Kimlik için Microsoft Defender özelliklerini doğrudan bir etki alanı denetleyicisinde etkinleştirme

Etki alanı denetleyicilerini Zaten Uç Nokta için Defender'a eklemiş olan Uç Nokta için Microsoft Defender müşteriler, Kimlik için Microsoft Defender özelliklerini Kimlik için Microsoft Defender kullanmak yerine doğrudan bir etki alanı denetleyicisinde etkinleştirebilir klasik algılayıcı.

Bu makalede, etki alanı denetleyicinizde Kimlik için Microsoft Defender özelliklerini etkinleştirme ve test etme işlemleri açıklanmaktadır.

Önkoşullar

Etki alanı denetleyicinizde Kimlik için Defender özelliklerini etkinleştirmeden önce ortamınızın bu bölümdeki önkoşullara uygun olduğundan emin olun.

Kimlik için Defender algılayıcı çakışmaları

Bu makalede açıklanan yapılandırma, mevcut bir Kimlik için Defender algılayıcısı ile yan yana yüklemeyi desteklemez ve Klasik Kimlik için Defender algılayıcısının yerine kullanılması önerilmez.

Kimlik için Defender özelliklerini etkinleştirmeyi planladığınız etki alanı denetleyicisinde Kimlik için Defender algılayıcısının dağıtılmadığından emin olun.

Sistem gereksinimleri

Kimlik için Direct Defender özellikleri, aşağıdaki işletim sistemlerinden biri kullanılarak yalnızca etki alanı denetleyicilerinde desteklenir:

• Windows Server 2019 veya üzeri
• Mart 2024 Toplu Güncelleştirmesi veya üzeri

Uç Nokta için Defender ekleme

Etki alanı denetleyicinizin Uç Nokta için Microsoft Defender eklenmelidir.

Daha fazla bilgi için bkz. Windows sunucusu ekleme.

İzin gereksinimleri

Kimlik için Defender Etkinleştirme sayfasına erişmek için Güvenlik Yöneticisi olmanız veya aşağıdaki Birleşik RBAC izinlerine sahip olmanız gerekir:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Daha fazla bilgi için bkz.:

• Birleştirilmiş rol tabanlı erişim denetimi RBAC
• Rollere ve izinlere erişmek ve bu izinleri yönetmek için rol oluşturma

Bağlantı gereksinimleri

Doğrudan etki alanı denetleyicilerindeki Kimlik için Defender özellikleri, basitleştirilmiş URL'ler de dahil olmak üzere iletişim için Uç Nokta için Defender URL uç noktalarını kullanır.

Daha fazla bilgi için bkz. Uç Nokta için Defender ile bağlantı sağlamak için ağ ortamınızı yapılandırma.

Windows denetimini yapılandırma

Kimlik algılamaları için Defender, algılamaları geliştirmek ve NTLM oturum açma işlemleri ve güvenlik grubu değişiklikleri gibi belirli eylemleri gerçekleştiren kullanıcılar hakkında ek bilgi sağlamak için belirli Windows Olay Günlüğü girişlerini kullanır.

Kimlik algılamaları için Defender'ı desteklemek üzere etki alanı denetleyicinizde Windows olay koleksiyonunu yapılandırın. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender ile olay toplama ve Windows olay günlükleri için denetim ilkelerini yapılandırma.

Gerekli ayarları yapılandırmak için Kimlik için Defender PowerShell modülünü kullanmak isteyebilirsiniz. Daha fazla bilgi için bkz.:

• DefenderForIdentity Modülü
• PowerShell Galerisi Kimlik için Defender

Örneğin, aşağıdaki komut etki alanı için tüm ayarları tanımlar, grup ilkesi nesneleri oluşturur ve bunları bağlar.

Set-MDIConfiguration -Mode Domain -Configuration All

Kimlik için Defender özelliklerini etkinleştirme

Ortamınızın tamamen yapılandırıldığından emin olduktan sonra etki alanı denetleyicinizdeki Kimlik için Microsoft Defender özelliklerini etkinleştirin.

