Esaminare i requisiti di architettura e i concetti chiave per Microsoft Defender per identità
Si applica a:
- Microsoft Defender XDR
Questo articolo è il passaggio 1 di 3 nel processo di configurazione dell'ambiente di valutazione per Microsoft Defender per identità. Per altre informazioni su questo processo, vedere l'articolo di panoramica.
Prima di abilitare Microsoft Defender per identità, assicurarsi di comprendere l'architettura e di soddisfare i requisiti.
Microsoft Defender per identità è completamente integrato con Microsoft Defender XDR e sfrutta i segnali provenienti da identità di Active Directory locale e cloud per identificare, rilevare e analizzare meglio le minacce avanzate indirizzate all'organizzazione.
Distribuire Microsoft Defender per identità per aiutare i team SecOp a offrire una soluzione ITDR (Identity Threat Detection) moderna in ambienti ibridi, tra cui:
- Prevenire le violazioni, usando valutazioni proattive del comportamento di sicurezza delle identità
- Rilevare le minacce, usando l'analisi in tempo reale e l'intelligence dati
- Analizzare le attività sospette, usando informazioni sugli eventi imprevisti chiare e interattive
- Rispondere agli attacchi usando la risposta automatica alle identità compromesse. Per altre informazioni, vedere Che cos'è Microsoft Defender per identità?
Defender per identità protegge gli utenti Active Directory locale e/o gli utenti sincronizzati con il Microsoft Entra ID. Per proteggere un ambiente costituito solo da utenti Microsoft Entra, vedere Microsoft Entra ID Protection.
Informazioni sull'architettura
Il diagramma seguente illustra l'architettura di base per Defender per identità.
In questa illustrazione:
- I sensori installati nei controller di dominio Active Directory Domain Services e nei server Servizi certificati Active Directory analizzano i log e il traffico di rete e li inviano a Microsoft Defender per identità per l'analisi e la creazione di report.
- I sensori possono anche analizzare le autenticazioni Active Directory Federation Services (AD FS) per i provider di identità di terze parti e quando Microsoft Entra ID è configurato per l'uso dell'autenticazione federata (le righe tratteggiate nella figura).
- Microsoft Defender per identità condivide i segnali da Microsoft Defender XDR per il rilevamento esteso e la risposta (XDR).
I sensori defender per identità possono essere installati direttamente nei server seguenti:
Controller di dominio di Servizi di dominio Active Directory
Il sensore monitora direttamente il traffico del controller di dominio, senza la necessità di un server dedicato o la configurazione del mirroring delle porte.
Server servizi certificati Active Directory
Server AD FS
Il sensore monitora direttamente il traffico di rete e gli eventi di autenticazione.
Per un'analisi più approfondita dell'architettura di Defender per identità, vedere architettura Microsoft Defender per identità.
Informazioni sui concetti chiave
Nella tabella seguente sono stati identificati i concetti chiave che è importante comprendere durante la valutazione, la configurazione e la distribuzione di Microsoft Defender per identità.
| Concetti | Descrizione | Ulteriori informazioni |
|---|---|---|
| Attività monitorate | Defender per identità monitora i segnali generati dall'interno dell'organizzazione per rilevare attività sospette o dannose e consente di determinare la validità di ogni potenziale minaccia in modo da poter valutare e rispondere in modo efficace. | Microsoft Defender per identità attività monitorate |
| Avvisi di sicurezza | Gli avvisi di sicurezza di Defender per identità illustrano le attività sospette rilevate dai sensori nella rete insieme agli attori e ai computer coinvolti in ogni minaccia. | avvisi di sicurezza Microsoft Defender per identità |
| Profili di entità | I profili di entità offrono un'analisi approfondita completa di utenti, computer, dispositivi e risorse insieme alla cronologia di accesso. | Informazioni sui profili di entità |
| Percorsi di spostamento laterale | Un componente chiave di Informazioni dettagliate sulla sicurezza MDI è l'identificazione dei percorsi di spostamento laterale in cui un utente malintenzionato usa account non sensibili per ottenere l'accesso a account o computer sensibili in tutta la rete. | Microsoft Defender per identità percorsi di spostamento laterale (LMP) |
| Risoluzione dei nomi di rete | Network Name Resolution (NNR) è un componente della funzionalità MDI che acquisisce le attività in base al traffico di rete, agli eventi di Windows, etw e così via e correla questi dati non elaborati ai computer pertinenti coinvolti in ogni attività. | Che cos'è La risoluzione dei nomi di rete? |
| Report | I report di Defender per identità consentono di pianificare o generare e scaricare immediatamente report che forniscono informazioni sullo stato del sistema e dell'entità. È possibile creare report sull'integrità del sistema, gli avvisi di sicurezza e i potenziali percorsi di spostamento laterale rilevati nell'ambiente. | Report Microsoft Defender per identità |
| Gruppi di ruoli | Defender per identità offre gruppi basati sul ruolo e accesso delegato per proteggere i dati in base alle specifiche esigenze di sicurezza e conformità dell'organizzazione, tra cui amministratori, utenti e visualizzatori. | Ruoli dei gruppi Microsoft Defender per identità |
| Portale amministrativo | Oltre al portale di Microsoft Defender, è possibile usare il portale di Defender per identità per monitorare e rispondere alle attività sospette. | Utilizzo del portale di Microsoft Defender per identità |
| integrazione Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps si integra con Microsoft Defender per identità per fornire l'analisi del comportamento delle entità utente (UEBA) in un ambiente ibrido, sia nell'app cloud che in locale | integrazione Microsoft Defender per identità |
Esaminare i prerequisiti
Defender per identità richiede alcune operazioni preliminari per garantire che i componenti di rete e identità locali soddisfino i requisiti minimi. Usare questo articolo come elenco di controllo per assicurarsi che l'ambiente sia pronto: Microsoft Defender per identità prerequisiti.
Passaggi successivi
Passaggio 2 di 3: Abilitare l'ambiente di valutazione Defender per identità
Tornare alla panoramica di Evaluate Microsoft Defender per identità
Tornare alla panoramica di Evaluate and pilot Microsoft Defender XDR
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per