Bereitstellen von Microsoft Defender for Identity mit Microsoft Defender XDR
Dieser Artikel enthält eine Übersicht über den vollständigen Bereitstellungsprozess für Microsoft Defender for Identity, einschließlich Der Schritte zur Vorbereitung, Bereitstellung und zusätzlichen Schritten für bestimmte Szenarien.
Defender for Identity ist eine primäre Komponente einer Zero Trust-Strategie und Ihrer ITDR-Bereitstellung (Identity Threat Detection and Response) oder einer erweiterten XDR-Bereitstellung (Detection and Response) mit Microsoft Defender XDR. Defender for Identity verwendet Signale, die von Ihren Identitätsinfrastrukturservern wie z. B. von Domänencontrollern, AD FS/AD CS und Entra Connect-Servern ausgegeben wurden, um Bedrohungen wie die Berechtigungseskalation oder laterale Verschiebung mit hohem Risiko zu erkennen, und berichtet über leicht ausgenutzte Identitätsprobleme wie die nicht eingeschränkte Kerberos-Delegierung zur Korrektur durch das Sicherheitsteam.
Eine kurze Reihe von Bereitstellungshighlights finden Sie in der Schnellinstallationsanleitung.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie mindestens als Sicherheitsadministrator Zugriff auf Microsoft Defender XDR haben und über eine der folgenden Lizenzen verfügen:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Security
- Microsoft 365 F5 Security + Compliance*
- Eine eigenständige Defender for Identity-Lizenzen
* Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3.
Erwerben Sie Lizenzen direkt über das Microsoft 365-Portal oder verwenden Sie das Cloud Solution Partner (CSP)-Lizenzierungsmodell.
Weitere Informationen finden Sie in den häufig gestellten Fragen zu Lizenzierung und Datenschutz und was sind Defender for Identity-Rollen und -Berechtigungen?
Einstieg in Microsoft Defender XDR
In diesem Abschnitt wird beschrieben, wie Sie mit dem Onboarding in Defender for Identity beginnen.
- Melden Sie sich beim Microsoft Defender-Portal an.
- Wählen Sie ein beliebiges Element im Navigationsmenü aus, zum Beispiel Incidents & Warnungen, Hunting, Wartungscenter oder Bedrohungsanalyse, um den Onboardingprozess zu starten.
Anschließend erhalten Sie die Möglichkeit, unterstützte Dienste bereitzustellen, einschließlich Microsoft Defender for Identity. Cloudkomponenten, die für Defender for Identity erforderlich sind, werden automatisch hinzugefügt, wenn Sie die Einstellungsseite von Defender for Identity öffnen.
Weitere Informationen finden Sie unter:
- Microsoft Defender for Identity in Microsoft Defender XDR
- Erste Schritte mit Microsoft Defender XDR
- Microsoft Defender XDR aktivieren.
- Bereitstellen unterstützter Dienste
- Häufig gestellte Fragen zur Aktivierung von Microsoft Defender XDR
Wichtig
Derzeit werden Defender for Identity-Rechenzentren in Europa, dem Vereinigten Königreich, in der Schweiz, in Nordamerika/Mittelamerika, in der Karibik, in Australien (Osten), in Asien und in Indien bereitgestellt. Ihr Arbeitsbereich (Instanz) wird automatisch in der Azure-Region erstellt, die dem geografischen Standort Ihres Microsoft Entra-Mandanten am nächsten kommt. Einmal erstellte Defender for Identity-Arbeitsbereiche lassen sich nicht mehr verschieben.
Planen und Vorbereiten
Führen Sie die folgenden Schritte aus, um sich auf die Bereitstellung von Defender for Identity vorzubereiten:
Stellen Sie sicher, dass alle Erforderlichen erforderlich sind.
Tipp
Es wird empfohlen, das Skript "Test-MdiReadiness.ps1 " auszuführen, um zu testen und festzustellen, ob Ihre Umgebung über die erforderlichen Voraussetzungen verfügt.
Der Link zum Skript Test-MdiReadiness.ps1 ist auch über Microsoft Defender XDR auf der Seite Identitäten > Tools (Vorschau) verfügbar.
Bereitstellen von Defender for Identity
Nachdem Sie Ihr System vorbereitet haben, führen Sie die folgenden Schritte aus, um Defender for Identity bereitzustellen:
- Überprüfen Sie die Verbindung mit dem Defender for Identity-Dienst.
- Laden Sie den Defender for den Identitätssensor herunter.
- Installieren Sie den Defender for Identity-Sensor.
- Konfigurieren Sie den Defender for Identity-Sensor , um mit dem Empfangen von Daten zu beginnen.
Konfiguration nach der Bereitstellung
Die folgenden Verfahren helfen Ihnen beim Abschließen des Bereitstellungsprozesses:
Konfigurieren sie die Windows-Ereignissammlung. Weitere Informationen finden Sie unter Ereignissammlung mit Microsoft Defender for Identity und Konfigurieren von Audit-Richtlinien für Windows-Ereignisprotokolle.
Aktivieren und Konfigurieren der einheitlichen rollenbasierten Zugriffssteuerung (RBAC) für Defender for Identity.
Konfigurieren Sie ein Verzeichnisdienstkonto (Directory Service Account, DSA) für die Verwendung mit Defender for Identity. Während ein DSA in einigen Szenarien optional ist, empfehlen wir, eine DSA für Defender for Identity für die vollständige Sicherheitsabdeckung zu konfigurieren. Wenn Sie beispielsweise einen DSA konfiguriert haben, wird der DSA verwendet, um beim Start eine Verbindung mit dem Domänencontroller herzustellen. Eine DSA kann auch verwendet werden, um den Do Standard-Controller für Daten zu Entitäten abzufragen, die im Netzwerkdatenverkehr angezeigt werden, überwachte Ereignisse und überwachte ETW-Aktivitäten
Konfigurieren Sie Fernzugriffe auf SAM bei Bedarf. Obwohl dieser Schritt optional ist, wird empfohlen, Remoteaufrufe an SAM-R für die Erkennung von Lateral Movement Path mit Defender for Identity zu konfigurieren.
Tipp
Standardmäßig abfragen Defender for Identity-Sensoren das Verzeichnis mithilfe von LDAP an den Ports 389 und 3268. Um zu LDAPS an den Ports 636 und 3269 zu wechseln, öffnen Sie bitte einen Supportfall. Weitere Informationen finden Sie unter Microsoft Defender for Identity Support.
Wichtig
Für die Installation eines Defender for Identity-Sensors auf AD FS/AD CS undEntra Connect-Servern sind zusätzliche Schritte erforderlich. Weitere Informationen finden Sie unter Konfigurationssensoren für AD FS, AD CS und Entra Connect-Servers für IFD.