Piloter et déployer des Microsoft Defender pour Identity

S’applique à :

  • Microsoft Defender XDR

Cet article fournit un flux de travail pour le pilotage et le déploiement de Microsoft Defender pour Identity dans votre organization. Vous pouvez utiliser ces recommandations pour intégrer Microsoft Defender pour Identity en tant qu’outil de cybersécurité individuel ou dans le cadre d’une solution de bout en bout avec Microsoft Defender XDR.

Cet article suppose que vous disposez d’un client Microsoft 365 de production et que vous pilotez et déployez Microsoft Defender pour Identity dans cet environnement. Cette pratique conserve tous les paramètres et personnalisations que vous configurez pendant votre pilote pour votre déploiement complet.

Defender for Office 365 contribue à une architecture Confiance nulle en aidant à prévenir ou à réduire les dommages à l’entreprise causés par une violation. Pour plus d’informations, consultez le scénario Empêcher ou réduire les dommages causés par une violation de l’entreprise dans l’infrastructure d’adoption de Microsoft Confiance nulle.

Déploiement de bout en bout pour Microsoft Defender XDR

Il s’agit de l’article 2 sur 6 d’une série qui vous aide à déployer les composants de Microsoft Defender XDR, y compris l’examen et la réponse aux incidents.

Diagramme montrant Microsoft Defender pour Identity dans le processus pilote et de déploiement Microsoft Defender XDR.

Les articles de cette série correspondent aux phases suivantes du déploiement de bout en bout :

Phase Liens
A. Démarrer le pilote Démarrer le pilote
B. Piloter et déployer des composants Microsoft Defender XDR - Piloter et déployer Defender pour Identity (cet article)

- Piloter et déployer des Defender for Office 365

- Piloter et déployer Defender pour point de terminaison

- Piloter et déployer des Microsoft Defender for Cloud Apps
C. Examiner les menaces et y répondre Pratiquez l’investigation et la réponse aux incidents

Piloter et déployer un workflow pour Defender pour Identity

Le diagramme suivant illustre un processus courant de déploiement d’un produit ou d’un service dans un environnement informatique.

Diagramme des phases d’adoption du pilote, de l’évaluation et du déploiement complet.

Vous commencez par évaluer le produit ou le service et comment il fonctionnera dans votre organization. Ensuite, vous pilotez le produit ou le service avec un sous-ensemble convenablement petit de votre infrastructure de production à des fins de test, d’apprentissage et de personnalisation. Ensuite, augmentez progressivement l’étendue du déploiement jusqu’à ce que l’ensemble de votre infrastructure ou organization soit couvert.

Voici le workflow pour le pilotage et le déploiement de Defender pour Identity dans votre environnement de production.

Diagramme montrant les étapes à suivre pour piloter et déployer Microsoft Defender pour Identity.

Procédez comme suit :

  1. Configurer le instance Defender pour Identity
  2. Installer et configurer des capteurs
  3. Configurer les paramètres du journal des événements et du proxy sur les machines avec le capteur
  4. Autoriser Defender pour Identity à identifier les administrateurs locaux sur d’autres ordinateurs
  5. Configurer des recommandations de benchmark pour votre environnement d’identité
  6. Tester les fonctionnalités

Voici les étapes recommandées pour chaque étape de déploiement.

Phase de déploiement Description
Évaluation Effectuer l’évaluation du produit pour Defender pour Identity.
Pilote Effectuez les étapes 1 à 6 pour un sous-ensemble approprié de serveurs avec des capteurs dans votre environnement de production.
Déploiement complet Effectuez les étapes 2 à 5 pour vos serveurs restants, en étendant au-delà du pilote pour les inclure tous.

Protection de votre organization contre les pirates informatiques

Defender pour Identity offre une protection puissante à lui seul. Toutefois, lorsqu’il est combiné avec les autres fonctionnalités de Microsoft Defender XDR, Defender pour Identity fournit des données dans les signaux partagés qui, ensemble, aident à arrêter les attaques.

Voici un exemple de cyberattaque et la façon dont les composants de Microsoft Defender XDR aident à la détecter et à l’atténuer.

