Examine os requisitos de arquitetura e os principais conceitos para Microsoft Defender para Identidade
Aplica-se a:
- Microsoft Defender XDR
Este artigo é a etapa 1 de 3 no processo de configuração do ambiente de avaliação para Microsoft Defender para Identidade. Para obter mais informações sobre esse processo, consulte o artigo visão geral.
Antes de habilitar Microsoft Defender para Identidade, verifique se você entende a arquitetura e pode atender aos requisitos.
Microsoft Defender para Identidade usa machine learning e análise comportamental para identificar ataques em toda a rede local, além de detectar e impedir proativamente os riscos de entrada do usuário associados a identidades de nuvem. Para obter mais informações, consulte O que é Microsoft Defender para Identidade?
O Defender para Identidade protege seus usuários Active Directory local e/ou usuários sincronizados com seu Microsoft Entra ID. Para proteger um ambiente composto apenas por usuários Microsoft Entra, consulte Microsoft Entra ID Protection.
Entenda a arquitetura
O diagrama a seguir ilustra a arquitetura de linha de base do Defender para Identidade.
Nesta ilustração:
- Os sensores instalados nos controladores de domínio Active Directory Domain Services do AD DS (AD DS) e nos servidores do AD CS (Active Directory Certificate Services) analisam logs e tráfego de rede e os enviam para Microsoft Defender para Identidade para análise e relatório.
- Os sensores também podem analisar autenticações do AD FS (Serviços de Federação do Active Directory (AD FS)) para provedores de identidade de terceiros e quando Microsoft Entra ID estiver configurado para usar a autenticação federada (as linhas pontilhadas na ilustração).
- Microsoft Defender para Identidade compartilha sinais para Microsoft Defender XDR para XDR (detecção e resposta estendida).
Os sensores do Defender para Identidade podem ser instalados diretamente nos seguintes servidores:
Controladores de domínio do AD DS
O sensor monitora diretamente o tráfego do controlador de domínio, sem a necessidade de um servidor dedicado ou a configuração de espelhamento de porta.
Servidores CS do AD
Servidores do AD FS
O sensor monitora diretamente eventos de tráfego e autenticação de rede.
Para ver mais detalhadamente a arquitetura do Defender para Identidade, consulte Microsoft Defender para Identidade arquitetura.
Entender os principais conceitos
A tabela a seguir identificou conceitos-chave importantes para entender ao avaliar, configurar e implantar Microsoft Defender para Identidade.
Conceito | Descrição | Mais informações |
---|---|---|
Atividades monitoradas | O Defender para Identidade monitora sinais gerados de dentro de sua organização para detectar atividades suspeitas ou mal-intencionadas e ajuda você a determinar a validade de cada ameaça potencial para que você possa fazer a triagem e a resposta efetivamente. | Microsoft Defender para Identidade atividades monitoradas |
Alertas de segurança | Os alertas de segurança do Defender para Identidade explicam as atividades suspeitas detectadas pelos sensores em sua rede, juntamente com os atores e computadores envolvidos em cada ameaça. | alertas de segurança Microsoft Defender para Identidade |
Perfis de entidade | Os perfis de entidade fornecem uma investigação abrangente sobre usuários, computadores, dispositivos e recursos, juntamente com seu histórico de acesso. | Entender perfis de entidade |
Caminhos de movimento lateral | Um componente fundamental dos insights de segurança do MDI é identificar caminhos de movimentação lateral nos quais um invasor usa contas não confidenciais para obter acesso a contas ou computadores confidenciais em toda a rede. | Microsoft Defender para Identidade caminhos de movimento lateral (LMPs) |
Resolução de nomes de rede | A Resolução de Nomes de Rede (NNR) é um componente da funcionalidade MDI que captura atividades com base no tráfego de rede, eventos do Windows, ETW etc. e correlaciona esses dados brutos aos computadores relevantes envolvidos em cada atividade. | O que é a Resolução de Nomes de Rede? |
Relatórios | Os relatórios do Defender para Identidade permitem agendar ou gerar e baixar imediatamente relatórios que fornecem informações de sistema e entidade status. Você pode criar relatórios sobre integridade do sistema, alertas de segurança e possíveis caminhos de movimentação lateral detectados em seu ambiente. | relatórios Microsoft Defender para Identidade |
Grupos de função | O Defender para Identidade oferece grupos baseados em função e acesso delegado para proteger dados de acordo com as necessidades específicas de segurança e conformidade da sua organização, que incluem administradores, usuários e visualizadores. | grupos de funções do Microsoft Defender para Identidade |
Portal administrativo | Além do portal Microsoft Defender, o portal do Defender para Identidade pode ser usado para monitorar e responder a atividades suspeitas. | Trabalhando com o portal do Microsoft Defender para Identidade |
integração Microsoft Defender para Aplicativos de Nuvem | Microsoft Defender para Aplicativos de Nuvem se integra ao Microsoft Defender para Identidade para fornecer UEBA (análise comportamental) de entidade de usuário em um ambiente híbrido - aplicativo de nuvem e local | integração Microsoft Defender para Identidade |
Examinar pré-requisitos
O Defender para Identidade requer algum trabalho de pré-requisito para garantir que seus componentes locais de identidade e rede atendam aos requisitos mínimos. Use este artigo como uma lista de verificação para garantir que seu ambiente esteja pronto: Microsoft Defender para Identidade pré-requisitos.
Próximas etapas
Etapa 2 de 3: Habilitar o ambiente de avaliação Defender para Identidade
Retornar à visão geral de Avaliar Microsoft Defender para Identidade
Retornar à visão geral de Avaliar e Microsoft Defender XDR piloto
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de