtható incidensadatok használatával
- A feltört identitásokra adott automatikus válaszokkal reagálhat a támadásokra. További információ: Mi az a Microsoft Defender for Identity?
A Defender for Identity megvédi a helyszíni AD DS-felhasználói fiókokat és a Microsoft Entra ID bérlővel szinkronizált felhasználói fiókokat. A csak Microsoft Entra felhasználói fiókokból álló környezetek védelméről lásd: Microsoft Entra ID-védelem.
Az alábbi ábrán a Defender for Identity architektúrája látható.
Ebben az ábrán:
- Az AD DS-tartományvezérlőkre és AD CS-kiszolgálókra telepített érzékelők elemzik a naplókat és a hálózati forgalmat, és elemzés és jelentéskészítés céljából elküldik őket a Microsoft Defender for Identity.
- Az érzékelők elemezhetik a külső identitásszolgáltatók AD FS-hitelesítéseit is, és ha Microsoft Entra ID összevont hitelesítés használatára van konfigurálva (az ábrán látható pontozott vonalak).
- Microsoft Defender for Identity jeleket oszt meg Microsoft Defender XDR.
A Defender for Identity érzékelői közvetlenül a következő kiszolgálókra telepíthetők:
- AD DS-tartományvezérlők. Az érzékelő közvetlenül figyeli a tartományvezérlő forgalmát anélkül, hogy dedikált kiszolgálóra vagy porttükrözés konfigurálására van szükség.
- AD FS-kiszolgálók/AD CS-kiszolgálók. Az érzékelő közvetlenül figyeli a hálózati forgalmat és a hitelesítési eseményeket.
A Defender for Identity architektúrájának részletesebb megismeréséhez lásd: Microsoft Defender for Identity architektúra.
1. lépés: A Defender for Identity-példány beállítása
Jelentkezzen be a Defender portálra a támogatott szolgáltatások, többek között a Microsoft Defender for Identity üzembe helyezésének megkezdéséhez. További információ: A Microsoft Defender XDR használatának megkezdése.
2. lépés: Az érzékelők telepítése
A Defender for Identity bizonyos előfeltételekkel kapcsolatos munkát igényel annak biztosításához, hogy a helyszíni identitás- és hálózatkezelési összetevők megfeleljenek a minimális követelményeknek ahhoz, hogy telepíteni tudja a Defender for Identity érzékelőt a környezetében.
Ha meggyőződik a környezet felkészültségéről, tervezze meg a kapacitását, és ellenőrizze a Defender for Identityhez való kapcsolódást. Ezután amikor készen áll, töltse le, telepítse és konfigurálja a Defender for Identity érzékelőt a helyszíni környezetben lévő tartományvezérlők, AD FS és AD CS-kiszolgálókon.
| Lépés | Leírás | További információ |
|---|---|---|
| 1 | Győződjön meg arról, hogy a környezet megfelel a Defender for Identity előfeltételeinek. | Microsoft Defender for Identity előfeltételek |
| 2 | Határozza meg, hogy hány Microsoft Defender for Identity érzékelőre van szüksége. | Kapacitás tervezése Microsoft Defender for Identity |
| 3 | A Defender for Identity szolgáltatáshoz való csatlakozás ellenőrzése | Hálózati tevékenység ellenőrzése |
| 4 | A Defender for Identity érzékelő letöltése és telepítése | A Defender for Identity telepítése |
| 5 | Az érzékelő konfigurálása | Microsoft Defender for Identity érzékelő beállításainak konfigurálása |
3. lépés: Eseménynapló- és proxybeállítások konfigurálása az érzékelővel rendelkező gépeken
Azon gépeken, amelyeken telepítette az érzékelőt, konfigurálja a Windows eseménynapló-gyűjtését az észlelési képességek engedélyezéséhez és javításához.
| Lépés | Leírás | További információ |
|---|---|---|
| 1 | A Windows eseménynapló-gyűjtésének konfigurálása |
Eseménygyűjtés Microsoft Defender for Identity Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz |
4. lépés: Annak engedélyezése, hogy a Defender for Identity azonosítsa a helyi rendszergazdákat más számítógépeken
Microsoft Defender for Identity oldalirányú mozgási útvonal (LMP) észlelése olyan lekérdezésekre támaszkodik, amelyek adott gépek helyi rendszergazdáit azonosítják. Ezek a lekérdezések az SAM-R protokollal, a Defender for Identity Service-fiókkal hajthatók végre.
Annak biztosítása érdekében, hogy a Windows-ügyfelek és -kiszolgálók lehetővé tegyék a Defender for Identity-fiók SAM-R végrehajtását, módosítani kell a Csoportházirend, hogy hozzáadja a Defender for Identity szolgáltatásfiókot a hálózati hozzáférési szabályzatban felsorolt konfigurált fiókok mellett. Győződjön meg arról, hogy a tartományvezérlők kivételével minden számítógépre alkalmazza a csoportházirendeket.
Ennek módjáról az SAM-R konfigurálása az oldalirányú mozgásvonal észlelésének engedélyezéséhez Microsoft Defender for Identity című témakörben olvashat.
5. lépés: Képességek kipróbálás
A Defender for Identity dokumentációja a következő cikkeket tartalmazza, amelyek végigvezetik a különböző támadástípusok azonosításának és elhárításának folyamatán:
- Objektumok vizsgálata, beleértve a gyanús felhasználókat, csoportokat és eszközöket
- LMP-k megismerése és vizsgálata Microsoft Defender for Identity
- A biztonsági riasztások ismertetése
További információ:
- Felderítési riasztások
- Sérült hitelesítőadat-riasztások
- Oldalirányú mozgás riasztásai
- Tartományi dominancia riasztásai
- Kiszűrési riasztások
- Felhasználó vizsgálata
- Számítógép vizsgálata
- Oldalirányú mozgási útvonalak vizsgálata
- Entitások vizsgálata
SIEM-integráció
A Defender for Identity integrálható Microsoft Sentinel a Microsoft egységes biztonsági üzemeltetési platformjának részeként, vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással, amely lehetővé teszi a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított monitorozását. A Microsoft Sentinel átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.
Microsoft Sentinel támogatja az XDR-adatösszekötőkhöz készült Microsoft Defender, hogy az Defender XDR minden jelét Microsoft Sentinel, beleértve a Defender for Identityt is. Használja a Defender portált egységes biztonsági műveletek (SecOps) platformként.
További információ:
További lépés
Építse be a következőket a SecOps-folyamatokba:
- Az ITDR-irányítópult megtekintése
- A Defender for Identity állapotproblémáinak megtekintése és kezelése
A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése
Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Próbaüzem és a Office 365-höz készült Defender üzembe helyezésével.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.