Kimlik için Microsoft Defender özelliklerini doğrudan bir etki alanı denetleyicisinde etkinleştirme
Etki alanı denetleyicilerini zaten Uç Nokta için Defender'a eklemiş olan Uç Nokta için Microsoft Defender müşteriler, Kimlik için Microsoft Defender kullanmak yerine Kimlik için Microsoft Defender özelliklerini doğrudan etki alanı denetleyicisinde etkinleştirebilir algılayıcıyı seçin.
Bu makalede, etki alanı denetleyicinizde Kimlik için Microsoft Defender özelliklerini etkinleştirme ve test etme işlemleri açıklanmaktadır.
Önemli
Bu makaledeki bilgiler, belirli bir kullanım örnekleri kümesi için şu anda sınırlı kullanılabilirlik içinde olan bir özellikle ilgilidir. Kimlik için Defender Etkinleştirme sayfasını kullanmaya yönlendirildiyseniz bunun yerine ana dağıtım kılavuzumuzu kullanın.
Önkoşullar
Etki alanı denetleyicinizde Kimlik için Defender özelliklerini etkinleştirmeden önce ortamınızın bu bölümdeki önkoşullara uygun olduğundan emin olun.
Kimlik algılayıcısı çakışmaları için Defender
Bu makalede açıklanan yapılandırma, mevcut bir Kimlik için Defender algılayıcısı ile yan yana yüklemeyi desteklemez ve Kimlik için Defender algılayıcısının yerine kullanılması önerilmez.
Kimlik için Defender özelliklerini etkinleştirmeyi planladığınız etki alanı denetleyicisinde Kimlik için Defender algılayıcısının dağıtılmadığından emin olun.
Sistem gereksinimleri
Kimlik için Direct Defender özellikleri, aşağıdaki işletim sistemlerinden biri kullanılarak yalnızca etki alanı denetleyicilerinde desteklenir:
- Windows Server 2019
- Windows Server 2022
Mart 2024 Toplu Güncelleştirmesi de yüklü olmalıdır.
Önemli
Mart 2024 Toplu Güncelleştirmesi'ni yükledikten sonra, şirket içi ve bulut tabanlı Active Directory Etki Alanı Denetleyicileri Kerberos kimlik doğrulaması isteklerinde LSASS etki alanı denetleyicilerinde bellek sızıntısı yaşayabilir.
Bu sorun bant dışı güncelleştirme KB5037422 giderildi.
Uç Nokta için Defender ekleme
Etki alanı denetleyicinizin Uç Nokta için Microsoft Defender eklenmelidir.
Daha fazla bilgi için bkz . Windows sunucusu ekleme.
Gerekli izinler
Kimlik için Defender Etkinleştirme sayfasına erişmek için Güvenlik Yöneticisi olmanız veya aşağıdaki Birleşik RBAC izinlerine sahip olmanız gerekir:
Authorization and settings / System settings (Read and manage)Authorization and settings / Security setting (All permissions)
Daha fazla bilgi için bkz.
- Birleşik rol tabanlı erişim denetimi RBAC
- Rollere ve izinlere erişmek ve yönetmek için rol oluşturma
Bağlantı gereksinimleri
Doğrudan etki alanı denetleyicilerindeki Kimlik için Defender özellikleri, basitleştirilmiş URL'ler de dahil olmak üzere iletişim için Uç Nokta IÇIN Defender URL uç noktalarını kullanır.
Daha fazla bilgi için bkz . Uç Nokta için Defender ile bağlantı sağlamak için ağ ortamınızı yapılandırma.
Windows denetimini yapılandırma
Kimlik için Defender algılamaları, algılamaları geliştirmek ve NTLM oturum açma işlemleri ve güvenlik grubu değişiklikleri gibi belirli eylemleri gerçekleştiren kullanıcılar hakkında ek bilgi sağlamak için belirli Windows Olay Günlüğü girişlerini kullanır.
Kimlik algılamaları için Defender'ı desteklemek üzere etki alanı denetleyicinizde Windows olay koleksiyonunu yapılandırın. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender ile olay koleksiyonu ve Windows olay günlükleri için denetim ilkelerini yapılandırma.
Gerekli ayarları yapılandırmak için Kimlik için Defender PowerShell modülünü kullanmak isteyebilirsiniz. Daha fazla bilgi için bkz.
Örneğin, aşağıdaki komut etki alanı için tüm ayarları tanımlar, grup ilkesi nesneleri oluşturur ve bunları bağlar.
Set-MDIConfiguration -Mode Domain -Configuration All
Kimlik için Defender özelliklerini etkinleştirme
Ortamınızın tamamen yapılandırıldığından emin olduktan sonra etki alanı denetleyicinizde Kimlik için Microsoft Defender özelliklerini etkinleştirin.
Defender portalında Ayarlar Kimlikleri> Etkinleştirme'yi seçin.>
Etkinleştirme sayfasında algılanan ve uygun etki alanı denetleyicileri listelenir.