Diagramme qui montre comment Microsoft Defender XDR arrête une chaîne de menaces.

Defender pour Identity collecte les signaux des contrôleurs de domaine services de domaine Active Directory (AD DS) et des serveurs exécutant Services ADFS (AD FS) et les services de certificats Active Directory (AD CS). Il utilise ces signaux pour protéger votre environnement d’identité hybride, notamment contre les pirates informatiques qui utilisent des comptes compromis pour se déplacer latéralement entre les stations de travail dans l’environnement local.

Microsoft Defender XDR met en corrélation les signaux de tous les composants Microsoft Defender pour fournir l’histoire complète des attaques.

Architecture de Defender pour Identity

Microsoft Defender pour Identity est entièrement intégré à Microsoft Defender XDR et tire parti des signaux des identités Active Directory local pour vous aider à mieux identifier, détecter et examiner les menaces avancées dirigées contre votre organization.

Déployez Microsoft Defender pour Identity pour aider vos équipes d’opérations de sécurité (SecOps) à fournir une solution itdr (détection et réponse aux menaces d’identité) moderne dans des environnements hybrides, notamment :

  • Empêcher les violations à l’aide d’évaluations proactives de la posture de sécurité des identités
  • Détecter les menaces à l’aide de l’analytique en temps réel et de l’intelligence des données
  • Examiner les activités suspectes à l’aide d’informations claires et exploitables sur les incidents
  • Répondre aux attaques à l’aide d’une réponse automatique aux identités compromises. Pour plus d’informations, consultez Qu’est-ce que Microsoft Defender pour Identity ?

Defender pour Identity protège vos comptes d’utilisateur AD DS locaux et vos comptes d’utilisateur synchronisés avec votre locataire Microsoft Entra ID. Pour protéger un environnement composé uniquement de comptes d’utilisateur Microsoft Entra, consultez Protection Microsoft Entra ID.

Le diagramme suivant illustre l’architecture de Defender pour Identity.

Diagramme montrant l’architecture de Microsoft Defender pour Identity.

Dans cette illustration :

  • Les capteurs installés sur les contrôleurs de domaine AD DS et les serveurs AD CS analysent les journaux et le trafic réseau et les envoient à Microsoft Defender pour Identity à des fins d’analyse et de création de rapports.
  • Les capteurs peuvent également analyser les authentifications AD FS pour les fournisseurs d’identité tiers et quand Microsoft Entra ID est configuré pour utiliser l’authentification fédérée (lignes en pointillés dans l’illustration).
  • Microsoft Defender pour Identity partage des signaux à Microsoft Defender XDR.

Les capteurs Defender pour Identity peuvent être installés directement sur les serveurs suivants :

  • Contrôleurs de domaine AD DS

    Le capteur surveille directement le trafic du contrôleur de domaine, sans avoir besoin d’un serveur dédié ou de la configuration de la mise en miroir de ports.

  • Serveurs AD CS

  • Serveurs AD FS

    Le capteur surveille directement le trafic réseau et les événements d’authentification.

Pour en savoir plus sur l’architecture de Defender pour Identity, consultez architecture Microsoft Defender pour Identity.

Étape 1 : Configurer le instance Defender pour Identity

Tout d’abord, Defender pour Identity nécessite un travail préalable pour s’assurer que vos composants d’identité et de mise en réseau locaux répondent à la configuration minimale requise. Utilisez l’article Microsoft Defender pour Identity conditions préalables comme liste de contrôle pour vous assurer que votre environnement est prêt.

Ensuite, connectez-vous au portail Defender pour Identity pour créer votre instance, puis connectez ce instance à votre environnement Active Directory.

Étape Description Plus d’informations
1 Créer le instance Defender pour Identity Démarrage rapide : créer votre instance Microsoft Defender pour l’identité
2 Connecter le instance Defender pour Identity à votre forêt Active Directory Démarrage rapide : Se connecter à votre forêt Active Directory

Étape 2 : Installer et configurer des capteurs

Ensuite, téléchargez, installez et configurez le capteur Defender pour Identity sur les contrôleurs de domaine, les serveurs AD FS et AD CS dans votre environnement local.

