Развертывание Microsoft Defender для удостоверений с помощью XDR в Microsoft Defender

В этой статье представлен обзор полного процесса развертывания для Microsoft Defender для удостоверений, включая шаги по подготовке, развертыванию и дополнительным шагам для конкретных сценариев.

Defender для удостоверений — это основной компонент стратегии нулевого доверия и развертывания обнаружения угроз идентификации (ITDR) или расширенного обнаружения и реагирования (XDR) с помощью XDR в Microsoft Defender. Defender для удостоверений использует сигналы от серверов инфраструктуры удостоверений, таких как контроллеры домена, AD FS / AD CS и Entra Connect, для обнаружения угроз, таких как эскалация привилегий или боковое перемещение с высоким риском, а также отчеты о проблемах с легко эксплуатируемыми удостоверениями, таких как ограниченное делегирование Kerberos, для исправления командой безопасности.

Краткое руководство по установке см. в кратком руководстве по развертыванию.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть доступ к XDR в Microsoft Defender по крайней мере как администратор безопасности, и у вас есть одна из следующих лицензий:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Безопасность Microsoft 365 E5/A5/G5/F5*
  • Безопасность и соответствие требованиям Microsoft 365 F5*
  • Автономная лицензия Defender для удостоверений

* Для обеих лицензий F5 требуется Microsoft 365 F3/F3 или Office 365 F3 и Enterprise Mobility + Security E3.

Получите лицензии непосредственно на портале Microsoft 365 или используйте модель лицензирования Cloud Solution Partner (CSP).

Дополнительные сведения см. в разделе "Вопросы о лицензировании и конфиденциальности " и "Что такое роли и разрешения Defender для удостоверений"?

Начало работы с XDR в Microsoft Defender

В этом разделе описывается, как начать подключение к Defender для удостоверений.

  1. Войдите на портал Microsoft Defender.
  2. В меню навигации выберите любой элемент, например инциденты и оповещения, охота, центр действий или аналитика угроз, чтобы инициировать процесс подключения.

После этого вы сможете развернуть поддерживаемые службы, включая Microsoft Defender для удостоверений. Облачные компоненты, необходимые для Defender для удостоверений, автоматически добавляются при открытии страницы параметров Defender для удостоверений.

Дополнительные сведения см. в разделе:

Внимание

В настоящее время центры обработки данных Defender для удостоверений развернуты в Европе, Великобритании, Швейцарии, Северная Америка/Центральной Америке/Карибском бассейне, Восточной Австралии, Азии и Индии. Ваша рабочая область (экземпляр) создается автоматически в регионе Azure, ближайшем к географическому расположению клиента Microsoft Entra. После создания рабочие области Defender для удостоверений не перемещается.

Планирование и подготовка

Чтобы подготовиться к развертыванию Defender для удостоверений, выполните следующие действия.

  1. Убедитесь, что у вас есть все необходимые условия.

  2. Планирование емкости Defender для удостоверений.

Совет

Мы рекомендуем запустить скрипт Test-MdiReadiness.ps1 для тестирования и проверить наличие необходимых предварительных требований в вашей среде.

Ссылка на скрипт Test-MdiReadiness.ps1 также доступна из XDR в Microsoft Defender на странице "Средства удостоверений>" (предварительная версия).

Развертывание Defender для удостоверений

Подготовив систему, выполните следующие действия, чтобы развернуть Defender для удостоверений:

  1. Проверьте подключение к службе Defender для удостоверений.
  2. Скачайте датчик Defender для удостоверений.
  3. Установите датчик Defender для удостоверений.
  4. Настройте датчик Defender для удостоверений, чтобы начать получать данные.

Настройка после развертывания

Следующие процедуры помогут выполнить процесс развертывания:

Совет

По умолчанию датчики Defender для удостоверений запрашивают каталог с помощью LDAP через порты 389 и 3268. Чтобы перейти на LDAPS в портах 636 и 3269, откройте вариант поддержки. Дополнительные сведения см. в Microsoft Defender для удостоверений поддержке.

Внимание

Установка датчика Defender для удостоверений на серверах AD FS/ AD CS и Entra Connect требует дополнительных действий. Дополнительные сведения см. в разделе "Настройка датчиков для AD FS", AD CS и Entra Connect.

Следующий шаг