Microsoft Defender XDR ile Kimlik için Microsoft Defender dağıtma

Bu makalede, hazırlık, dağıtım ve belirli senaryolar için ek adımlar dahil olmak üzere Kimlik için Microsoft Defender için tam dağıtım işlemine genel bir bakış sağlanmaktadır.

Kimlik için Defender, Sıfır Güven stratejisinin ve Microsoft Defender XDR ile Kimlik Tehdit Algılama ve Yanıt (ITDR) veya genişletilmiş algılama ve yanıt (XDR) dağıtımınızın birincil bileşenidir. Kimlik için Defender, ayrıcalık yükseltme veya yüksek riskli yanal hareket gibi tehditleri algılamak için kimlik altyapısı sunucularınızdan gelen etki alanı denetleyicileri, AD FS / AD CS ve Entra Connect sunucularından gelen sinyalleri kullanır ve güvenlik ekibi tarafından düzeltilmesi için kısıtlanmamış Kerberos temsilcisi gibi kolayca yararlanılan kimlik sorunlarını raporlar.

Hızlı dağıtım vurguları kümesi için bkz . Hızlı yükleme kılavuzu.

Önkoşullar

Başlamadan önce, Microsoft Defender XDR'ye en azından güvenlik yöneticisi olarak erişebildiğinizden ve aşağıdaki lisanslardan birine sahip olduğunuzdan emin olun:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Güvenliği
  • Microsoft 365 F5 Güvenlik + Uyumluluk*
  • Tek başına Kimlik için Defender lisansı

* Her iki F5 lisansı için de Microsoft 365 F1/F3 veya Office 365 F3 ve Enterprise Mobility + Security E3 gerekir.

Lisansları doğrudan Microsoft 365 portalı üzerinden alın veya Bulut Çözümü İş Ortağı (CSP) lisans modelini kullanın.

Daha fazla bilgi için bkz . Lisanslama ve gizlilik hakkında SSS ve Kimlik için Defender rolleri ve izinleri nedir?

Microsoft Defender XDR kullanmaya başlama

Bu bölümde Kimlik için Defender'a ekleme işleminin nasıl başlatıldığı açıklanmaktadır.

  1. Microsoft Defender portalında oturum açın.
  2. Ekleme işlemini başlatmak için gezinti menüsünden Olaylar ve uyarılar, Tehdit Avcılığı, İşlem merkezi veya Tehdit analizi gibi herhangi bir öğeyi seçin.

Ardından, Kimlik için Microsoft Defender dahil olmak üzere desteklenen hizmetleri dağıtma seçeneği sağlanır. Kimlik için Defender ayarları sayfasını açtığınızda Kimlik için Defender için gereken bulut bileşenleri otomatik olarak eklenir.

Daha fazla bilgi için bkz.

Önemli

Şu anda Defender for Identity veri merkezleri Avrupa, birleşik krallık, İsviçre, Kuzey Amerika/Orta Amerika/Karayipler, Doğu Avustralya, Asya ve Hindistan'da dağıtılmaktadır. Çalışma alanınız (örnek), Microsoft Entra kiracınızın coğrafi konumuna en yakın Azure bölgesinde otomatik olarak oluşturulur. Oluşturulduktan sonra Kimlik için Defender çalışma alanları taşınamaz.

Planlama ve hazırlama

Kimlik için Defender'ı dağıtmaya hazırlanmak için aşağıdaki adımları kullanın:

  1. Tüm önkoşulların gerekli olduğundan emin olun.

  2. Kimlik için Defender kapasitenizi planlayın.

İpucu

Ortamınızın gerekli önkoşullara sahip olup olmadığını test etmek ve görmek için Test-MdiReadiness.ps1 betiğini çalıştırmanızı öneririz.

Test-MdiReadiness.ps1 betiğinin bağlantısı Microsoft Defender XDR'de, Kimlik Araçları > sayfasında (Önizleme) de bulunabilir.

Kimlik için Defender'ı dağıtma

Sisteminizi hazırladıktan sonra Kimlik için Defender'ı dağıtmak için aşağıdaki adımları kullanın:

  1. Kimlik için Defender hizmetine bağlantıyı doğrulayın.
  2. Kimlik için Defender algılayıcısını indirin.
  3. Kimlik için Defender algılayıcısını yükleyin.
  4. Veri almaya başlamak için Kimlik için Defender algılayıcısını yapılandırın.

Dağıtım sonrası yapılandırma

Aşağıdaki yordamlar dağıtım işlemini tamamlamanıza yardımcı olur:

  • Windows olay koleksiyonunu yapılandırın. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender ile olay koleksiyonu ve Windows olay günlükleri için denetim ilkelerini yapılandırma.

  • Kimlik için Defender için birleşik rol tabanlı erişim denetimini (RBAC) etkinleştirin ve yapılandırın.

  • Kimlik için Defender ile kullanmak üzere bir Dizin Hizmeti hesabı (DSA) yapılandırın. Bazı senaryolarda DSA isteğe bağlıdır ancak tam güvenlik kapsamı için Kimlik için Defender için DSA yapılandırmanızı öneririz. Örneğin, yapılandırılmış bir DSA'nız olduğunda, başlangıçta etki alanı denetleyicisine bağlanmak için DSA kullanılır. DSA, ağ trafiğinde, izlenen olaylarda ve izlenen ETW etkinliklerinde görülen varlıklardaki veriler için etki alanı denetleyicisini sorgulamak için de kullanılabilir

  • Sam'e uzak çağrıları gerektiği gibi yapılandırın. Bu adım isteğe bağlı olsa da, Kimlik için Defender ile yanal hareket yolu algılaması için SAM-R'ye uzak çağrılar yapılandırmanızı öneririz.

İpucu

Varsayılan olarak, Kimlik için Defender algılayıcıları 389 ve 3268 bağlantı noktalarında LDAP kullanarak dizini sorgular. 636 ve 3269 bağlantı noktalarında LDAPS'ye geçmek için lütfen bir destek olayı açın. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender desteği.

Önemli

Ad FS / AD CS ve Entra Connect sunucularına Kimlik için Defender algılayıcısı yüklemek için ek adımlar gerekir. Daha fazla bilgi için bkz . AD FS, AD CS ve Entra Connect için algılayıcıları yapılandırma.

Sonraki adım