Пилотное внедрение и развертывание Microsoft Defender для удостоверений

В этой статье описан порядок действий для пилотного внедрения и развертывания Microsoft Defender для удостоверений в вашей организации. Используйте эти рекомендации, чтобы подключить Microsoft Defender для удостоверений в составе комплексного решения с Microsoft Defender XDR.

В этой статье предполагается, что у вас есть рабочий клиент Microsoft 365 и вы выполняете пилотное развертывание Microsoft Defender для удостоверений в этой среде. Эта практика будет поддерживать все параметры и настройки, настроенные во время пилотного проекта для полного развертывания.

Defender for Identity способствует реализации архитектуры нулевого доверия, помогая предотвратить или снизить ущерб для бизнеса в случае нарушения безопасности. Дополнительные сведения см. в статье Предотвращение или уменьшение ущерба для бизнеса в результате нарушения бизнес-сценария платформы внедрения "Никому не доверяй" (Майкрософт).

Комплексное развертывание для Microsoft Defender XDR

Это статья 2 из 6 в серии, помогающая развернуть компоненты Microsoft Defender XDR, включая расследование инцидентов и реагирование на них.

Схема, показывающая Microsoft Defender для удостоверений в процессе пилотного внедрения и развертывания Microsoft Defender XDR.

Статьи этой серии соответствуют следующим этапам комплексного развертывания:

Этап Ссылка
A. Запуск пилотного проекта Запуск пилотного проекта
Б. Пилотное внедрение и развертывание компонентов Microsoft Defender XDR - Опробование и развертывание Defender for Identity (эта статья)

- Пилотное развертывание Defender для Office 365

- Пилотное внедрение и развертывание Defender for Endpoint

- Пилотное внедрение и развертывание Microsoft Defender for Cloud Apps
C. Исследование угроз и реагирование на них Практическое исследование инцидентов и реагирование на инциденты

Пилотное внедрение и развертывание процесса для Defender for Identity

На следующей схеме показан общий процесс развертывания продукта или службы в ИТ-среде.

Схема этапов внедрения пилотного проекта, оценки и полного развертывания.

Вы начинаете с оценки продукта или службы и того, как они будут работать в вашей организации. Затем вы пилотируете продукт или службу с подходящим небольшим подмножеством производственной инфраструктуры для тестирования, обучения и настройки. Затем постепенно увеличивайте область развертывания, пока не будет охвачена вся инфраструктура или организация.

Ниже описан процесс пилотного внедрения и развертывания Defender for Identity в производственной среде.

Схема, показывающая этапы пилотного внедрения и развертывания Microsoft Defender для удостоверений.

Выполните следующие действия:

  1. Настройте экземпляр Defender for Identity
  2. Установка и настройка датчиков
  3. Настройка параметров журнала событий и прокси-сервера на компьютерах с помощью датчика
  4. Разрешить Defender for Identity определять локальных администраторов на других компьютерах
  5. Опробуйте возможности

Ниже приведены рекомендуемые действия для каждого этапа развертывания.

Этап развертывания Описание
Оценка Выполните оценку продукта Defender for Identity.
Пилотный проект Выполните шаги 1–5 для подходящего подмножества серверов с датчиками в рабочей среде.
Полное развертывание Выполните шаги 2–4 для остальных серверов, распространив этот процесс за пределы пилотного проекта и охватив все серверы.

Защита организации от хакеров

Defender for Identity сам по себе обеспечивает мощную защиту. Однако в сочетании с другими возможностями Microsoft Defender XDR, Defender for Identity передает данные в общий набор сигналов, которые в совокупности помогают предотвращать атаки.

Ниже приведен пример кибератаки и того, как компоненты Microsoft Defender XDR помочь обнаружить и устранить ее.

Схема, показывающая, как Microsoft Defender XDR останавливает цепочку угроз.

Defender для удостоверений личности собирает сигналы с контроллеров домена служб доменов Active Directory (AD DS) и серверов, на которых запущены службы федерации Active Directory (AD FS) и службы сертификатов Active Directory (AD CS). Эти сигналы используются для защиты гибридной среды идентификации, в том числе для защиты от хакеров, которые используют скомпрометированные учетные записи для бокового перемещения между рабочими станциями в локальной среде.

Microsoft Defender XDR сопоставляет сигналы от всех компонентов Microsoft Defender, чтобы обеспечить полную историю атаки.

Архитектура Defender for Identity

Microsoft Defender для идентификаторов полностью интегрирован с Microsoft Defender XDR и использует сигналы об идентификаторах из локальной службы Active Directory, помогая эффективнее выявлять, обнаруживать и анализировать сложные угрозы, направленные на вашу организацию.

Разверните Microsoft Defender для идентификации, чтобы помочь командам безопасности (SecOps) внедрить современное решение для обнаружения угроз идентификации и реагирования на них (ITDR) в гибридных средах, в том числе:

  • Предотвращение нарушений с помощью упреждающих оценок состояния безопасности удостоверений
  • Обнаружение угроз с помощью аналитики в режиме реального времени и аналитики данных
  • Расследуйте подозрительную активность, используя четкую и практически применимую информацию об инцидентах
  • Реагируйте на атаки с помощью автоматического реагирования на скомпрометированные удостоверения. Дополнительные сведения см. в статье Что такое Microsoft Defender для удостоверений?

