使用 Microsoft Defender XDR 部署Microsoft Defender for Identity

本文概述了Microsoft Defender for Identity的完整部署过程，包括特定方案的准备步骤、部署步骤和额外步骤。

Defender for Identity 是零信任策略的主要组件，标识威胁检测和响应 (ITDR) 或扩展的检测和响应 (XDR) 部署Microsoft Defender XDR。 Defender for Identity 使用来自域控制器、AD FS/AD CS 和 Entra Connect 服务器等标识基础结构服务器的信号来检测特权提升或高风险横向移动等威胁，并报告容易被利用的标识问题（如不受约束的 Kerberos 委派），以供安全团队更正。

有关一组快速部署亮点，请参阅 快速安装指南。

先决条件

在开始之前，请确保你至少作为安全管理员有权访问Microsoft Defender XDR，并且你拥有以下许可证之一：

• 企业移动性 + 安全性 E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5*安全
• Microsoft 365 F5 安全性 + 合规性*
• 独立的 Defender for Identity 许可证

* F5 许可证都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企业移动性 + 安全性 E3。

直接通过 Microsoft 365 门户 获取许可证，或使用云解决方案合作伙伴 (CSP) 许可模型。

有关详细信息，请参阅 许可和隐私常见问题解答 和 什么是 Defender for Identity 角色和权限？

开始使用 Microsoft Defender XDR

本部分介绍如何开始加入 Defender for Identity。

1. 登录到Microsoft Defender门户。
2. 从导航菜单中，选择任何项，例如 事件 & 警报、 搜寻、 操作中心或 威胁分析 ，以启动载入过程。

然后，你将获得部署受支持的服务的选项，包括Microsoft Defender for Identity。 打开 Defender for Identity 设置页时，会自动添加 Defender for Identity 所需的云组件。

有关更多信息，请参阅：

• Microsoft Defender XDR 中的Microsoft Defender for Identity
• Microsoft Defender XDR入门
• 打开Microsoft Defender XDR
• 部署支持的服务
• 打开Microsoft Defender XDR时的常见问题

规划和准备

使用以下步骤来准备部署 Defender for Identity：

1. 请确保满足所有 先决条件 。

2. 规划 Defender for Identity 容量。

部署 Defender for Identity

准备好系统后，使用以下步骤部署 Defender for Identity：

1. 验证与 Defender for Identity 服务的连接。
2. 下载 Defender for Identity 传感器。
3. 安装 Defender for Identity 传感器。
4. 将 Defender for Identity 传感器 配置为开始接收数据。

部署后配置

以下过程可帮助你完成部署过程：

• 配置 Windows 事件集合。 有关详细信息，请参阅使用Microsoft Defender for Identity事件集合和配置 Windows 事件日志的审核策略。

• 为 Defender for Identity (RBAC) 启用和配置统一的基于角色的访问控制。

• 配置目录服务帐户 (DSA) 以用于 Defender for Identity。 虽然 DSA 在某些情况下是可选的，但我们建议为 Defender for Identity 配置 DSA，以全面实现安全覆盖。 例如，如果配置了 DSA，则 DSA 用于在启动时连接到域控制器。 DSA 还可用于在域控制器中查询网络流量、监视事件和受监视的 ETW 活动中看到的实体的数据

• 根据需要配置对 SAM 的远程调用。 虽然此步骤是可选的，但我们建议你配置对 SAM-R 的远程调用，以便使用 Defender for Identity 进行横向移动路径检测。

后续步骤