Nasazení Microsoft Defenderu for Identity pomocí XDR v programu Microsoft Defender

Tento článek obsahuje přehled celého procesu nasazení pro Microsoft Defender for Identity, včetně kroků pro přípravu, nasazení a dalších kroků pro konkrétní scénáře.

Defender for Identity je primární komponentou strategie nulová důvěra (Zero Trust) a vašeho nasazení Identity Threat Detection and Response (ITDR) nebo rozšířeného nasazení detekce a odpovědi (XDR) v programu Microsoft Defender XDR. Defender for Identity používá signály ze serverů infrastruktury identit, jako jsou řadiče domény, servery AD FS / AD CS a Entra Connect, k detekci hrozeb, jako je eskalace oprávnění nebo vysoce rizikové laterální přesuny, a hlásí problémy s snadno zneužínou identitou, jako je nekontrénované delegování Kerberos, kvůli opravě týmem zabezpečení.

Stručný přehled nasazení najdete v úvodní příručce k instalaci.

Požadavky

Než začnete, ujistěte se, že máte přístup k XDR v programu Microsoft Defender alespoň jako správce zabezpečení a máte jednu z následujících licencí:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Zabezpečení Microsoftu 365 E5/A5/G5/F5*
  • Microsoft 365 F5 Security + Compliance*
  • Samostatná licence defenderu for Identity

* Obě licence F5 vyžadují Microsoft 365 F1/F3 nebo Office 365 F3 a Enterprise Mobility + Security E3.

Licence můžete získat přímo prostřednictvím portálu Microsoft 365 nebo použít licenční model CSP (Cloud Solution Partner).

Další informace najdete v nejčastějších dotazech k licencování a ochraně osobních údajů a o rolích a oprávněních v programu Defender for Identity?

Začínáme používat XDR v programu Microsoft Defender

Tato část popisuje, jak začít s onboardingem do služby Defender for Identity.

  1. Přihlaste se k portálu Microsoft Defender.
  2. V navigační nabídce vyberte libovolnou položku, jako jsou incidenty a výstrahy, proaktivní vyhledávání, centrum akcí nebo analýza hrozeb, a zahajte proces onboardingu.

Pak budete mít možnost nasadit podporované služby, včetně Microsoft Defenderu for Identity. Cloudové komponenty vyžadované pro Defender for Identity se při otevření stránky nastavení defenderu pro identitu automaticky přidají.

Další informace naleznete v tématu:

Důležité

V současné době se datacentra Defender for Identity nasazují v Evropě, Spojeném království, Švýcarsku, Severní Amerika/ Střední Americe/ Karibské oblasti, Austrálie – východ, Asie a Indie. Váš pracovní prostor (instance) se automaticky vytvoří v oblasti Azure, která je nejblíže zeměpisnému umístění vašeho tenanta Microsoft Entra. Po vytvoření se pracovní prostory Defenderu for Identity nedají přesouvat.

Plánování a příprava

Pomocí následujících kroků se připravte na nasazení Defenderu for Identity:

  1. Ujistěte se, že máte všechny požadované požadavky .

  2. Naplánujte kapacitu Defenderu for Identity.

Tip

Doporučujeme spustit skript Test-MdiReadiness.ps1 k otestování a zjistit, jestli vaše prostředí splňuje nezbytné požadavky.

Odkaz na skript Test-MdiReadiness.ps1 je k dispozici také v programu Microsoft Defender XDR na stránce Nástroje identit > (Preview).

Nasazení Defenderu pro identitu

Po přípravě systému pomocí následujících kroků nasaďte Defender for Identity:

  1. Ověřte připojení ke službě Defender for Identity.
  2. Stáhněte si senzor defenderu pro identitu.
  3. Nainstalujte senzor defenderu pro identitu.
  4. Nakonfigurujte senzor služby Defender for Identity tak, aby začal přijímat data.

Konfigurace po nasazení

Následující postupy vám pomůžou dokončit proces nasazení:

Tip

Ve výchozím nastavení se senzory Defender for Identity dotazují na adresář pomocí protokolu LDAP na portech 389 a 3268. Pokud chcete přepnout na LDAPS na portech 636 a 3269, otevřete případ podpory. Další informace najdete v tématu Podpora Microsoft Defenderu for Identity.

Důležité

Instalace senzoru defenderu pro identitu na servery AD FS / AD CS a Entra Connect vyžaduje další kroky. Další informace naleznete v tématu Konfigurace senzorů pro AD FS, AD CS a Entra Connect.

Další krok