Distribuera Microsoft Defender för identitet med Microsoft Defender XDR
Den här artikeln innehåller en översikt över den fullständiga distributionsprocessen för Microsoft Defender för identitet, inklusive steg för förberedelse, distribution och extra steg för specifika scenarier.
Defender for Identity är en primär komponent i en Nolltillit strategi och din itdr-distribution (identitetshotidentifiering och svar) eller XDR-distribution (extended detection and response) med Microsoft Defender XDR. Defender for Identity använder Active Directory-signaler för att identifiera plötsliga kontoändringar som eskalering av privilegier eller lateral förflyttning med hög risk och rapporter om lätt exploaterade identitetsproblem som obegränsad Kerberos-delegering, för korrigering av säkerhetsteamet.
En snabb uppsättning distributionshöjdpunkter finns i Snabbinstallationsguide.
Förutsättningar
Innan du börjar kontrollerar du att du har åtkomst till Microsoft Defender XDR minst som säkerhetsadministratör och att du har någon av följande licenser:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Security
- Microsoft 365 F5 Säkerhet + efterlevnad*
- En fristående Defender for Identity-licens
* Båda F5-licenserna kräver Microsoft 365 F1/F3 eller Office 365 F3 och Enterprise Mobility + Security E3.
Skaffa licenser direkt via Microsoft 365-portalen eller använd csp-licensieringsmodellen (Cloud Solution Partner).
Mer information finns i Vanliga frågor och svar om licensiering och sekretess och Vad är Defender för identitetsroller och behörigheter?
Börja använda Microsoft Defender XDR
I det här avsnittet beskrivs hur du börjar registrera dig för Defender for Identity.
- Logga in på Microsoft Defender-portalen.
- På navigeringsmenyn väljer du valfritt objekt, till exempel Incidenter och aviseringar, Jakt, Åtgärdscenter eller Hotanalys för att initiera registreringsprocessen.
Sedan får du möjlighet att distribuera tjänster som stöds, inklusive Microsoft Defender för identitet. Molnkomponenter som krävs för Defender för identitet läggs automatiskt till när du öppnar sidan Inställningar för Defender för identitet.
Mer information finns i:
- Microsoft Defender för identitet i Microsoft Defender XDR
- Kom igång med Microsoft Defender XDR
- Aktivera Microsoft Defender XDR
- Distribuera tjänster som stöds
- Vanliga frågor och svar när du aktiverar Microsoft Defender XDR
Viktigt!
För närvarande distribueras Defender for Identity-datacenter i Europa, Storbritannien, Nordamerika/Centralamerika/Karibien, Australien, östra och Asien. Din arbetsyta (instans) skapas automatiskt i Den Azure-region som är närmast den geografiska platsen för din Microsoft Entra-klientorganisation. När de har skapats kan inte Defender för identitetsarbetsytor flyttas.
Planera och förbereda
Använd följande steg för att förbereda distributionen av Defender for Identity:
Kontrollera att du har alla krav som krävs.
Dricks
Vi rekommenderar att du kör skriptet Test-MdiReadiness.ps1 för att testa och se om din miljö har nödvändiga förutsättningar.
Länken till skriptet Test-MdiReadiness.ps1 är också tillgänglig från Microsoft Defender XDR på sidan Identitetsverktyg > (förhandsversion).
Distribuera Defender för identitet
När du har förberett systemet använder du följande steg för att distribuera Defender for Identity:
- Verifiera anslutningen till Defender for Identity-tjänsten.
- Ladda ned Defender for Identity-sensorn.
- Installera Defender for Identity-sensorn.
- Konfigurera Defender for Identity-sensorn för att börja ta emot data.
Konfigurationer efter distribution
Följande procedurer hjälper dig att slutföra distributionsprocessen:
Konfigurera Windows-händelsesamling. Mer information finns i Händelseinsamling med Microsoft Defender för identitet och Konfigurera granskningsprinciper för Windows-händelseloggar.
Aktivera och konfigurera enhetlig rollbaserad åtkomstkontroll (RBAC) för Defender for Identity.
Konfigurera ett Katalogtjänstkonto (DSA) för användning med Defender för identitet. Även om en DSA är valfri i vissa scenarier rekommenderar vi att du konfigurerar en DSA för Defender för identitet för fullständig säkerhetstäckning.
Konfigurera fjärrsamtal till SAM efter behov. Även om det här steget är valfritt rekommenderar vi att du konfigurerar fjärranrop till SAM-R för identifiering av laterala förflyttningsvägar med Defender för identitet.
Viktigt!
Att installera en Defender for Identity-sensor på en AD FS/AD CS-server kräver extra steg. Mer information finns i Konfigurera sensorer för AD FS och AD CS.