Menyebarkan Microsoft Defender untuk Identitas dengan Microsoft Defender XDR
Artikel ini memberikan gambaran umum tentang proses penyebaran penuh untuk Microsoft Defender untuk Identitas, termasuk langkah-langkah untuk persiapan, penyebaran, dan langkah tambahan untuk skenario tertentu.
Defender for Identity adalah komponen utama dari strategi Zero Trust dan deteksi dan respons ancaman identitas (ITDR) Atau penyebaran deteksi dan respons yang diperluas (XDR) dengan Microsoft Defender XDR. Defender for Identity menggunakan sinyal Direktori Aktif untuk mendeteksi perubahan akun mendadak seperti eskalasi hak istimewa atau gerakan lateral berisiko tinggi, dan melaporkan masalah identitas yang mudah dieksploitasi seperti delegasi Kerberos yang tidak dibatasi, untuk koreksi oleh tim keamanan.
Untuk serangkaian sorotan penyebaran cepat, lihat Panduan penginstalan cepat.
Prasyarat
Sebelum memulai, pastikan Anda memiliki akses ke Microsoft Defender XDR setidaknya sebagai administrator Keamanan, dan Anda memiliki salah satu lisensi berikut:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Keamanan Microsoft 365 E5/A5/G5/F5*
- Keamanan + Kepatuhan Microsoft 365 F5*
- Lisensi Defender for Identity mandiri
* Kedua lisensi F5 memerlukan Microsoft 365 F1/F3 atau Office 365 F3 dan Enterprise Mobility + Security E3.
Dapatkan lisensi langsung melalui portal Microsoft 365 atau gunakan model lisensi Mitra Solusi Cloud (CSP).
Untuk informasi selengkapnya, lihat Tanya Jawab Umum lisensi dan privasi dan Apa itu peran dan izin Defender for Identity?
Mulai menggunakan Pertahanan Microsoft XDR
Bagian ini menjelaskan cara mulai onboarding ke Defender for Identity.
- Masuk ke portal Pertahanan Microsoft.
- Dari menu navigasi, pilih item apa pun, seperti Insiden & pemberitahuan, Perburuan, Pusat tindakan, atau Analitik ancaman untuk memulai proses onboarding.
Anda kemudian akan diberi opsi untuk menyebarkan layanan yang didukung, termasuk Microsoft Defender untuk Identitas. Komponen cloud yang diperlukan untuk Defender for Identity secara otomatis ditambahkan saat Anda membuka halaman Pengaturan pertahanan untuk Identitas.
Untuk informasi selengkapnya, lihat:
- Microsoft Defender untuk Identitas di Pertahanan Microsoft XDR
- Mulai menggunakan Microsoft Defender XDR
- Mengaktifkan Pertahanan Microsoft XDR
- Menyebarkan layanan yang didukung
- Tanya jawab umum saat mengaktifkan Pertahanan Microsoft XDR
Penting
Saat ini, pusat data Defender for Identity disebarkan di Eropa, Inggris, Amerika Utara/Amerika Tengah/Karibia, Australia Timur, dan Asia. Ruang kerja Anda (instans) dibuat secara otomatis di wilayah Azure yang paling dekat dengan lokasi geografis penyewa Microsoft Entra Anda. Setelah dibuat, ruang kerja Defender for Identity tidak dapat bergerak.
Merencanakan dan menyiapkan
Gunakan langkah-langkah berikut untuk mempersiapkan penyebaran Defender for Identity:
Pastikan Anda memiliki semua prasyarat yang diperlukan.
Rencanakan kapasitas Defender for Identity Anda.
Tip
Sebaiknya jalankan skrip Test-MdiReadiness.ps1 untuk menguji dan melihat apakah lingkungan Anda memiliki prasyarat yang diperlukan.
Tautan ke skrip Test-MdiReadiness.ps1 juga tersedia dari Microsoft Defender XDR, pada halaman Alat Identitas > (Pratinjau).
Menyebarkan Defender untuk Identitas
Setelah menyiapkan sistem, gunakan langkah-langkah berikut untuk menyebarkan Defender for Identity:
- Verifikasi konektivitas ke layanan Defender for Identity.
- Unduh sensor Defender for Identity.
- Instal sensor Defender for Identity.
- Konfigurasikan sensor Defender for Identity untuk mulai menerima data.
Konfigurasi pascapenyebaran
Prosedur berikut membantu Anda menyelesaikan proses penyebaran:
Mengonfigurasi kumpulan peristiwa Windows. Untuk informasi selengkapnya, lihat Kumpulan peristiwa dengan Microsoft Defender untuk Identitas dan Mengonfigurasi kebijakan audit untuk log peristiwa Windows.
Mengaktifkan dan mengonfigurasi kontrol akses berbasis peran terpadu (RBAC) untuk Defender for Identity.
Konfigurasikan akun Layanan Direktori (DSA) untuk digunakan dengan Defender for Identity. Meskipun DSA bersifat opsional dalam beberapa skenario, kami sarankan Anda mengonfigurasi DSA untuk Defender for Identity untuk cakupan keamanan penuh.
Konfigurasikan panggilan jarak jauh ke SAM sesuai kebutuhan. Meskipun langkah ini bersifat opsional, kami sarankan Anda mengonfigurasi panggilan jarak jauh ke SAM-R untuk deteksi jalur gerakan lateral dengan Defender untuk Identitas.
Penting
Menginstal sensor Defender for Identity di server AD FS/AD CS memerlukan langkah tambahan. Untuk informasi selengkapnya, lihat Mengonfigurasi sensor untuk Layanan Federasi Direktori Aktif dan AD CS.