Развертывание Microsoft Defender для удостоверений с помощью Microsoft Defender XDR
В этой статье представлен обзор полного процесса развертывания для Microsoft Defender для удостоверений, включая шаги по подготовке, развертыванию и дополнительные шаги для конкретных сценариев.
Defender для удостоверений — это основной компонент стратегии "Никому не доверяй", а также развертывания обнаружения и реагирования на угрозы идентификации (ITDR) или расширенного обнаружения и реагирования (XDR) с Microsoft Defender XDR. Defender для удостоверений использует сигналы от серверов инфраструктуры удостоверений, таких как контроллеры домена, серверы AD FS/ AD CS и Entra Connect, для обнаружения угроз, таких как повышение привилегий или боковое перемещение с высоким риском, и сообщает о легко эксплуатируемых проблемах идентификации, таких как неограниченное делегирование Kerberos, для исправления командой безопасности.
Краткий набор основных аспектов развертывания см. в руководстве по быстрой установке.
Предварительные условия
Прежде чем начать, убедитесь, что у вас есть доступ к Microsoft Defender XDR по крайней мере в качестве администратора безопасности и у вас есть одна из следующих лицензий:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Безопасность
- Безопасность и соответствие требованиям Microsoft 365 F5*
- Автономная лицензия Defender для удостоверений
* Для обеих лицензий F5 требуется Microsoft 365 F1/F3 или Office 365 F3 и Enterprise Mobility + Security E3.
Получите лицензии непосредственно на портале Microsoft 365 или используйте модель лицензирования Cloud Solution Partner (CSP).
Дополнительные сведения см. в разделах Вопросы и ответы о лицензировании и конфиденциальности и Что такое роли и разрешения Defender для удостоверений?
Начало использования Microsoft Defender XDR
В этом разделе описывается, как начать подключение к Defender для удостоверений.
- Войдите на портал Microsoft Defender.
- В меню навигации выберите любой элемент, например Инциденты & оповещения, Охота, Центр уведомлений или Аналитика угроз , чтобы инициировать процесс подключения.
После этого вам будет предоставлена возможность развернуть поддерживаемые службы, включая Microsoft Defender для удостоверений. Облачные компоненты, необходимые для Defender для удостоверений, автоматически добавляются при открытии страницы параметров Defender для удостоверений.
Дополнительные сведения см. в разделе:
- Microsoft Defender для удостоверений в Microsoft Defender XDR
- Начало работы с Microsoft Defender XDR
- Включение Microsoft Defender XDR
- Развертывание поддерживаемых служб
- Часто задаваемые вопросы при включении Microsoft Defender XDR
Важно!
В настоящее время центры обработки данных Defender для удостоверений развернуты в Европе, Великобритании, Швейцарии, Северная Америка/Центральной Америке/Карибском бассейне, Восточной Австралии, Азии и Индии. Рабочая область (экземпляр) создается автоматически в регионе Azure, ближайшем к географическому расположению вашего клиента Microsoft Entra. После создания рабочие области Defender для удостоверений не будут перемещаться.
Планирование и подготовка
Чтобы подготовиться к развертыванию Defender для удостоверений, выполните следующие действия.
Убедитесь, что у вас есть все необходимые условия .
Совет
Мы рекомендуем запустить скрипт Test-MdiReadiness.ps1 , чтобы проверить, есть ли в вашей среде необходимые предварительные требования.
Ссылка на скриптTest-MdiReadiness.ps1 также доступна в Microsoft Defender XDR на странице Средства удостоверений > (предварительная версия).
Развертывание Defender для удостоверений
После подготовки системы выполните следующие действия, чтобы развернуть Defender для удостоверений:
- Проверьте подключение к службе Defender для удостоверений.
- Скачайте датчик Defender для удостоверений.
- Установите датчик Defender для удостоверений.
- Настройте датчик Defender для удостоверений, чтобы начать получать данные.
Конфигурация после развертывания
Следующие процедуры помогут вам завершить процесс развертывания:
Настройка коллекции событий Windows. Дополнительные сведения см. в разделах Сбор событий с помощью Microsoft Defender для удостоверений и Настройка политик аудита для журналов событий Windows.
Включение и настройка единого управления доступом на основе ролей (RBAC) для Defender для удостоверений.
Настройте учетную запись службы каталогов (DSA) для использования с Defender для удостоверений. Хотя DSA является необязательным в некоторых сценариях, рекомендуется настроить DSA для Defender для удостоверений для полного покрытия безопасности. Например, при настройке DSA dsa dsa используется для подключения к контроллеру домена при запуске. DSA также можно использовать для запроса у контроллера домена данных о сущностях, видимых в сетевом трафике, отслеживаемых событиях и отслеживаемых действиях трассировки событий Windows.
При необходимости настройте удаленные вызовы к SAM . Хотя этот шаг является необязательным, рекомендуется настроить удаленные вызовы SAM-R для обнаружения пути бокового перемещения с помощью Defender для удостоверений.
Совет
По умолчанию датчики Defender для удостоверений запрашивают каталог с помощью ПРОТОКОЛА LDAP на портах 389 и 3268. Чтобы переключиться на LDAPS на портах 636 и 3269, обратитесь в службу поддержки. Дополнительные сведения см. в разделе поддержка Microsoft Defender для удостоверений.
Важно!
Установка датчика Defender для удостоверений на серверах AD FS/ AD CS и Entra Connect требует дополнительных действий. Дополнительные сведения см. в разделе Настройка датчиков для AD FS, AD CS и Entra Connect.