使用 Microsoft Defender XDR 部署適用於身分識別的 Microsoft Defender
本文提供 適用於身分識別的 Microsoft Defender 的完整部署程式概觀,包括準備、部署和特定案例的額外步驟。
適用於身分識別的 Defender 是 零信任 策略的主要元件,以及具有 Microsoft Defender 全面偵測回應 的身分識別威脅偵測和回應 (ITDR) 或擴充偵測和回應 (XDR) 部署。 適用於身分識別的 Defender 會使用 Active Directory 訊號來偵測突然的帳戶變更,例如許可權提升或高風險橫向移動,以及報告安全性小組修正容易惡意探索的身分識別問題,例如不受限制的 Kerberos 委派。
如需一組快速部署重點,請參閱 快速安裝指南。
必要條件
開始之前,請確定您至少可以存取 Microsoft Defender 全面偵測回應 為安全性系統管理員,而且您有下列其中一個授權:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* 安全性
- Microsoft 365 F5 安全性 + 合規性
- 適用於身分識別的獨立 Defender 授權
* 這兩個 F5 授權都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企業行動力 + 安全性 E3。
直接透過 Microsoft 365 入口網站 取得授權,或使用雲端解決方案合作夥伴 (CSP) 授權模型。
如需詳細資訊,請參閱 授權和隱私權常見問題 和 什麼是適用於身分識別角色和許可權的Defender?
開始使用 Microsoft Defender 全面偵測回應
本節說明如何開始上線至適用於身分識別的 Defender。
- 登入 Microsoft Defender 入口網站。
- 從導覽功能表中,選取任何專案,例如 事件和警示、 搜捕、 控制中心或 威脅分析 ,以起始上線程式。
接著,您可以選擇部署支援的服務,包括 適用於身分識別的 Microsoft Defender。 當您開啟適用於身分識別的 Defender 設定頁面時,會自動新增適用於身分識別的 Defender 所需的雲端元件。
如需詳細資訊,請參閱
- Microsoft Defender 全面偵測回應中的 適用於身分識別的 Microsoft Defender
- 開始使用 Microsoft Defender 全面偵測回應
- 開啟 Microsoft Defender 全面偵測回應
- 部署支持的服務
- 開啟 Microsoft Defender 全面偵測回應 時的常見問題
重要
目前,適用於身分識別的Defender資料中心部署在歐洲、英國、北美洲/中美洲/加勒比、澳大利亞東部和亞洲。 您的工作區(實例)會自動在最接近 Microsoft Entra 租使用者的地理位置的 Azure 區域中建立。 建立之後,適用於身分識別的Defender工作區將無法移動。
規劃和準備
使用下列步驟來準備部署適用於身分識別的Defender:
請確定您具備所有必要的 必要條件 。
提示
建議您執行 Test-MdiReadiness.ps1 腳本來測試,並查看您的環境是否有必要的必要條件。
Test-MdiReadiness.ps1 腳本的連結也可從 [身分識別工具] 頁面的 [Microsoft Defender 全面偵測回應 > 取得。
部署適用於身分識別的Defender
準備好系統之後,請使用下列步驟來部署適用於身分識別的Defender:
- 確認與適用於身分識別的 Defender 服務的連線。
- 下載適用於身分識別的 Defender 感測器。
- 安裝適用於身分識別的Defender感測器。
- 設定適用於身分識別的 Defender 感測器 以開始接收數據。
部署後設定
下列程式可協助您完成部署程式:
設定 Windows 事件集合。 如需詳細資訊,請參閱事件收集與 適用於身分識別的 Microsoft Defender 和設定 Windows 事件記錄的稽核策略。
設定目錄服務帳戶 (DSA) 以與適用於身分識別的 Defender 搭配使用。 在某些案例中,DSA 是選擇性的,但建議您為適用於身分識別的 Defender 設定 DSA,以取得完整的安全性涵蓋範圍。
視需要設定對SAM 的遠端呼叫。 雖然此步驟是選擇性的,但建議您使用適用於身分識別的 Defender 來設定 SAM-R 的遠端呼叫,以進行橫向動作路徑偵測。
重要
在AD FS / AD CS 伺服器上安裝適用於身分識別的Defender感測器需要額外的步驟。 如需詳細資訊,請參閱 設定AD FS和AD CS的感測器。