Prérequis de Microsoft Defender pour Identity

Cet article décrit les conditions requises pour une déploiement réussi de Microsoft Defender pour Identity dans votre environnement.

Notes

Pour plus d’informations sur la planification des ressources et des capacités, consultez Planification des capacités de Defender pour Identity.

Defender pour Identity se compose du service cloud Defender pour Identity, qui est constitué du portail Defender pour Identity et du capteur Defender pour Identity. Pour plus d’informations sur chaque composant de Defender pour Identity, consultez Architecture de Defender pour Identity.

Defender pour Identity protège vos utilisateurs Active Directory locaux et/ou vos utilisateurs synchronisés avec votre annuaire Azure Active Directory. Pour protéger un environnement composé uniquement d’utilisateurs AAD, consultez Protection d’identité AAD.

Pour créer votre instance Defender pour Identity, vous avez besoin d’un locataire AAD avec au moins un administrateur général/de la sécurité. Chaque instance Defender pour Identity prend en charge une limite de forêt Active Directory multiple et le niveau fonctionnel de forêt (FFL) de Windows 2003 et ultérieur.

Ce guide des prérequis comprend les sections suivantes qui vous permettent de vérifier que vous avez tout ce qu’il faut pour déployer Defender pour Identity.

Avant de commencer : Liste les informations à rassembler ainsi que les comptes et les entités réseau dont vous devez disposer avant de commencer l’installation.

Portail Defender pour Identity : décrit les exigences du navigateur pour le portail Defender pour Identity.

Capteur Defender pour Identity : liste les exigences matérielles et logicielles du capteur Defender pour Identity.

Capteur autonome Defender pour Identity : le capteur autonome Defender pour Identity est installé sur un serveur dédié et nécessite une configuration de la mise en miroir des ports sur le contrôleur de domaine pour recevoir le trafic réseau.

Notes

Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

Avant de commencer

Cette section liste les informations que vous devez rassembler ainsi que les comptes et les informations sur les entités réseau dont vous devez disposer avant de procéder à l’installation de Defender pour Identity.

  • Obtenez une licence pour Enterprise Mobility + Security E5 (EMS E5/A5), Microsoft 365 E5 (M365 E5/A5/G5) ou Microsoft 365 E5/A5/G5 Security directement du portail Microsoft 365 ou utilisez le modèle de licence CSP (Cloud Solution Partner). Des licences Defender pour Identity autonomes sont également disponibles.

  • Vérifiez que les serveurs sur lesquels vous avez l’intention d’installer les capteurs Defender pour Identity peuvent atteindre le service cloud Defender pour Identity. Ils doivent être en mesure d’accéder à https://nom-de-votre-instancesensorapi.atp.azure.com (port 443). Par exemple, https://contoso-corpsensorapi.atp.azure.com.

    Pour obtenir le nom de votre instance, consultez la page À propos dans la section des paramètres des identités à l’adresse https://security.microsoft.com/settings/identities. Le capteur Defender pour Identity prend en charge l’utilisation d’un proxy. Pour plus d’informations sur la configuration du proxy, consultez Configuration d’un proxy pour Defender pour Identity.

  • Au moins un compte de services d’annuaire avec accès en lecture à tous les objets dans les domaines analysés. Pour obtenir des instructions sur la création du compte de service d’annuaire, consultez recommandations relatives aux comptes de service d’annuaire.

  • Si vous exécutez Wireshark sur le capteur autonome Defender pour Identity, redémarrez le service du capteur Defender pour Identity une fois que vous avez arrêté la capture Wireshark. Si vous ne redémarrez pas le service de capteur, le capteur arrête la capture du trafic.

  • Si vous essayez d’installer le capteur Defender pour Identity sur une machine configurée avec une carte d’association de cartes réseau, vous recevrez une erreur d’installation. Si vous voulez d’installer le capteur Defender pour Identity sur une machine configurée avec une association de cartes réseau, consultez Problème d’association de cartes réseau du capteur Defender pour Identity.

  • Honeytoken facultatif : Compte d’un utilisateur sans activité réseau. Ce compte est configuré en tant qu’utilisateur Honeytoken de Defender pour Identity. Pour plus d’informations sur l’utilisation des honeytokens, consultez Gérer les comptes sensibles ou honeytoken.

  • Facultatif : Quand vous déployez le capteur autonome, vous devez transférer les événements Windows à Defender pour Identity pour améliorer les détections basées sur l’authentification, les ajouts aux groupes sensibles et les détections de création de services suspects de Defender pour Identity. Le capteur Defender pour Identity reçoit ces événements automatiquement. Dans le capteur autonome Defender pour Identity, ces événements peuvent être reçus de votre serveur SIEM ou en définissant les transferts d’événements Windows à partir de votre contrôleur de domaine. Les événements collectés fournissent à Defender pour Identity des informations supplémentaires qui ne sont pas accessibles via trafic réseau du contrôleur de domaine.

