Bereitstellen von Microsoft Defender for Identity mit Microsoft Defender XDR

Dieser Artikel enthält eine Übersicht über den vollständigen Bereitstellungsprozess für Microsoft Defender for Identity, einschließlich Der Schritte zur Vorbereitung, Bereitstellung und zusätzlichen Schritten für bestimmte Szenarien.

Defender for Identity ist eine primäre Komponente einer Zero Trust-Strategie und Ihrer ITDR-Bereitstellung (Identity Threat Detection and Response) oder einer erweiterten XDR-Bereitstellung (Detection and Response) mit Microsoft Defender XDR. Defender for Identity verwendet Signale, die von Ihren Identitätsinfrastrukturservern wie z. B. von Domänencontrollern, AD FS/AD CS und Entra Connect-Servern ausgegeben wurden, um Bedrohungen wie die Berechtigungseskalation oder laterale Verschiebung mit hohem Risiko zu erkennen, und berichtet über leicht ausgenutzte Identitätsprobleme wie die nicht eingeschränkte Kerberos-Delegierung zur Korrektur durch das Sicherheitsteam.

Eine kurze Reihe von Bereitstellungshighlights finden Sie in der Schnellinstallationsanleitung.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie mindestens als Sicherheitsadministrator Zugriff auf Microsoft Defender XDR haben und über eine der folgenden Lizenzen verfügen:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Security
  • Microsoft 365 F5 Security + Compliance*
  • Eine eigenständige Defender for Identity-Lizenzen

* Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3.

Erwerben Sie Lizenzen direkt über das Microsoft 365-Portal oder verwenden Sie das Cloud Solution Partner (CSP)-Lizenzierungsmodell.

Weitere Informationen finden Sie in den häufig gestellten Fragen zu Lizenzierung und Datenschutz und was sind Defender for Identity-Rollen und -Berechtigungen?

Einstieg in Microsoft Defender XDR

In diesem Abschnitt wird beschrieben, wie Sie mit dem Onboarding in Defender for Identity beginnen.

  1. Melden Sie sich beim Microsoft Defender-Portal an.
  2. Wählen Sie ein beliebiges Element im Navigationsmenü aus, zum Beispiel Incidents & Warnungen, Hunting, Wartungscenter oder Bedrohungsanalyse, um den Onboardingprozess zu starten.

Anschließend erhalten Sie die Möglichkeit, unterstützte Dienste bereitzustellen, einschließlich Microsoft Defender for Identity. Cloudkomponenten, die für Defender for Identity erforderlich sind, werden automatisch hinzugefügt, wenn Sie die Einstellungsseite von Defender for Identity öffnen.

Weitere Informationen finden Sie unter:

Wichtig

Derzeit werden Defender for Identity-Rechenzentren in Europa, dem Vereinigten Königreich, in der Schweiz, in Nordamerika/Mittelamerika, in der Karibik, in Australien (Osten), in Asien und in Indien bereitgestellt. Ihr Arbeitsbereich (Instanz) wird automatisch in der Azure-Region erstellt, die dem geografischen Standort Ihres Microsoft Entra-Mandanten am nächsten kommt. Einmal erstellte Defender for Identity-Arbeitsbereiche lassen sich nicht mehr verschieben.

Planen und Vorbereiten

Führen Sie die folgenden Schritte aus, um sich auf die Bereitstellung von Defender for Identity vorzubereiten:

  1. Stellen Sie sicher, dass alle Erforderlichen erforderlich sind.

  2. Defender for Identity-Kapazitätsplanung.

Tipp

Es wird empfohlen, das Skript "Test-MdiReadiness.ps1 " auszuführen, um zu testen und festzustellen, ob Ihre Umgebung über die erforderlichen Voraussetzungen verfügt.

Der Link zum Skript Test-MdiReadiness.ps1 ist auch über Microsoft Defender XDR auf der Seite Identitäten > Tools (Vorschau) verfügbar.

Bereitstellen von Defender for Identity

Nachdem Sie Ihr System vorbereitet haben, führen Sie die folgenden Schritte aus, um Defender for Identity bereitzustellen:

  1. Überprüfen Sie die Verbindung mit dem Defender for Identity-Dienst.
  2. Laden Sie den Defender for den Identitätssensor herunter.
  3. Installieren Sie den Defender for Identity-Sensor.
  4. Konfigurieren Sie den Defender for Identity-Sensor , um mit dem Empfangen von Daten zu beginnen.

Konfiguration nach der Bereitstellung

Die folgenden Verfahren helfen Ihnen beim Abschließen des Bereitstellungsprozesses:

Tipp

Standardmäßig abfragen Defender for Identity-Sensoren das Verzeichnis mithilfe von LDAP an den Ports 389 und 3268. Um zu LDAPS an den Ports 636 und 3269 zu wechseln, öffnen Sie bitte einen Supportfall. Weitere Informationen finden Sie unter Microsoft Defender for Identity Support.

Wichtig

Für die Installation eines Defender for Identity-Sensors auf AD FS/AD CS undEntra Connect-Servern sind zusätzliche Schritte erforderlich. Weitere Informationen finden Sie unter Konfigurationssensoren für AD FS, AD CS und Entra Connect-Servers für IFD.

Nächster Schritt