Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны требования к установке датчика Microsoft Defender для удостоверений версии 3.x.
Ограничения версий датчика
Прежде чем активировать датчик Defender для удостоверений версии 3.x, помните, что версия 3.x:
- Не поддерживает интеграцию VPN.
- Не поддерживает ExpressRoute.
Требования к серверу
Перед активацией датчика Defender для удостоверений версии 3.x убедитесь, что сервер, на котором вы активизируете датчик:
- Развернут Defender для конечной точки. Компонент антивирусной программы Microsoft Defender может находиться в активном или пассивном режиме.
- Не развернут датчик Defender для удостоверений версии 2.x.
- Выполняется Windows Server 2019 или более поздней версии.
- Включает накопительное обновление за октябрь 2025 г. или более позднюю версию .
Требования к лицензированию
Для развертывания Defender для удостоверений требуется одна из следующих лицензий Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- безопасность Microsoft 365 E5/A5/G5/F5*
- Безопасность и соответствие требованиям Microsoft 365 F5*
Для обеих лицензий F5 требуется Microsoft 365 F1/F3 или Office 365 F3 и Enterprise Mobility + Security E3. Приобретение лицензий на портале Microsoft 365 или в рамках лицензирования Cloud Solution Partner (CSP). Дополнительные сведения см. в разделе Вопросы и ответы о лицензировании и конфиденциальности.
Требования к роли и разрешениям
Чтобы создать рабочую область Defender для удостоверений, требуется клиент Microsoft Entra ID.
Вы должны быть администратором безопасности или иметь следующие разрешения единого RBAC :
System settings (Read and manage)Security settings (All permissions)
Требования к памяти
В следующей таблице описаны требования к памяти на сервере, используемом для датчика Defender для удостоверений, в зависимости от типа используемой виртуализации:
| Виртуальная машина, запущенная на | Описание |
|---|---|
| Hyper-V | Убедитесь, что параметр Включить динамическую память не включен для виртуальной машины. |
| Vmware | Убедитесь, что настроенный объем памяти и зарезервированная память одинаковы, или выберите параметр Зарезервировать всю гостевую память (все заблокированы) в параметрах виртуальной машины. |
| Другой узел виртуализации | Сведения о том, как обеспечить полное выделение памяти для виртуальных машин, см. в документации, предоставленной поставщиком. |
Важно!
При запуске в качестве виртуальной машины всегда распределяйте всю память для виртуальной машины.
Версия 3 датчика предотвращает чрезмерное использование ЦП или памяти датчиком, ограничивая загрузку ЦП на уровне 30 %, а использование памяти — 1,5 ГБ. Однако если Приложение Falcon Identity уже использует значительные системные ресурсы, контроллер домена может по-прежнему испытывать нагрузку на производительность.
Настройка аудита RPC
Применение тега аудита RPC unified Sensor к устройству улучшает видимость безопасности и разблокирует обнаружение удостоверений. После применения конфигурация применяется ко всем существующим и будущим устройствам, которые соответствуют условиям правила. Тег отображается в списке инвентаризации устройств для прозрачности и возможностей аудита.
На портале Microsoft Defender перейдите в раздел Параметры > системы > Microsoft Defender XDR > Управление правилами активов.
Выберите Создать новое правило.
На боковой панели:
- Введите имя правила и описание.
- Задайте условия правила с помощью
Device name,DomainилиDevice tag, чтобы нацелиться на нужные компьютеры. Целевые контроллеры домена с установленным датчиком версии 3.x. - Убедитесь, что датчик Defender для удостоверений версии 3.x уже развернут на выбранных устройствах.
Добавьте тег Аудита RPC единого датчика на выбранные устройства.
Нажмите кнопку Далее , чтобы просмотреть и завершить создание правила, а затем нажмите кнопку Отправить. Для его действия может потребоваться до одного часа.
Удаление аудита RPC с устройства
Чтобы отключить устройство из этой конфигурации, удалите правило ресурса или измените условия правила, чтобы устройство больше не соответствовало.
Примечание.
На отражение изменений на портале может потребоваться до одного часа.
Дополнительные сведения о правилах управления ресурсами.
Настройка аудита событий Windows
Defender для удостоверений использует записи журнала событий Windows для обнаружения определенных действий. Эти данные используются в различных сценариях обнаружения и могут использоваться в расширенных запросах охоты. Для оптимальной защиты и мониторинга убедитесь, что коллекция событий Windows настроена правильно.
Если вы не выбрали автоматическую конфигурацию аудита Windows, необходимо настроить аудит событий Windows вручную или с помощью PowerShell.
Рекомендуемые конфигурации для оптимальной производительности
Рекомендуется убедиться, что эти элементы правильно настроены для обеспечения оптимальной производительности.
- Установите для параметра Питания компьютера, на котором работает датчик Defender для удостоверений , значение Высокая производительность.
- Синхронизируйте время на серверах и контроллерах домена, где устанавливается датчик, в течение пяти минут друг от друга.
- Этот датчик использует удостоверение локальной системы сервера для Active Directory и действий реагирования. Если вы настроили групповую управляемую учетную запись службы (gMSA) для более ранней версии датчика, обязательно удалите gMSA. Если gMSA включена, действия ответа не будут работать. В средах, использующих датчики версии 2 и 3, используйте локальные системные учетные записи для всех датчиков.
Тестирование необходимых компонентов
Мы рекомендуем запустить скрипт Test-MdiReadiness.ps1 , чтобы проверить, есть ли в вашей среде необходимые предварительные требования.
Скрипт Test-MdiReadiness.ps1 также доступен в Microsoft Defender XDR на странице Средства удостоверений > (предварительная версия).