Kimlik için Defender özelliklerini etkinleştirmek istediğiniz etki alanı denetleyicisini seçin ve ardından Etkinleştir'i seçin. İstendiğinde seçiminizi onaylayın.
Etkinleştirme tamamlandığında yeşil bir başarı başlığı gösterilir. Algılayıcınızın durumunu denetleyebileceğiniz Ayarlar > Kimlik Algılayıcıları > sayfasına atlamak üzere eklenen sunucuları görmek için başlıkta Buraya tıklayın'ı seçin.
Etkinleştirilmiş özellikleri test edin
Etki alanı denetleyicinizde Kimlik için Defender özelliklerini ilk kez etkinleştirdiğinizde, ilk algılayıcının Algılayıcılar sayfasında Çalışıyor olarak gösterilmesi bir saat kadar sürebilir. Sonraki etkinleştirmeler beş dakika içinde gösterilir.
Etki alanı denetleyicilerindeki Kimlik için Defender özellikleri şu anda aşağıdaki Kimlik için Defender işlevini destekler:
- ITDR panosu, kimlik envanteri ve kimlik gelişmiş tehdit avcılığı verileriyle ilgili araştırma özellikleri
- Belirtilen güvenlik duruşu önerileri
- Belirtilen uyarı algılamaları
- Düzeltme eylemleri
- Otomatik saldırı kesintisi
Bir etki alanı denetleyicisinde Kimlik için Defender özellikleri için ortamınızı test etmek için aşağıdaki yordamları kullanın.
ITDR panosunu denetleme
Defender portalında Kimlikler > Panosu'nu seçin ve gösterilen ayrıntıları gözden geçirin ve ortamınızdan beklenen sonuçları denetleyin.
Daha fazla bilgi için bkz . Kimliğin ITDR panosu (Önizleme) için Defender ile çalışma.
Varlık sayfası ayrıntılarını onaylama
Etki alanı denetleyicileri, kullanıcılar ve gruplar gibi varlıkların beklendiği gibi doldurulduğunu onaylayın.
Defender portalında aşağıdaki ayrıntıları denetleyin:
Cihaz varlıkları: Varlıklar > Cihazlar'ı seçin ve yeni algılayıcınız için makineyi seçin. Kimlik için Defender olayları cihaz zaman çizelgesinde gösterilir.
Kullanıcı varlıkları. Varlıklar > Kullanıcılar'ı seçin ve yeni eklenen etki alanından kullanıcıları denetleyin. Alternatif olarak, belirli kullanıcıları aramak için genel arama seçeneğini kullanın. Kullanıcı ayrıntıları sayfaları Genel Bakış, Kuruluşta gözlemlenen ve Zaman Çizelgesi verilerini içermelidir.
Grup varlıkları: Bir kullanıcı grubunu bulmak için genel aramayı kullanın veya grup ayrıntılarının gösterildiği kullanıcı veya cihaz ayrıntıları sayfasında özet yapın. Grup üyeliğinin ayrıntılarını denetleyin, grup kullanıcılarını görüntüleyin ve grup zaman çizelgesi verilerini görüntüleyin.
Grup zaman çizelgesinde hiçbir olay verisi bulunamazsa, el ile oluşturmanız gerekebilir. Örneğin, Active Directory'de kullanıcıları ekleyip gruptan kaldırarak bunu yapın.
Daha fazla bilgi için bkz . Varlıkları araştırma.
Gelişmiş avlanma tablolarını test edin
Defender portalının Gelişmiş tehdit avcılığı sayfasında, aşağıdaki örnek sorguları kullanarak verilerin ortamınız için beklendiği gibi ilgili tablolarda görüntülendiğini denetleyin:
IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN
IdentityInfo
| where AccountDomain contains "domain" // insert domain
IdentityQueryEvents
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN
Daha fazla bilgi için bkz . Microsoft Defender portalında gelişmiş avcılık.
Kimlik Güvenliği Duruş Yönetimi (ISPM) önerilerini test edin
Etki alanı denetleyicilerindeki Kimlik için Defender özellikleri aşağıdaki ISSM değerlendirmelerini destekler:
- Kimlik Algılayıcısı için Defender'ı tüm Etki Alanı Denetleyicilerine yükleme
- Microsoft LAPS kullanımı
- Güvenli olmayan etki alanı yapılandırmalarını çözme
- Honeytoken hesabı ayarlama
- Güvenli olmayan hesap öznitelikleri
- Güvenli olmayan SID Geçmişi öznitelikleri
Desteklenen değerlendirmeleri tetikleyip beklendiği gibi göründüklerini doğrulamak için bir test ortamında riskli davranış simülasyonu yapmanızı öneririz. Örneğin:
Active Directory yapılandırmanızı uyumlu olmayan bir duruma ayarlayarak ve ardından uyumlu bir duruma döndürerek güvenli olmayan etki alanı yapılandırmalarını çözme önerisini tetikleyin. Örneğin, aşağıdaki komutları çalıştırın:
Uyumlu olmayan bir durum ayarlamak için
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}Uyumlu bir duruma döndürmek için:
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}Yerel yapılandırmanızı denetlemek için:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuotaMicrosoft Güvenli Puanı'nda Önerilen Eylemler'i seçerek güvenli olmayan yeni etki alanı yapılandırmalarını çöz önerisini denetleyin. Önerileri Kimlik için Defender ürününe göre filtrelemek isteyebilirsiniz.
