Déployez Microsoft Defender pour Identity avec Microsoft Defender XDR
Cet article fournit une vue d’ensemble du processus de déploiement complet pour Microsoft Defender pour Identity, notamment les étapes de préparation, de déploiement et les étapes supplémentaires pour des scénarios spécifiques.
Defender pour Identity est un composant principal d’une stratégie Confiance Zéro et de votre déploiement de détection et de réponse aux menaces d’identité (ITDR) ou de votre déploiement de détection et réponses étendues (XDR) avec Microsoft Defender XDR. Defender pour Identity utilise des signaux provenant de vos serveurs d’infrastructure d’identité tels que les contrôleurs de domaine, les serveurs AD FS / AD CS et Entra Connect pour détecter les menaces telles que l’élévation des privilèges ou le mouvement latéral à haut risque, et signale des problèmes d’identité facilement exploités comme la délégation Kerberos non contrainte, pour que l’équipe de sécurité les corrige.
Pour obtenir un ensemble rapide des points forts du déploiement, consultez le Guide d’installation rapide.
Prérequis
Avant de commencer, vérifiez que vous avez accès à Microsoft Defender XDR au moins en tant qu’administrateur de la sécurité et que vous disposez de l’une des licences suivantes :
- Enterprise Mobility + Security E5 (EMS E5/A5).
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Sécurité Microsoft 365 E5/A5/G5/F5*
- Sécurité + conformité Microsoft 365 F5*
- Une licence autonome Defender pour Identity
* Les deux licences F5 nécessitent Microsoft 365 F1/F3 ou Office 365 F3 et Enterprise Mobility + Security E3.
Vous pouvez acquérir des licences directement via le portail Microsoft 365 ou vous pouvez utiliser le modèle de licence Partenaire Solution Cloud (CSP).
Pour plus d’informations, consultez les FAQ sur les licences et la confidentialité et Quels sont les rôles et les autorisations de Defender pour Identity ?
Commencer à utiliser Microsoft Defender XDR
Cette section explique comment démarrer l’intégration à Defender pour Identity.
- Connectez-vous au portail Microsoft Defender.
- Dans le menu de navigation, sélectionnez un élément, comme Incidents & alertes, Hunting, Centre de notifications ou Threat Analytics pour initier le processus d’intégration.
Vous aurez la possibilité de déployer les services pris en charge, notamment Microsoft Defender pour Identity. Les composants cloud requis pour Defender pour Identity sont automatiquement ajoutés lorsque vous ouvrez la page des paramètres Defender pour Identity.
Pour plus d’informations, consultez l’article suivant :
- Microsoft Defender pour Identity dans Microsoft Defender XDR
- Bien démarrer avec Microsoft Defender XDR
- Activer Microsoft Defender XDR
- Déployer les services pris en charge
- Forum aux questions sur l’activation de Microsoft Defender XDR
Important
Actuellement, les centres de données de Defender for Identity sont déployés en Europe, au Royaume-Uni, en Suisse, en Amérique du Nord, en Amérique centrale et dans les Caraïbes, en Australie, en Asie et en Inde. Votre espace de travail (instance) est créé automatiquement dans la région Azure la plus proche de la localisation géographique de votre locataire Microsoft Entra. Une fois créés, les espaces de travail Defender pour Identity ne peuvent pas être déplacés.
Planifier et préparer
Procédez comme suit pour préparer le déploiement de Defender pour Identity :
Assurez-vous que vous disposez de tous les prérequis nécessaires.
Conseil
Nous vous recommandons d’exécuter le script Test-MdiReadiness.ps1 pour tester et voir si votre environnement a les prérequis nécessaires.
Le lien vers le script Test-MdiReadiness.ps1 est également disponible depuis Microsoft Defender XDR, sur la page Identités > Outils (aperçu).
Déployer Defender pour Identity
Une fois que vous avez préparé votre système, procédez comme suit pour déployer Defender pour Identity :
- Vérifiez la connectivité au service Defender pour Identity.
- Téléchargez le capteur Defender pour Identity.
- Installez le capteur Defender pour Identity.
- Configurez le capteur Defender pour Identity pour commencer à recevoir des données.
Configuration postérieure au déploiement
Les procédures suivantes vous aident à terminer le processus de déploiement :
Configurez la collection d’événements Windows. Pour plus d’informations, consultez Collection d’événements avec Microsoft Defender pour Identity et Configurer des stratégies d’audit pour les journaux d’événements Windows.
Activez et configurez le contrôle d’accès en fonction du rôle (RBAC) unifié pour Defender pour Identity.
Configurer un compte de service d’annuaire (DSA) pour Defender pour Identity Bien qu’un DSA soit facultatif dans certains scénarios, nous vous recommandons de configurer un DSA pour Defender pour Identity pour une couverture de sécurité complète. Par exemple, lorsque vous configurez un DSA, celui-ci est utilisé pour se connecter au contrôleur de domaine au démarrage. Un DSA peut également être utilisé pour interroger le contrôleur de domaine pour obtenir des données sur les entités vues dans le trafic réseau, les événements surveillés et les activités ETW surveillées
Configurer des appels distants à SAM si nécessaire. Bien que cette étape soit facultative, nous vous recommandons de configurer des appels distants vers SAM-R pour la détection des chemins de mouvement latéral avec Defender pour Identity.
Conseil
Par défaut, les capteurs Defender pour Identity interrogent le répertoire à l’aide du protocole LDAP sur les ports 389 et 3268. Pour basculer vers LDAPS sur les ports 636 et 3269, ouvrez un cas d'assistance. Pour en savoir plus, consultez Prise en charge de Microsoft Defender pour Identity.
Important
L’installation d’un capteur Defender pour Identity sur des serveurs AD FS/AD CS et Entra Connect nécessite des étapes supplémentaires. Pour en savoir plus, consultez Configurer le serveur AD FS, AD CS et Entra Connect.