Configuration requise du portail Defender pour Identity

L’accès au portail Defender pour Identity s’effectue via un navigateur. Les navigateurs et paramètres suivants sont pris en charge :

Defender for Identity architecture diagram

Notes

Par défaut, Defender pour Identity prend en charge jusqu’à 350 capteurs. Si vous souhaitez installer plus de capteurs, contactez le support technique de Defender pour Identity.

Conditions requises de la résolution de noms réseau (NNR) Defender pour Identity

La résolution de noms de réseau (NNR) est un composant principal des fonctionnalités de Defender pour Identity. Pour résoudre les adresses IP en noms d’ordinateur, les capteurs Defender pour Identity recherchent les adresses IP en utilisant les méthodes suivantes :

  • NTLM sur RPC (port TCP 135)
  • NetBIOS (port UDP 137)
  • RDP (port TCP 3389), seulement le premier paquet de Client hello
  • Interroge le serveur DNS par recherche DNS inversée de l’adresse IP (UDP 53)

Pour que les trois premières méthodes fonctionnent, les ports appropriés doivent être ouverts au trafic entrant provenant des capteurs Defender pour Identity vers les appareils du réseau. Pour plus d’informations sur Defender pour Identity et NNR, consultez Stratégie NNR de Defender pour Identity.

Pour obtenir les meilleurs résultats, nous vous recommandons d’utiliser toutes les méthodes. Si ce n’est pas possible, vous devez utiliser la méthode de recherche DNS et au moins l’une des autres méthodes.

Configuration requise du capteur Defender pour Identity

Cette section liste les exigences pour le capteur Defender pour Identity.

Notes

À partir du 15 juin 2022, Microsoft ne prendra plus en charge le capteur Defender pour Identity sur les appareils exécutant Windows Server 2008 R2. Nous vous recommandons d’identifier les contrôleurs de domaine ou les serveurs (AD FS) restants qui exécutent toujours le système d’exploitation Windows Server 2008 R2 et de prévoir leur mise à jour vers un système d’exploitation pris en charge.

Pendant les deux mois suivant le 15 juin 2022, le capteur continuera de fonctionner. Après ces deux mois, c’est-à-dire à partir du 15 août 2022, le capteur ne fonctionnera plus sur les plateformes Windows Server 2008 R2.

Général

Le capteur Defender pour Identity prend en charge l’installation sur les contrôleurs de domaine ou sur les serveurs des services de fédération Active Directory (AD FS), comme indiqué dans le tableau suivant.

Version du système d'exploitation Server avec Expérience utilisateur Server Core Nano Server Installations prises en charge
Windows Server 2008 R2 SP1 Non applicable Contrôleur de domaine
Windows Server 2012 Non applicable Contrôleur de domaine
Windows Server 2012 R2 Non applicable Contrôleur de domaine
Windows Server 2016 Contrôleur de domaine, AD FS
Windows Server 2019* Contrôleur de domaine, AD FS
Windows Server 2022 Contrôleur de domaine, AD FS

* Nécessite KB4487044 ou une mise à jour cumulative plus récente. Les capteurs installés sur Server 2019 sans cette mise à jour seront automatiquement arrêtés si la version de fichier du fichier ntdsai.dll dans le répertoire système est antérieure à 10.0.17763.316.

Le contrôleur de domaine peut être un contrôleur de domaine en lecture seule (RODC).

Pour que les capteurs exécutés sur des contrôleurs de domaine et AD FS communiquent avec le service cloud, vous devez ouvrir le port 443 dans vos pare-feu et proxys sur *.atp.azure.com. Si vous effectuez l’installation sur une batterie de serveurs AD FS, nous vous recommandons d’installer le capteur sur chaque serveur AD FS ou au moins sur le nœud principal.

Pendant l’installation, si .NET Framework 4.7 (ou version ultérieure) n’est pas installé, .NET Framework 4.7 est installé et peut nécessiter un redémarrage du serveur. Un redémarrage peut également être nécessaire si un redémarrage est déjà en attente.

Notes

6 Go d’espace disque sont nécessaires au minimum. Il est recommandé de disposer de 10 Go. Cela comprend l’espace nécessaire pour les fichiers binaires de Defender pour Identity, les journaux Defender pour Identity et les journaux de performances.

Spécifications du serveur

Le capteur Defender pour Identity nécessite au minimum 2 cœurs et 6 Go de RAM sur le contrôleur de domaine. Pour des performances optimales, choisissez Hautes performances comme Option d’alimentation de la machine exécutant le capteur Defender pour Identity.