Daha fazla bilgi için bkz. Kimlik için Microsoft Defender güvenlik duruşu değerlendirmeleri
Uyarı işlevselliğini test edin
Aşağıdaki uyarılar, etki alanı denetleyicilerindeki Kimlik için Defender özellikleri tarafından desteklenir:
- Hesap numaralandırma keşfi
- LDAP kullanarak Active Directory öznitelikleri Keşfi
- Exchange Server Uzaktan Kod Yürütme (CVE-2021-26855)
- Honeytoken kullanıcı öznitelikleri değiştirildi
- Honeytoken LDAP aracılığıyla sorgulandı
- Honeytoken kimlik doğrulama etkinliği
- Honeytoken grup üyeliği değiştirildi
- Uzaktan kod yürütme girişimi
- Güvenlik sorumlusu keşfi (LDAP)
- Şüpheli hizmet oluşturma
- Şüpheli NTLM geçiş saldırısı (Exchange hesabı)
- Kaynak Tabanlı Kısıtlanmış Temsil özniteliğinin makine hesabı tarafından şüpheli değiştirilmesi
- Hassas gruplara şüpheli eklemeler
- dNSHostName özniteliğinde şüpheli değişiklik (CVE-2022-26923)
- sAMNameAccount özniteliğinde şüpheli değişiklik (CVE-2021-42278 ve CVE-2021-42287)
- Şüpheli DCShadow saldırısı (etki alanı denetleyicisi yükseltme)
- Dağıtılmış Dosya Sistemi Protokolü kullanılarak DFSCoerce saldırısı olduğundan şüphelenildi
- Şüpheli DCShadow saldırısı (etki alanı denetleyicisi çoğaltma isteği)
- Gölge kimlik bilgilerini kullanarak şüpheli hesap devralma
- Şüpheli SID Geçmişi ekleme
- Şüpheli AD FS DKM anahtarı okundu
Bir test ortamında riskli etkinlik simülasyonu yaparak uyarı işlevselliğini test edin. Örneğin:
- Bir hesabı honeytoken hesabı olarak etiketleyin ve etkinleştirilmiş etki alanı denetleyicisinde honeytoken hesabında oturum açmayı deneyin.
- Etki alanı denetleyicinizde şüpheli bir hizmet oluşturun.
- etki alanı denetleyicinizde iş istasyonunuzda oturum açmış bir yönetici olarak uzak bir komut çalıştırın.
Daha fazla bilgi için bkz . Microsoft Defender XDR'de Kimlik için Defender güvenlik uyarılarını araştırma.
Düzeltme eylemlerini test etme
Test kullanıcısı üzerinde test düzeltme eylemleri. Örneğin:
Defender portalında, test kullanıcısı için kullanıcı ayrıntıları sayfasına gidin.
Seçenekler menüsünden aşağıdakilerden birini veya tümünü birer birer seçin:
- AD'de kullanıcıyı devre dışı bırakma
- AD'de kullanıcıyı etkinleştirme
- Parola sıfırlamayı zorla
Beklenen etkinlik için Active Directory'yi denetleyin.
Not
Geçerli sürüm, Kullanıcı Hesabı Denetimi (UAC) bayraklarını doğru toplamaz. Bu nedenle devre dışı bırakılan kullanıcılar portalda Etkin olarak görünmeye devam eder.
Daha fazla bilgi için bkz. Kimlik için Microsoft Defender düzeltme eylemleri.
Etki alanı denetleyicinizde Kimlik için Defender özelliklerini devre dışı bırakma
Etki alanı denetleyicinizde Kimlik için Defender özelliklerini devre dışı bırakmak istiyorsanız Algılayıcılar sayfasından silin:
- Defender portalında Ayarlar > Kimlik Algılayıcıları'nı> seçin.
- Kimlik için Defender özelliklerini devre dışı bırakmak istediğiniz etki alanı denetleyicisini seçin, Sil'i seçin ve seçiminizi onaylayın.
Etki alanı denetleyicinizden Kimlik için Defender özelliklerini devre dışı bırakmak, etki alanı denetleyicisini Uç Nokta için Defender'dan kaldırmaz. Daha fazla bilgi için Uç Nokta için Defender belgelerine bakın.
Sonraki adımlar
Daha fazla bilgi için bkz. Kimlik için Microsoft Defender algılayıcılarını yönetme ve güncelleştirme.