Distribuire Microsoft Defender per identità con Microsoft Defender XDR

Questo articolo offre una panoramica del processo di distribuzione completo per Microsoft Defender per identità, inclusi i passaggi per la preparazione, la distribuzione e i passaggi aggiuntivi per scenari specifici.

Defender per identità è un componente principale di una strategia Zero Trust e della distribuzione itDR (Identity Threat Detection and Response) o di rilevamento e risposta estesa (XDR) con Microsoft Defender XDR. Defender per identità usa segnali provenienti da server di infrastruttura di identità come controller di dominio, server AD FS/AD CS e Entra Connect per rilevare minacce come l'escalation dei privilegi o lo spostamento laterale ad alto rischio e segnala problemi di identità facilmente sfruttati, ad esempio la delega Kerberos non vincolata, per la correzione da parte del team di sicurezza.

Per un rapido set di evidenziazioni della distribuzione, vedere Guida all'installazione rapida.

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a Microsoft Defender XDR almeno come amministratore della sicurezza e di disporre di una delle licenze seguenti:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Sicurezza di Microsoft 365 E5/A5/G5/F5*
  • Sicurezza e conformità di Microsoft 365 F5*
  • Una licenza autonoma di Defender per identità

* Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 ed Enterprise Mobility + Security E3.

Acquisire le licenze direttamente tramite il portale di Microsoft 365 o usare il modello di licenza Cloud Solution Partner (CSP).

Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy e Che cosa sono i ruoli e le autorizzazioni di Defender per identità?

Iniziare a usare Microsoft Defender XDR

Questa sezione descrive come avviare l'onboarding in Defender per identità.

  1. Accedere al portale di Microsoft Defender.
  2. Dal menu di spostamento selezionare qualsiasi voce, ad esempio Eventi imprevisti e avvisi, Ricerca, Centro notifiche o Analisi delle minacce per avviare il processo di onboarding.

Verrà quindi fornita l'opzione per distribuire i servizi supportati, tra cui Microsoft Defender per identità. I componenti cloud necessari per Defender per identità vengono aggiunti automaticamente quando si apre la pagina delle impostazioni di Defender per identità.

Per altre informazioni, vedi:

Importante

Attualmente, i data center defender per identità vengono distribuiti in Europa, Regno Unito, Svizzera, America del Nord/America centrale/Caraibi, Australia orientale, Asia e India. L'area di lavoro (istanza) viene creata automaticamente nell'area di Azure più vicina alla posizione geografica del tenant di Microsoft Entra. Dopo la creazione, le aree di lavoro di Defender per identità non sono rimovibili.

Pianificazione e preparazione

Seguire questa procedura per preparare la distribuzione di Defender per identità:

  1. Assicurarsi di disporre di tutti i prerequisiti necessari.

  2. Pianificare la capacità di Defender per identità.

Suggerimento

È consigliabile eseguire lo script Test-MdiReadiness.ps1 per testare e verificare se l'ambiente ha i prerequisiti necessari.

Il collegamento allo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).

Distribuire Defender per identità

Dopo aver preparato il sistema, seguire questa procedura per distribuire Defender per identità:

  1. Verificare la connettività al servizio Defender per identità.
  2. Scaricare il sensore Defender per identità.
  3. Installare il sensore Defender per identità.
  4. Configurare il sensore Defender per identità per avviare la ricezione dei dati.

Configurazione post-distribuzione

Le procedure seguenti consentono di completare il processo di distribuzione:

Suggerimento

Per impostazione predefinita, i sensori defender per identità eseguono query sulla directory usando LDAP sulle porte 389 e 3268. Per passare a LDAPS sulle porte 636 e 3269, aprire un caso di supporto. Per altre informazioni, vedere Microsoft Defender per identità supporto.

Importante

L'installazione di un sensore Defender per identità in un server AD FS/AD CS e Entra Connect richiede passaggi aggiuntivi. Per altre informazioni, vedere Configurazione dei sensori per AD FS, AD CS e Entra Connect.

Passaggio successivo