Granska arkitekturkraven och viktiga begrepp för Microsoft Defender för identitet
Gäller för:
- Microsoft 365 Defender
Den här artikeln är steg 1 av 3 i processen med att konfigurera utvärderingsmiljön för Microsoft Defender för identitet. Mer information om den här processen finns i översiktsartikeln.
Innan du aktiverar Microsoft Defender för identitet måste du vara säker på att du förstår arkitekturen och kan uppfylla kraven.
Microsoft Defender för identitet använder maskininlärning och funktionsanalyser för att identifiera attacker i ditt lokala nätverk samt identifiera och proaktivt förhindra inloggningsrisker som associeras med molnidentiteter. Mer information finns i Vad är Microsoft Defender för identitet?
Defender för identitet skyddar lokala Active Directory-användare och/eller användare som synkroniseras till ditt Azure Active Directory (Azure AD). Information om hur du skyddar en miljö som endast består av Azure AD-användare finns i Azure AD Identity Protection.
Förstå arkitekturen
Följande diagram visar baslinjearkitekturen för Defender för identitet.

I den här illustrationen:
- Sensorer som installerats på AD-domänkontrollanter parsar loggar och nätverkstrafik och skickar dem till Microsoft Defender för identitet för analys och rapportering.
- Sensorn kan även tolka Active Directory Federation Services (AD FS) när Azure AD har konfigurerats för användning av federerad autentisering (prickad linje i illustrationen).
- Microsoft Defender för identitet delar signaler till Microsoft 365 Defender för utökad identifiering och svar (XDR).
Defender för identitetssensorer kan installeras direkt på följande servrar:
- Domänkontrollanter: Sensorn övervakar direkt domänkontrollanttrafik, utan att någon dedikerad server behövs, eller konfiguration av portspegling.
- AD FS: Sensorn övervakar direkt nätverkstrafik och autentiseringshändelser.
Mer information om arkitekturen för Defender för identitet, inklusive integrering med Defender för molnappar, finns i Microsoft Defender för identitetsarkitektur .
Förstå viktiga begrepp
I följande tabell identifieras viktiga begrepp som är viktiga att förstå när du utvärderar, konfigurerar och distribuerar Microsoft Defender för identitet.
| Begrepp | Beskrivning | Mer information |
|---|---|---|
| Övervakade aktiviteter | Defender för identitet övervakar signaler som genereras från organisationen för att identifiera misstänkt eller skadlig aktivitet och hjälper dig att avgöra giltigheten för varje potentiellt hot så att du kan hantera och hantera den effektivt. | Microsoft Defender för identitetsövervakade aktiviteter |
| Säkerhetsvarningar | Defender för identitetssäkerhetsvarningar förklarar de misstänkta aktiviteter som upptäckts av sensorn på nätverket tillsammans med de aktör och datorer som var inblandade i de olika hoten. | Microsoft Defender för identitetssäkerhetsvarningar |
| Entitetsprofiler | Enhetsprofiler ger en omfattande djupdykning av användare, datorer, enheter och resurser samt deras åtkomsthistorik. | Förstå entitetsprofiler |
| Rörelsebanor för personer med rörelsebanor | En viktig del av MDI-säkerhetsinsikter är att identifiera identiteter på rörelsebanor där en attackerare använder icke-känsliga konton för att få åtkomst till känsliga konton eller datorer i hela nätverket. | Microsoft Defender för identitet, LMP:er (Movement Paths) |
| Network Name Resolution | NNR (Network Name Resolution) är en komponent i MDI-funktioner som samlar in aktiviteter baserade på nätverkstrafik, Windows-händelser, ETW osv. och korrelerar dessa rådata till de relevanta datorerna som är inblandade i varje aktivitet. | Vad är Network Name Resolution? |
| Rapporter | Med Defender för identitetsrapporter kan du schemalägga eller direkt generera och ladda ned rapporter som tillhandahåller statusinformation för system och entitet. Du kan skapa rapporter om systemhälsa, säkerhetsvarningar och möjliga rörelsebanor för rörelsebanor som upptäckts i din miljö. | Microsoft Defender för identitetsrapporter |
| Rollgrupper | Defender för identitet erbjuder rollbaserade grupper och delegerad åtkomst för att skydda data enligt din organisations specifika säkerhets- och efterlevnadsbehov, vilket omfattar administratörer, användare och läsare. | Rollgrupper för Microsoft Defender |
| Administrationsportal | Förutom den nya Microsoft 365 Defender kan Defender för identitetsportalen användas för att övervaka och svara på misstänkt aktivitet. | Arbeta med Microsoft Defender for Identity-portalen |
| Microsoft Defender för molnappar-integrering | Microsoft Defender för molnappar är integrerat med Microsoft Defender för identitet för att tillhandahålla användarentitetsbeteendeanalyser (UEBA) i en hybridmiljö – både i molnappen och lokalt | Microsoft Defender för identitetsintegrering |
Granska förutsättningar
För Defender för identitet krävs en del arbete som krävs för att säkerställa att din lokala identitet och nätverkskomponenter uppfyller minimikraven. Använd den här artikeln som en checklista för att säkerställa att miljön är klar: Microsoft Defender för identitetsförutsättningarna.
Nästa steg
Steg 2 av 3: Aktivera utvärderingsmiljön Defender för identitet
Återgå till översikten för Utvärdera Microsoft Defender för identitet
Gå tillbaka till översikten för Utvärdera och pilottesta Microsoft 365 Defender