Distribuera Defender for Identity-sensorn v3.x

Distribuera Defender för identitetssensor v3.x på domänkontrollanter som stöds. Slutför de nödvändiga kontrollerna före aktiveringen och konfigurera sedan gransknings- och identitetsinställningar efteråt.

Innan du aktiverar

Slutför dessa kontroller innan du aktiverar sensorn.

Begränsningar för sensorversion

Observera att v3.x innan du aktiverar Defender for Identity-sensorn v3.x:

Serverkrav

Kontrollera att den server där du aktiverar sensorn:

  • Har Defender för Endpoint distribuerat på servern. Komponenten Microsoft Defender Antivirus kan vara i antingen aktivt eller passivt läge. Defender för Endpoint måste finnas på den server där sensorn körs. slutpunktsdistribution räcker inte.
  • Har inte en Defender for Identity-sensor v2.x redan distribuerad.
  • Körs Windows Server 2019 eller senare.
  • Innehåller den kumulativa uppdateringen mars 2026 eller senare .

Servertyper som stöds

v3.x-sensorn stöder domänkontrollanter, inklusive domänkontrollanter med följande identitetsroller:

  • Active Directory Federation Services (ADFS) (AD FS) (AD FS)
  • služba Active Directory Certificate Services (AD CS)
  • Microsoft Entra Connect

Använd Defender för identitetssensor v2.x för servrar som inte är domänkontrollanter och kör AD FS, AD CS eller Microsoft Entra Connect.

Licensieringskrav

Distribution av Defender for Identity kräver någon av följande Microsoft 365-licenser:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Säkerhet
  • Microsoft 365 F5 Säkerhet + efterlevnad*

Båda F5-licenserna kräver Microsoft 365 F1/F3 eller Office 365 F3 och Enterprise Mobility + Security E3. Köp licenser i Microsoft 365-portalen eller via CSP-licensiering (Cloud Solution Partner). Mer information finns i Vanliga frågor och svar om licensiering och sekretess.

Roller och behörigheter

  • Om du vill skapa din Defender for Identity-arbetsyta behöver du en Microsoft Entra ID klientorganisation.

  • Du måste antingen vara säkerhetsadministratör eller ha följande enhetliga RBAC-behörigheter :

    • System settings (Read and manage)
    • Security settings (All permissions)

Nätverkskrav

Defender for Identity-sensorn använder samma URI:er som Microsoft Defender för Endpoint. Granska följande dokument för Defender för Endpoint, baserat på systemets anslutning, för att hitta den fullständiga listan över nödvändiga tjänstslutpunkter.

Minneskrav

I följande tabell beskrivs minneskraven på den server som används för Defender for Identity-sensorn, beroende på vilken typ av virtualisering du använder:

Virtuell dator som körs på Beskrivning
Hyper-V Kontrollera att Aktivera dynamiskt minne inte är aktiverat för den virtuella datorn.
Vmware Kontrollera att mängden minne som konfigurerats och det reserverade minnet är detsamma, eller välj alternativet Reservera allt gästminne (alla låsta) i inställningarna för den virtuella datorn.
Annan virtualiseringsvärd Läs dokumentationen från leverantören om hur du ser till att minnet alltid är helt allokerat till de virtuella datorerna.

Viktigt

När du kör som en virtuell dator allokerar du alltid allt minne till den virtuella datorn.

Version 3 av sensorn förhindrar att sensorn överanvänder CPU eller minne genom att begränsa processoranvändningen till 30 % och minnesanvändningen till 1,5 GB. Men om någon annan tjänst använder betydande systemresurser kan domänkontrollanten fortfarande uppleva prestandabelastning.

Se dokumentationen om kapacitetsplanering för Defender for Identity för att avgöra om domänkontrollantservrarna har tillräckligt med resurser för en Microsoft Defender for Identity sensor.

Krav för tjänstkonto

v3.x-sensorn använder serverns lokala systemidentitet för služba Active Directory och svarsåtgärder. Den har inte stöd för katalogtjänstkonton (DSA) eller grupphanterade tjänstkonton (gMSA). LocalSystem är den enda identitet som stöds för v3.x.

Om du migrerar från sensor v2.x och tidigare hade en gMSA konfigurerad för åtgärdskonton måste du ta bort den. Om gMSA förblir aktiverat fungerar inte svarsåtgärder, inklusive attackstörningar.

Viktigt

I miljöer som använder både v2- och v3-sensorer använder du lokala systemkonton för alla dina sensorer.

Testa dina förutsättningar

Kör Test-MdiReadiness.ps1-skriptet för att testa om din miljö har de nödvändiga förutsättningarna.

DetTest-MdiReadiness.ps1 skriptet är också tillgängligt från Microsoft Defender XDR på sidan Identitetsverktyg > (förhandsversion).

Aktivera sensorn

När du har bekräftat alla krav aktiverar du sensorn från Microsoft Defender-portalen.

När du har aktiverat

Slutför de här konfigurationsstegen när sensorn har aktiverats och körs.

Konfigurera granskning av Windows-händelser

Defender for Identity förlitar sig på Windows-händelseloggar för många identifieringar. För v3.x-sensorer på domänkontrollanter aktiverar du automatisk granskning, som hanterar alla granskningsinställningar utan manuell konfiguration.

Om automatisk granskning inte är tillgängligt eller om du har avanmält dig konfigurerar du granskning manuellt eller använder PowerShell.

Konfigurera RPC-granskning

Att använda RPC-granskningstaggar på en enhet förbättrar säkerhetssynligheten och låser upp fler identitetsidentifieringar. När konfigurationen har tillämpats tillämpas den på alla befintliga och framtida enheter som matchar regelkriterierna. Taggarna visas i enhetsinventeringen för transparens och granskningsfunktioner.

Följande taggar är tillgängliga:

  • Unified Sensor RPC Audit: Möjliggör förbättrad RPC-granskning för avancerade identitetsidentifieringar.
  • Utökad sensorgranskning (förhandsversion): Aktiverar utökade RPC-granskningsfunktioner för ytterligare avancerade identitetsidentifieringar. Kräver den senaste kumulativa uppdateringen.

Så här använder du en tagg:

  1. I Microsoft Defender-portalen navigerar du till: Systeminställningar >> Microsoft Defender XDR > Hantering av tillgångsregler.

  2. Välj Skapa en ny regel.

    Skärmbild som visar hur du lägger till en ny regel.

  3. I sidopanelen:

    1. Ange ett regelnamn och en beskrivning.
    2. Ange regelvillkor med hjälp av Device name, Domaineller Device tag för att rikta de önskade datorerna. Måldomänkontrollanter med sensorn v3.x installerad.
    3. Kontrollera att Defender for Identity-sensorn v3.x redan har distribuerats på de valda enheterna.

  4. Lägg till önskad tagg (Unified Sensor RPC Audit eller Extended Sensor Audit) till de valda enheterna.

    Skärmbild som visar taggen Unified Sensor RPC Audit som tillämpas på en enhet i Hantering av tillgångsregel.

  5. Välj Nästa för att granska och slutföra skapandet av regeln och välj sedan Skicka. Det kan ta upp till en timme innan regeln börjar gälla.

Läs mer om tillgångshanteringsregler.

  • Ange Energialternativet för datorn som kör Defender for Identity-sensorn till Höga prestanda.
  • Synkronisera tiden på servrar och domänkontrollanter där du installerar sensorn till inom fem minuter från varandra.

Nästa steg

Aktivera Microsoft Defender for Identity-sensorn

  • Last updated on