Implementar Microsoft Defender para Identidade com Microsoft Defender XDR
Este artigo fornece uma descrição geral do processo de implementação completo para Microsoft Defender para Identidade, incluindo passos para preparação, implementação e passos adicionais para cenários específicos.
O Defender para Identidade é um componente principal de uma estratégia de Confiança Zero e da deteção e resposta de ameaças de identidade (ITDR) ou implementação de deteção e resposta alargada (XDR) com Microsoft Defender XDR. O Defender para Identidade utiliza sinais dos servidores da Infraestrutura de Identidade, como controladores de domínio, servidores AD FS/AD CS e Entra Connect para detetar ameaças como o escalamento de privilégios ou movimento lateral de alto risco e relatórios sobre problemas de identidade facilmente explorados, como a delegação kerberos sem restrições, para correção pela equipa de segurança.
Para obter um conjunto rápido de destaques de implementação, veja Guia de instalação rápida.
Pré-requisitos
Antes de começar, certifique-se de que tem acesso a Microsoft Defender XDR, pelo menos, como administrador de Segurança e tem uma das seguintes licenças:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Segurança
- Segurança + Conformidade do Microsoft 365 F5*
- Uma licença autónoma do Defender para Identidade
* Ambas as licenças F5 necessitam de Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3.
Adquira licenças diretamente através do portal do Microsoft 365 ou utilize o modelo de licenciamento do Parceiro de Solução Cloud (CSP).
Para obter mais informações, veja FAQs sobre licenciamento e privacidade e O que são permissões e funções do Defender para Identidade?
Começar a utilizar Microsoft Defender XDR
Esta secção descreve como começar a integrar no Defender para Identidade.
- Inicie sessão no portal Microsoft Defender.
- No menu de navegação, selecione qualquer item, como Incidentes & alertas, Investigação, Centro de ação ou Análise de ameaças para iniciar o processo de inclusão.
Em seguida, ser-lhe-á dada a opção de implementar serviços suportados, incluindo Microsoft Defender para Identidade. Os componentes da cloud necessários para o Defender para Identidade são adicionados automaticamente quando abre a página de definições do Defender para Identidade.
Para mais informações, consulte:
- Microsoft Defender para Identidade no Microsoft Defender XDR
- Introdução ao Microsoft Defender XDR
- Ativar Microsoft Defender XDR
- Implementar serviços suportados
- Perguntas mais frequentes ao ativar Microsoft Defender XDR
Importante
Atualmente, os datacenters do Defender para Identidade estão implementados na Europa, Reino Unido, Suíça, América do Norte/América Central/Caraíbas, Leste da Austrália, Ásia e Índia. A área de trabalho (instância) é criada automaticamente na região do Azure mais próxima da localização geográfica do seu inquilino Microsoft Entra. Depois de criadas, as áreas de trabalho do Defender para Identidade não são móveis.
Planear e preparar
Utilize os seguintes passos para se preparar para implementar o Defender para Identidade:
Certifique-se de que tem todos os pré-requisitos necessários .
Sugestão
Recomendamos que execute o scriptTest-MdiReadiness.ps1 para testar e ver se o seu ambiente tem os pré-requisitos necessários.
A ligação para o script Test-MdiReadiness.ps1 também está disponível em Microsoft Defender XDR, na página Ferramentas > de Identidades (Pré-visualização).
Implementar o Defender para Identidade
Depois de preparar o sistema, utilize os seguintes passos para implementar o Defender para Identidade:
- Verifique a conectividade ao serviço Defender para Identidade.
- Transfira o sensor do Defender para Identidade.
- Instale o sensor do Defender para Identidade.
- Configure o sensor do Defender para Identidade para começar a receber dados.
Configuração pós-implementação
Os seguintes procedimentos ajudam-no a concluir o processo de implementação:
Configurar a coleção de eventos do Windows. Para obter mais informações, veja Recolha de eventos com Microsoft Defender para Identidade e Configurar políticas de auditoria para registos de eventos do Windows.
Ativar e configurar o controlo de acesso baseado em funções (RBAC) unificado para o Defender para Identidade.
Configure uma conta de Serviço de Diretório (DSA) para utilização com o Defender para Identidade. Embora uma DSA seja opcional em alguns cenários, recomendamos que configure uma DSA para Defender para Identidade para cobertura de segurança completa. Por exemplo, quando tem uma DSA configurada, a DSA é utilizada para ligar ao controlador de domínio no arranque. Uma DSA também pode ser utilizada para consultar o controlador de domínio para obter dados sobre entidades vistas no tráfego de rede, eventos monitorizados e atividades de ETW monitorizadas
Configure chamadas remotas para SAM conforme necessário. Embora este passo seja opcional, recomendamos que configure chamadas remotas para SAM-R para deteção de caminhos de movimento lateral com o Defender para Identidade.
Sugestão
Por predefinição, os sensores do Defender para Identidade consultam o diretório com LDAP nas portas 389 e 3268. Para mudar para LDAPS nas portas 636 e 3269, abra um pedido de suporte. Para obter mais informações, veja Microsoft Defender para Identidade suporte.
Importante
A instalação de um sensor do Defender para Identidade num servidor do AD FS/AD CS e do Entra Connect requer passos adicionais. Para obter mais informações, veja Configurar sensores para o AD FS, AD CS e Entra Connect.