Kimlik için Defender'ı Microsoft Defender portalından etkinleştirin.

1. Sistem>Ayarları>Kimlikleri>Etkinleştirme'ye gidin.

   Etkinleştirme sayfasında, Cihaz Envanteri'nde bulunan ve uygun etki alanı denetleyicileri olarak tanımlanan sunucular listelenir.

2. Kimlik için Defender özelliklerini etkinleştirmek istediğiniz etki alanı denetleyicisini seçin ve ardından Etkinleştir'i seçin. İstendiğinde seçiminizi onaylayın.

   

   Not

   Uygun etki alanı denetleyicilerini otomatik olarak etkinleştirmeyi seçebilirsiniz; burada Kimlik için Defender bunları keşfedilir bulunmaz ya da uygun sunucular listesinden belirli etki alanı denetleyicilerini seçtiğiniz el ile etkinleştirir.

3. Etkinleştirme tamamlandığında yeşil bir başarı başlığı gösterilir. Eklenen sunucuları görmek için başlıkta Buraya tıklayın'ı seçerek Algılayıcınızın durumunu kontrol edebilirsiniz Ayarlar > Kimlik Algılayıcıları > sayfasına atlayın.

   

Ekleme Onayı

Algılayıcının eklendiğini onaylamak için:

1. Sistem>Ayarları>Kimlik Algılayıcıları'na> gidin.

2. Eklenen etki alanı denetleyicisinin listelenip listelenmediğini denetleyin.

Etkinleştirilmiş özellikleri test edin

Etki alanı denetleyicinizde Kimlik için Defender özelliklerini ilk kez etkinleştirdiğinizde, ilk algılayıcının Algılayıcılar sayfasında Çalışıyor olarak görünmesi bir saat kadar sürebilir. Sonraki etkinleştirmeler beş dakika içinde gösterilir.

Etki alanı denetleyicilerindeki Kimlik için Defender özellikleri şu anda aşağıdaki Kimlik için Defender işlevini desteklemektedir:

• ITDR panosundaki araştırma özellikleri, kimlik envanteri ve kimlik gelişmiş tehdit avcılığı verileri
• Belirtilen güvenlik duruşu önerileri
• Belirtilen uyarı algılamaları
• Düzeltme eylemleri
• Otomatik saldırı kesintisi

Bir etki alanı denetleyicisinde Kimlik için Defender özellikleri için ortamınızı test etmek için aşağıdaki yordamları kullanın.

ITDR panosunu denetleme

Defender portalında Kimlikler>Panosu'nu seçin ve gösterilen ayrıntıları gözden geçirerek ortamınızdan beklenen sonuçları denetleyin.

Daha fazla bilgi için bkz. Kimlik için Defender'ın ITDR panosuyla çalışma.

Varlık sayfası ayrıntılarını onaylama

Etki alanı denetleyicileri, kullanıcılar ve gruplar gibi varlıkların beklendiği gibi doldurulduğunu onaylayın.

Defender portalında aşağıdaki ayrıntıları denetleyin:

• Cihaz varlıkları: Varlık > Cihazları'nı seçin ve yeni algılayıcınız için makineyi seçin. Kimlik için Defender olayları cihaz zaman çizelgesinde gösterilir.

• Kullanıcı varlıkları: Varlıklar > Kullanıcılar'ı seçin ve yeni eklenen etki alanından kullanıcıları denetleyin. Alternatif olarak, belirli kullanıcıları aramak için genel arama seçeneğini kullanın. Kullanıcı ayrıntıları sayfaları Genel Bakış, Kuruluşta gözlemlenen ve Zaman çizelgesi verilerini içermelidir.

• Grup varlıkları: Bir kullanıcı grubunu bulmak için genel arama kullanın veya grup ayrıntılarının gösterildiği bir kullanıcı veya cihaz ayrıntıları sayfasından özet yapın. Grup üyeliğinin ayrıntılarını denetleyin, grup kullanıcılarını ve grup zaman çizelgesi verilerini görüntüleyin.

