Wdrażanie usługi Microsoft Defender for Identity za pomocą usługi Microsoft Defender XDR
Ten artykuł zawiera omówienie pełnego procesu wdrażania usługi Microsoft Defender for Identity, w tym kroki przygotowania, wdrożenia i dodatkowych kroków dla określonych scenariuszy.
Defender for Identity jest podstawowym składnikiem strategii Zero Trust oraz wykrywania i reagowania na zagrożenia tożsamości (ITDR) lub rozszerzonego wdrażania wykrywania i reagowania (XDR) za pomocą usługi Microsoft Defender XDR. Usługa Defender for Identity używa sygnałów usługi Active Directory do wykrywania nagłych zmian kont, takich jak eskalacja uprawnień lub przenoszenie boczne wysokiego ryzyka, a także raporty na temat łatwo wykorzystywanych problemów z tożsamościami, takich jak nieprzeciętne delegowanie protokołu Kerberos w celu skorygowania przez zespół ds. zabezpieczeń.
Aby zapoznać się z szybkim zestawem wyróżnień wdrażania, zobacz Szybki przewodnik instalacji.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz dostęp do usługi Microsoft Defender XDR co najmniej jako administrator zabezpieczeń i masz jedną z następujących licencji:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Zabezpieczenia platformy Microsoft 365 E5/A5/G5/F5*
- Zabezpieczenia i zgodność platformy Microsoft 365 F5*
- Autonomiczna licencja usługi Defender for Identity
* Obie licencje F5 wymagają platformy Microsoft 365 F1/F3 lub Office 365 F3 i pakietu Enterprise Mobility + Security E3.
Uzyskiwanie licencji bezpośrednio za pośrednictwem portalu platformy Microsoft 365 lub korzystanie z modelu licencjonowania Cloud Solution Partner (CSP).
Aby uzyskać więcej informacji, zobacz Licencjonowanie i prywatność — często zadawane pytania oraz Co to są role i uprawnienia usługi Defender for Identity?
Rozpoczynanie korzystania z usługi Microsoft Defender XDR
W tej sekcji opisano sposób rozpoczynania dołączania do usługi Defender for Identity.
- Zaloguj się do portalu usługi Microsoft Defender.
- W menu nawigacji wybierz dowolny element, taki jak Zdarzenia i alerty, Wyszukiwanie zagrożeń, Centrum akcji lub Analiza zagrożeń , aby zainicjować proces dołączania.
Następnie będziesz mieć możliwość wdrażania obsługiwanych usług, w tym usługi Microsoft Defender for Identity. Składniki chmury wymagane dla usługi Defender for Identity są automatycznie dodawane po otwarciu strony ustawień usługi Defender for Identity.
Aby uzyskać więcej informacji, zobacz:
- Usługa Microsoft Defender for Identity w usłudze Microsoft Defender XDR
- Wprowadzenie do usługi Microsoft Defender XDR
- Włączanie usługi Microsoft Defender XDR
- Wdrażanie obsługiwanych usług
- Często zadawane pytania dotyczące włączania usługi Microsoft Defender XDR
Ważne
Obecnie centra danych usługi Defender for Identity są wdrażane w Europie, Wielkiej Brytanii, Ameryka Północna/Ameryce Środkowej/Karaibach, Australii Wschodniej i Azji. Obszar roboczy (wystąpienie) jest tworzony automatycznie w regionie świadczenia usługi Azure najbliżej lokalizacji geograficznej dzierżawy firmy Microsoft Entra. Po utworzeniu obszary robocze usługi Defender for Identity nie są wymienne.
Planowanie i przygotowanie
Wykonaj następujące kroki, aby przygotować się do wdrożenia usługi Defender for Identity:
Upewnij się, że są wymagane wszystkie wymagania wstępne .
Zaplanuj pojemność usługi Defender for Identity.
Napiwek
Zalecamy uruchomienie skryptu Test-MdiReadiness.ps1 w celu przetestowania i sprawdzenia, czy środowisko ma niezbędne wymagania wstępne.
Link do skryptu Test-MdiReadiness.ps1 jest również dostępny w usłudze > Microsoft Defender XDR na stronie Narzędzia tożsamości (wersja zapoznawcza).
Wdrażanie usługi Defender for Identity
Po przygotowaniu systemu wykonaj następujące kroki, aby wdrożyć usługę Defender for Identity:
- Sprawdź łączność z usługą Defender for Identity.
- Pobierz czujnik usługi Defender for Identity.
- Zainstaluj czujnik usługi Defender for Identity.
- Skonfiguruj czujnik usługi Defender for Identity, aby rozpocząć odbieranie danych.
Konfiguracja po wdrożeniu
Poniższe procedury ułatwiają ukończenie procesu wdrażania:
Konfigurowanie zbierania zdarzeń systemu Windows. Aby uzyskać więcej informacji, zobacz Zbieranie zdarzeń za pomocą usługi Microsoft Defender for Identity i Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows.
Włączanie i konfigurowanie ujednoliconej kontroli dostępu opartej na rolach (RBAC) dla usługi Defender for Identity.
Skonfiguruj konto usługi katalogowej (DSA) do użycia z usługą Defender for Identity. Chociaż dsa jest opcjonalna w niektórych scenariuszach, zalecamy skonfigurowanie umowy DSA dla usługi Defender for Identity pod kątem pełnego pokrycia zabezpieczeń.
Skonfiguruj zdalne wywołania do protokołu SAM zgodnie z potrzebami. Chociaż ten krok jest opcjonalny, zalecamy skonfigurowanie zdalnych wywołań do protokołu SAM-R na potrzeby wykrywania ścieżek ruchu bocznego za pomocą usługi Defender for Identity.
Ważne
Zainstalowanie czujnika usługi Defender for Identity na serwerze usług AD FS/AD CS wymaga wykonania dodatkowych kroków. Aby uzyskać więcej informacji, zobacz Konfigurowanie czujników dla usług AD FS i AD CS.