Microsoft Defender for Identity implementeren met Microsoft Defender XDR
Dit artikel bevat een overzicht van het volledige implementatieproces voor Microsoft Defender for Identity, inclusief stappen voor voorbereiding, implementatie en extra stappen voor specifieke scenario's.
Defender for Identity is een primair onderdeel van een Zero Trust-strategie en uw ITDR(Identity Threat Detection and Response) of XDR-implementatie (Extended Detection and Response) met Microsoft Defender XDR. Defender for Identity gebruikt Active Directory-signalen om plotselinge accountwijzigingen te detecteren, zoals escalatie van bevoegdheden of laterale bewegingen met een hoog risico, en rapporteert over eenvoudig misbruikte identiteitsproblemen, zoals niet-getrainde Kerberos-delegatie, voor correctie door het beveiligingsteam.
Zie de handleiding Snelle installatie voor een snelle set implementatie-hoogtepunten.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u ten minste als beveiligingsbeheerder toegang hebt tot Microsoft Defender XDR en dat u een van de volgende licenties hebt:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5-beveiliging*
- Microsoft 365 F5 Security + Compliance*
- Een zelfstandige Defender for Identity-licentie
* Voor beide F5-licenties is Microsoft 365 F1/F3 of Office 365 F3 en Enterprise Mobility + Security E3 vereist.
Koop licenties rechtstreeks via de Microsoft 365-portal of gebruik het CSP-licentiemodel (Cloud Solution Partner).
Zie Veelgestelde vragen over licenties en privacy en wat zijn Defender for Identity-rollen en -machtigingen voor meer informatie?
Microsoft Defender XDR gebruiken
In deze sectie wordt beschreven hoe u begint met onboarden bij Defender for Identity.
- Meld u aan bij de Microsoft Defender-portal.
- Selecteer in het navigatiemenu een item, zoals Incidenten en waarschuwingen, Opsporing, Actiecentrum of Bedreigingsanalyse om het onboardingproces te starten.
Vervolgens krijgt u de mogelijkheid om ondersteunde services te implementeren, waaronder Microsoft Defender for Identity. Cloudonderdelen die vereist zijn voor Defender for Identity worden automatisch toegevoegd wanneer u de pagina Defender for Identity-instellingen opent.
Zie voor meer informatie:
- Microsoft Defender for Identity in Microsoft Defender XDR
- Aan de slag met Microsoft Defender XDR
- Microsoft Defender XDR inschakelen
- Ondersteunde services implementeren
- Veelgestelde vragen bij het inschakelen van Microsoft Defender XDR
Belangrijk
Momenteel worden Defender for Identity-datacenters geïmplementeerd in Europa, HET VK, Noord-Amerika/Centraal-Amerika/Caribisch gebied, Australië - oost en Azië. Uw werkruimte (instantie) wordt automatisch gemaakt in de Azure-regio die zich het dichtst bij de geografische locatie van uw Microsoft Entra-tenant bevindt. Na het maken zijn Defender for Identity-werkruimten niet meer verplaatsbaar.
Plannen en voorbereiden
Gebruik de volgende stappen om de implementatie van Defender for Identity voor te bereiden:
Zorg ervoor dat u aan alle vereisten voldoet.
Tip
U wordt aangeraden het script Test-MdiReadiness.ps1 uit te voeren om te testen en te zien of uw omgeving aan de vereiste vereisten voldoet.
De koppeling naar het script Test-MdiReadiness.ps1 is ook beschikbaar via Microsoft Defender XDR, op de pagina Hulpprogramma's voor identiteiten > (preview).
Defender for Identity implementeren
Nadat u uw systeem hebt voorbereid, gebruikt u de volgende stappen om Defender for Identity te implementeren:
- Controleer de verbinding met de Defender for Identity-service.
- Download de Defender for Identity-sensor.
- Installeer de Defender for Identity-sensor.
- Configureer de Defender for Identity-sensor om gegevens te ontvangen.
Configuratie na implementatie
Met de volgende procedures kunt u het implementatieproces voltooien:
Windows-gebeurtenisverzameling configureren. Zie Gebeurtenisverzameling met Microsoft Defender for Identity en auditbeleid configureren voor Windows-gebeurtenislogboeken voor meer informatie.
Geïntegreerde op rollen gebaseerd toegangsbeheer (RBAC) voor Defender for Identity inschakelen en configureren.
Configureer een Directory Service-account (DSA) voor gebruik met Defender for Identity. Hoewel een DSA in sommige scenario's optioneel is, raden we u aan om een DSA voor Defender for Identity te configureren voor volledige beveiligingsdekking.
Configureer indien nodig externe aanroepen naar SAM . Hoewel deze stap optioneel is, raden we u aan externe aanroepen naar SAM-R te configureren voor detectie van laterale verplaatsingspaden met Defender for Identity.
Belangrijk
Voor het installeren van een Defender for Identity-sensor op een AD FS-/AD CS-server zijn extra stappen vereist. Zie Sensoren configureren voor AD FS en AD CS voor meer informatie.