  Grup zaman çizelgesinde hiçbir olay verisi bulunmazsa, el ile oluşturmanız gerekebilir. Örneğin, Active Directory'de kullanıcıları ekleyip gruptan kaldırarak bunu yapın.

Daha fazla bilgi için bkz . Varlıkları araştırma.

Gelişmiş avcılık tablolarını test edin

Defender portalının Gelişmiş tehdit avcılığı sayfasında, aşağıdaki örnek sorguları kullanarak verilerin ortamınız için beklendiği gibi ilgili tablolarda göründüğünü denetleyin:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Daha fazla bilgi için bkz. Microsoft Defender portalında gelişmiş avcılık.

Kimlik Güvenliği Duruş Yönetimi (ISPM) önerilerini test edin

Desteklenen değerlendirmeleri tetikleyip beklendiği gibi göründüklerini doğrulamak için bir test ortamında riskli davranış simülasyonu oluşturmanızı öneririz. Örneğin:

1. Active Directory yapılandırmanızı uyumlu olmayan bir duruma ayarlayarak ve ardından uyumlu bir duruma döndürerek yeni güvenli olmayan etki alanı yapılandırmalarını çözümle önerisini tetikleyin. Örneğin, aşağıdaki komutları çalıştırın:

   Uyumlu olmayan bir durum ayarlamak için

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Bunu uyumlu bir duruma döndürmek için:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Yerel yapılandırmanızı denetlemek için:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. Microsoft Güvenli Puan bölümünde Önerilen Eylemler'i seçerek güvenli olmayan etki alanı yapılandırmalarını çöz önerisini denetleyin. Önerileri Kimlik için Defender ürününe göre filtrelemek isteyebilirsiniz.

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender güvenlik duruşu değerlendirmeleri

Uyarı işlevselliğini test edin

Bir test ortamında riskli etkinlik simülasyonu yaparak uyarı işlevselliğini test edin. Örneğin:

• Bir hesabı honeytoken hesabı olarak etiketleyin ve etkinleştirilmiş etki alanı denetleyicisinde honeytoken hesabında oturum açmayı deneyin.
• Etki alanı denetleyicinizde şüpheli bir hizmet oluşturun.
• İş istasyonunuzdan oturum açmış bir yönetici olarak etki alanı denetleyicinizde bir uzak komut çalıştırın.

Daha fazla bilgi için bkz. Microsoft Defender XDR'da Kimlik için Defender güvenlik uyarılarını araştırma.

Düzeltme eylemlerini test etme

Test kullanıcısı üzerinde düzeltme eylemlerini test etme. Örneğin:

1. Defender portalında, test kullanıcısının kullanıcı ayrıntıları sayfasına gidin.

2. Seçenekler menüsünden kullanılabilir düzeltme eylemlerinden herhangi birini seçin.

3. Beklenen etkinlik için Active Directory'yi denetleyin.

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender düzeltme eylemleri.

Etki alanı denetleyicinizde Kimlik için Defender özelliklerini devre dışı bırakma

Etki alanı denetleyicinizde Kimlik için Defender özelliklerini devre dışı bırakmak istiyorsanız Algılayıcılar sayfasından silin:

1. Defender portalında Ayarlar>Kimlik Algılayıcıları'nı> seçin.

2. Kimlik için Defender özelliklerini devre dışı bırakmak istediğiniz etki alanı denetleyicisini seçin, Sil'i seçin ve seçiminizi onaylayın.

   

Etki alanı denetleyicinizden Kimlik için Defender özelliklerini devre dışı bırakmak, etki alanı denetleyicisini Uç Nokta için Defender'dan kaldırmaz. Daha fazla bilgi için bkz. Uç Nokta için Defender belgeleri.

Sonraki adımlar

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender algılayıcılarını yönetme ve güncelleştirme.