Defender for Identity защищает учетные записи пользователей локальной службы AD DS и учетные записи пользователей, синхронизированные с вашим арендатором Microsoft Entra ID. Чтобы защитить среду, состоящую только из учетных записей пользователей Microsoft Entra, см. Защита идентификаторов Microsoft Entra.

На следующей схеме представлена архитектура решения Defender for Identity.

Схема, показывающая архитектуру Microsoft Defender для удостоверений.

На этой иллюстрации:

  • Датчики, установленные на контроллерах домена AD DS и серверах AD CS, обрабатывают журналы и сетевой трафик и передают эти данные в Microsoft Defender для удостоверений для анализа и формирования отчетов.
  • Датчики также могут анализировать проверки подлинности AD FS для сторонних поставщиков удостоверений и при настройке Microsoft Entra ID для использования федеративной проверки подлинности (пунктирные линии на рисунке).
  • Microsoft Defender для идентификации передает сигналы в Microsoft Defender XDR.

Датчики Defender для удостоверений можно установить непосредственно на следующих серверах:

  • Контроллеры домена AD DS. Датчик напрямую отслеживает трафик контроллера домена без необходимости использования выделенного сервера или конфигурации зеркального отображения портов.
  • Серверы AD FS или серверы AD CS. Датчик напрямую отслеживает сетевой трафик и события проверки подлинности.

Более подробное описание архитектуры Defender для удостоверений см. в разделе архитектура Microsoft Defender для удостоверений.

Шаг 1. Настройка экземпляра Defender for Identity

Войдите на портал Defender, чтобы начать развертывание поддерживаемых служб, включая Microsoft Defender для удостоверений. Дополнительные сведения см. в статье Начало использования Microsoft Defender XDR.

Шаг 2. Установка датчиков

Для Defender for Identity требуется выполнить ряд подготовительных действий, чтобы локальные компоненты службы идентификации и сети соответствовали минимальным требованиям для установки датчика Defender for Identity в вашей среде.

Убедившись, что ваша среда готова, спланируйте необходимые ресурсы и проверьте подключение к Defender for Identity. Затем, когда будете готовы, скачайте, установите и настройте датчик Microsoft Defender для идентификации на контроллерах домена, серверах AD FS и AD CS в вашей локальной среде.

Шаг Описание Дополнительная информация
1 Убедитесь, что ваша среда соответствует предварительным условиям Defender for Identity. Предварительные требования для Microsoft Defender для удостоверений
2 Определите, сколько сенсоров Microsoft Defender для удостоверений вам нужно. Планирование емкости для Microsoft Defender для удостоверений
3 Проверьте подключение к службе Defender for Identity Проверка сетевой активности
4 Скачайте и установите сенсор Defender for Identity Установите Defender for Identity
5 Настройка датчика Настройка параметров датчика Microsoft Defender для удостоверений личности

Шаг 3. Настройка параметров журнала событий и прокси-сервера на компьютерах с помощью датчика

На компьютерах, на которые установлен датчик, настройте сбор журналов событий Windows, чтобы включить и расширить возможности обнаружения.

Шаг Описание Дополнительная информация
1 Настройка сбора журналов событий Windows Настройка аудита событий Windows

Шаг 4. Разрешить Defender for Identity определять локальных администраторов на других компьютерах

Обнаружение маршрута бокового перемещения (LMP) в Microsoft Defender для удостоверений личности основано на запросах, которые выявляют локальных администраторов на определенных компьютерах. Эти запросы выполняются по протоколу SAM-R с использованием учетной записи службы Defender for Identity.

Чтобы клиенты и серверы Windows разрешали учетной записи Defender for Identity выполнять запросы SAM-R, необходимо изменить групповую политику, добавив учетную запись службы Defender for Identity в дополнение к уже настроенным учетным записям, перечисленным в политике сетевого доступа. Обязательно применяйте групповые политики ко всем компьютерам , кроме контроллеров домена.

Инструкции о том, как это сделать, см. в статье Настройка SAM-R для включения обнаружения пути горизонтального перемещения в Microsoft Defender для удостоверений.

Шаг 5. Опробуйте возможности

Документация по Defender for Identity содержит следующие статьи, в которых пошагово описывается процесс выявления и устранения различных типов атак:

Дополнительные сведения см. в разделе:

Интеграция SIEM

Вы можете интегрировать Defender для удостоверений с Microsoft Sentinel для унифицированных операций безопасности на портале Defender или с универсальной службой управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. С помощью Microsoft Sentinel вы можете более полно анализировать события безопасности в организации и создавать сборники схем для эффективного и немедленного реагирования.

Портал Microsoft Defender поддерживает унифицированные операции безопасности с Microsoft Sentinel, передавая сигналы из Defender XDR, включая Defender for Identity, в Microsoft Sentinel.

Дополнительные сведения см. в разделе:

Следующее действие

Включите следующие компоненты в процессы SecOps:

Следующий шаг для комплексного развертывания Microsoft Defender XDR

Продолжайте комплексное развертывание Microsoft Defender XDR с помощью пилотного проекта и разверните Defender для Office 365.

Схема, показывающая Microsoft Defender для Office 365 в процессе пилотного развертывания и внедрения Microsoft Defender XDR.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.