Étape Description Plus d’informations
1 Déterminez le nombre de capteurs Microsoft Defender pour Identity dont vous avez besoin. Planifier la capacité de Microsoft Defender pour l’identité
2 Télécharger le package d’installation du capteur Démarrage rapide : Télécharger le package d’installation du capteur Microsoft Defender pour Identity
3 Installer le capteur Defender pour Identity Démarrage rapide : Installer le capteur Microsoft Defender pour Identity
4 Configurer le capteur Configurer les paramètres du capteur Microsoft Defender pour Identity

Étape 3 : Configurer les paramètres du journal des événements et du proxy sur les machines avec le capteur

Sur les ordinateurs sur lesquels vous avez installé le capteur, configurez la collecte des journaux des événements Windows et les paramètres du proxy Internet pour activer et améliorer les fonctionnalités de détection.

Étape Description Plus d’informations
1 Configurer la collecte des journaux des événements Windows Configurer la collection d’événements Windows
2 Configurer les paramètres du proxy Internet Configurer les paramètres de proxy de point de terminaison et de connectivité Internet pour votre capteur d’identité Microsoft Defender

Étape 4 : Autoriser Defender pour Identity à identifier les administrateurs locaux sur d’autres ordinateurs

La détection du chemin de déplacement latéral de Microsoft Defender pour l’identité s’appuie sur des requêtes qui identifient les administrateurs locaux sur des ordinateurs spécifiques. Ces requêtes sont effectuées avec le protocole SAM-R, à l’aide du compte de service Defender pour Identity.

Pour vous assurer que les clients et serveurs Windows autorisent votre compte Defender pour Identity à effectuer sam-R, une modification de stratégie de groupe doit être apportée pour ajouter le compte de service Defender pour Identity en plus des comptes configurés répertoriés dans la stratégie d’accès réseau. Veillez à appliquer des stratégies de groupe à tous les ordinateurs à l’exception des contrôleurs de domaine.

Pour obtenir des instructions sur la procédure à suivre, consultez Configurer Microsoft Defender pour Identity pour effectuer des appels distants à SAM.

Étape 5 : Configurer les recommandations de benchmark pour votre environnement d’identité

Microsoft fournit des recommandations de référence de sécurité pour les clients qui utilisent les services cloud Microsoft. Le benchmark de sécurité Azure (ASB) fournit des bonnes pratiques et des recommandations normatives pour aider à améliorer la sécurité des charges de travail, des données et des services sur Azure.

La mise en œuvre de ces recommandations peut prendre un certain temps à planifier et à implémenter. Bien que ces recommandations augmentent considérablement la sécurité de votre environnement d’identité, elles ne doivent pas vous empêcher de continuer à évaluer et à implémenter Microsoft Defender pour Identity. Ces recommandations sont fournies ici à des fins de sensibilisation.

Étape 6 : Tester les fonctionnalités

La documentation defender pour Identity comprend les tutoriels suivants qui décrivent le processus d’identification et de correction des différents types d’attaques :

Intégration SIEM

Vous pouvez intégrer Defender pour Identity à Microsoft Sentinel ou à un service SIEM (Security Information and Event Management) générique pour permettre une surveillance centralisée des alertes et des activités à partir d’applications connectées. Avec Microsoft Sentinel, vous pouvez analyser de manière plus complète les événements de sécurité dans votre organization et créer des playbooks pour une réponse efficace et immédiate.

Diagramme montrant l’architecture de Microsoft Defender pour Identity avec l’intégration SIEM.

Microsoft Sentinel comprend un connecteur Defender pour Identity. Pour plus d’informations, consultez connecteur Microsoft Defender pour Identity pour Microsoft Sentinel.

Pour plus d’informations sur l’intégration avec des systèmes SIEM tiers, consultez Intégration SIEM générique.

Étape suivante

Incorporez les éléments suivants dans vos processus SecOps :

Étape suivante pour le déploiement de bout en bout de Microsoft Defender XDR

Poursuivez votre déploiement de bout en bout de Microsoft Defender XDR avec Pilote et déployez Defender for Office 365.

Diagramme montrant Microsoft Defender pour Office 365 dans le processus pilote et de déploiement Microsoft Defender XDR.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.