Les capteurs Defender pour Identity peuvent être déployés sur un contrôleur de domaine ou sur des serveurs AD FS de différentes charges et tailles, en fonction de la quantité de trafic réseau vers et depuis les serveurs, et de la quantité de ressources installées.

Pour les systèmes d’exploitation Windows 2008R2 et 2012, le capteur Defender pour Identity n’est pas pris en charge en mode Groupe multiprocesseur. Pour plus d’informations sur le mode Groupe multiprocesseur, consultez la résolution des problèmes.

Notes

En cas d’exécution en tant que machine virtuelle, toute la mémoire doit être allouée à la machine virtuelle à tout moment.

Pour plus d’informations sur la configuration matérielle requise pour le capteur Defender pour Identity, consultez Planification de la capacité de Defender pour Identity.

Synchronisation de l’heure

L’heure des serveurs et contrôleurs de domaine sur lesquels le capteur est installé doit être synchronisée pour que tout écart entre eux ne dépasse pas cinq minutes.

Cartes réseau

Le capteur Defender pour Identity supervise le trafic local sur toutes les cartes réseau du contrôleur de domaine.
Après le déploiement, utilisez le portail Defender pour Identity pour changer les cartes réseau qui font l’objet d’une supervision.

Le capteur n’est pas pris en charge sur les contrôleurs de domaine exécutant Windows 2008 R2 avec l’association de carte réseau Broadcom activée.

Ports

Le tableau suivant liste les ports qui sont nécessaires au minimum pour le capteur Defender pour Identity :

Protocole Transport Port Du À
Ports Internet
SSL (*.atp.azure.com) TCP 443 Capteur Defender pour Identity Service cloud Defender pour Identity
Ports internes
DNS TCP et UDP 53 Capteur Defender pour Identity Serveurs DNS
Netlogon (SMB, CIFS, SAM-R) TCP/UDP 445 Capteur Defender pour Identity Tous les appareils sur le réseau
RADIUS UDP 1813 RADIUS Capteur Defender pour Identity
Ports localhost* Requis pour la mise à jour du service de capteur
SSL (localhost) TCP 444 Service de capteur Service de mise à jour du capteur
Ports NNR**
NTLM sur RPC TCP Port 135 Capteur Defender pour Identity Tous les appareils sur le réseau
NetBIOS UDP 137 Capteur Defender pour Identity Tous les appareils sur le réseau
RDP TCP 3389, seulement le premier paquet de Client hello Capteur Defender pour Identity Tous les appareils sur le réseau

* Par défaut, le trafic localhost vers localhost est autorisé, sauf s’il est bloqué par une stratégie de pare-feu personnalisée.
** Un de ces ports est obligatoire, mais nous vous recommandons de les ouvrir tous.

Journaux d'événements Windows

La détection Defender pour Identity s’appuie sur des journaux d’événements Windows spécifiques que le capteur analyse à partir de vos contrôleurs de domaine. Pour auditer les bons événements et les inclure dans le journal des événements Windows, la stratégie d’audit avancée de vos contrôleurs de domaine doit être correctement configurée. Pour plus d’informations sur la configuration des stratégies appropriées, consultez Stratégie d'audit avancée. Pour vous assurer que l’événement Windows 8004 est audité en fonction des besoins du service, vérifiez vos paramètres d’audit NTLM.

Pour les capteurs exécutés sur des serveurs AD FS, configurez le niveau d’audit sur Verbose. Pour plus d’informations sur la configuration du niveau d’audit, consultez Informations d’audit d’événements pour AD FS.

Notes

À l’aide du compte d’utilisateur du service d’annuaire, le capteur interroge les points de terminaison de votre organisation à la recherche des administrateurs locaux en utilisant SAM-R (ouverture de session réseau) pour générer le graphe des chemins de mouvement latéral. Pour plus d’informations, consultez Configurer les autorisations requises SAM-R.

Conditions requises du capteur autonome Defender pour Identity

Cette section liste les exigences pour le capteur autonome Defender pour Identity.

Notes

Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

Général

L’installation du capteur autonome Defender pour Identity est prise en charge sur les serveurs Windows Server 2012 R2, Windows Server 2016 et Windows Server 2019 (dont Server Core). Le capteur autonome Defender pour Identity peut être installé sur un serveur membre d’un domaine ou d’un groupe de travail. Le capteur autonome Defender pour Identity peut être utilisé pour superviser les contrôleurs de domaine avec le niveau fonctionnel de domaine de Windows 2003 et ultérieur.

Pour que votre capteur autonome communique avec le service cloud, vous devez ouvrir le port 443 dans vos pare-feux et proxies sur *.atp.azure.com.

Pour plus d’informations sur l’utilisation de machines virtuelles avec le capteur autonome Defender pour Identity, consultez Configurer la mise en miroir des ports.

