Microsoft Defender for Identity, har ni gjort rätt?

Publicerad 1 september 2023 i Advitum Svarar, Blogginlägg, Nyheter
Seth Lindholm, Lösningsarkitekt hos Advitum

Microsoft Defender for Identity är ett utmärkt verktyg för att säkra upp ert företags identiteter. Det är rätt lätt att installera sensorerna på AD maskinerna on prem. Lite för lätt, man installerar sensorerna och gör lite GPOer för att loggar skall flöda.

 

Erfarenheter från fältet

Jag har i ett flertal miljöer där MDI redan är installerat kört scriptet som finns framtaget för att säkerställa att allt är rätt konfigurerat och sett att man missat viktiga loggar, eller ibland inte aktiverat dem alls.

Det enda som är värre än att inte veta om man är skyddad är att tro att man är skyddad när det inte stämmer.

Så även om du vet att ni installerat MDI rätt, ta 15 minuter och säkerställ det. Det är ganska enkelt men om du vill hjälper jag gärna till.

Hur gör man för att kontrollera sin MDI lösning?

Man kör ett script som heter Microsoft MDI readiness.
Microsoft-Defender-for-Identity/Test-MdiReadiness/Test-MdiReadiness.ps1 at main · microsoft/Microsoft-Defender-for-Identity · GitHub

När du kör scriptet kommer det att kunna generera incidenter eller events i securityportalen. Det är främst på grund av att scriptet körs mot domänkontrollanterna, så har ni en säkerhetsavdelning är det fint att informera om att man kommer köra scriptet och notera vilket klockslag som det körs. Detta för att slippa generera false positives.

När scriptet körts så kommer det att skapa 2 filer en .json och en HTML fil som du kan öppna för att få en grafisk rapport på vad som saknas eller om er miljö skickar rätt loggar, gör den det så blir det grönt och fint. Förutom att köra scriptet kan du kontrollera sensorerna du installerat i security portalen men det är inte hela sannigen, den får du först om du kör scriptet.

MDI Readiness report

Hoppsan det blev rött!

Har något visat sig rött i rapporten så finns det länkar direkt i rapporten som tar dig till rätt ställe i Microsofts dokumentation för att rätta till det. Generellt finns dokumentationen på länken nedan men går man via rapporten guidas man till rätt del i dokumentationen.

Microsoft Defender for Identity documentation – Microsoft Defender for Identity | Microsoft Learn

Vill du ha hjälp med att kontrollera er MDI eller kontrollera säkerheten generellt i er Microsoft 365 miljö så finns vi på Advitum redo för att hjälpa till. Ha en bra höst och har du kommit ända hit, ta då 15 minuter och få koll på att er MDI är rätt uppsatt.

 

 

Seth Lindholm

070-149 08 41

seth.lindholm@advitum.se

Tillbaka

Prenumerera på Advitums nyhetsbrev

Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.