Notes

Un minimum de 5 Go d’espace disque sont nécessaires et 10 Go sont recommandés. Cela comprend l’espace nécessaire pour les fichiers binaires de Defender pour Identity, les journaux Defender pour Identity et les journaux de performances.

Spécifications du serveur

Pour des performances optimales, choisissez Hautes performances comme Option d’alimentation de la machine exécutant le capteur autonome Defender pour Identity.

Les capteurs autonomes Defender pour Identity peuvent prendre en charge la supervision de plusieurs contrôleurs de domaine, en fonction du volume du trafic réseau à destination et en provenance des contrôleurs de domaine.

Notes

En cas d’exécution en tant que machine virtuelle, toute la mémoire doit être allouée à la machine virtuelle à tout moment.

Pour plus d’informations sur la configuration matérielle requise pour le capteur autonome Defender pour Identity, consultez Planification de la capacité de Defender pour Identity.

Synchronisation de l’heure

L’heure des serveurs et contrôleurs de domaine sur lesquels le capteur est installé doit être synchronisée pour que tout écart entre eux ne dépasse pas cinq minutes.

Cartes réseau

Le capteur autonome Defender pour Identity nécessite au moins une carte de gestion et au moins une carte de capture :

  • Carte de gestion : cette carte est utilisée pour les communications sur votre réseau d’entreprise. Le capteur utilise cette carte pour interroger le contrôleur de domaine qu’il protège et procéder à la résolution des comptes d’ordinateur.

    Elle doit être configurée avec les paramètres suivants :

    • Adresse IP statique (passerelle par défaut incluse)

    • Serveurs DNS préféré et auxiliaire

    • Le Suffixe DNS pour cette connexion doit être le nom DNS du domaine pour chaque domaine surveillé.

      Configure DNS suffix in advanced TCP/IP settings.

      Notes

      Si le capteur autonome Defender pour Identity est membre du domaine, ceci peut être configuré automatiquement.

  • Carte de capture : cette carte est utilisée pour capturer le trafic à destination et en provenance des contrôleurs de domaine.

    Important

    • Configurez la mise en miroir des ports de la carte de capture comme la destination du trafic réseau des contrôleurs de domaine. Pour plus d’informations, consultez Configurer la mise en miroir des ports. En règle générale, vous devez collaborer avec l’équipe de virtualisation ou de mise en réseau pour configurer la mise en miroir des ports.
    • Configurez une adresse IP statique non routable (avec masque /32) pour votre environnement, sans passerelle de capteur par défaut ni adresse de serveur DNS, par exemple, 10.10.0.10/32. Cela permet de garantir que la carte réseau de capture peut capturer le volume maximum de trafic et que la carte réseau de gestion est utilisée pour envoyer et recevoir le trafic réseau demandé.

Ports

Le tableau suivant liste les ports qui doivent au minimum être configurés sur la carte de gestion pour répondre aux conditions requises du capteur autonome Defender pour Identity :

Protocole Transport Port Du À
Ports Internet
SSL (*.atp.azure.com) TCP 443 Capteur Defender pour Identity Service cloud Defender pour Identity
Ports internes
LDAP TCP et UDP 389 Capteur Defender pour Identity Contrôleurs de domaine
LDAP sécurisé (LDAPS) TCP 636 Capteur Defender pour Identity Contrôleurs de domaine
LDAP vers le catalogue global TCP 3268 Capteur Defender pour Identity Contrôleurs de domaine
LDAPS vers le catalogue global TCP 3269 Capteur Defender pour Identity Contrôleurs de domaine
Kerberos TCP et UDP 88 Capteur Defender pour Identity Contrôleurs de domaine
Netlogon (SMB, CIFS, SAM-R) TCP et UDP 445 Capteur Defender pour Identity Tous les appareils sur le réseau
Horloge Windows UDP 123 Capteur Defender pour Identity Contrôleurs de domaine
DNS TCP et UDP 53 Capteur Defender pour Identity Serveurs DNS
Syslog (facultatif) TCP/UDP 514, selon la configuration Serveur SIEM Capteur Defender pour Identity
RADIUS UDP 1813 RADIUS Capteur Defender pour Identity
Ports localhost* Requis pour la mise à jour du service de capteur
SSL (localhost) TCP 444 Service de capteur Service de mise à jour du capteur
Ports NNR**
NTLM sur RPC TCP 135 Defender pour Identity Tous les appareils sur le réseau
NetBIOS UDP 137 Defender pour Identity Tous les appareils sur le réseau
RDP TCP 3389, seulement le premier paquet de Client hello Defender pour Identity Tous les appareils sur le réseau

* Par défaut, le trafic localhost vers localhost est autorisé, sauf s’il est bloqué par une stratégie de pare-feu personnalisée.
** Un de ces ports est obligatoire, mais nous vous recommandons de les ouvrir tous.

Notes

Voir aussi