Sdílet prostřednictvím

Architektura Microsoft Defender for Identity

  • Článek

Microsoft Defender for Identity monitoruje řadiče domény tím, že zachytává a parsuje síťový provoz, využívá události Windows přímo z řadičů domény a pak analyzuje data pro útoky a hrozby.

Následující obrázek ukazuje, jak je Defender for Identity vrstvený nad Microsoft Defender XDR a spolupracuje s dalšími službami Microsoftu a poskytovateli identit třetích stran při monitorování provozu přicházejícího z řadičů domény a serverů Active Directory.

Diagram architektury služby Defender for Identity

Senzor Defenderu for Identity, který je nainstalovaný přímo na řadiči domény, Active Directory Federation Services (AD FS) (AD FS) nebo ad cs (Active Directory Certificate Services), přistupuje k protokolům událostí, které vyžaduje, přímo ze serverů. Po analýze protokolů a síťového provozu senzorem odešle Defender for Identity do cloudové služby Defender for Identity pouze analyzované informace.

Součásti defenderu for Identity

Defender for Identity se skládá z následujících komponent:

  • Portál Microsoft Defender
    Portál Microsoft Defender vytvoří pracovní prostor Defenderu for Identity, zobrazí data přijatá ze senzorů Defenderu for Identity a umožňuje monitorovat, spravovat a prošetřovat hrozby v síťovém prostředí.

  • Senzor Defenderu for Identity Senzory defenderu for Identity je možné nainstalovat přímo na následující servery:

    • Řadiče domény: Senzor přímo monitoruje provoz řadiče domény bez nutnosti použití vyhrazeného serveru nebo konfigurace zrcadlení portů.
    • AD FS / AD CS: Senzor přímo monitoruje síťový provoz a události ověřování.

  • Cloudová služba Defender for Identity
    Cloudová služba Defender for Identity běží na infrastruktuře Azure a v současné době je nasazená v Evropě, Spojeném království, Švýcarsku, Severní Amerika, Střední Americe, Karibiku, Austrálii – východ, Asii a Indii. Cloudová služba Defender for Identity je připojená k inteligentnímu grafu zabezpečení Microsoftu.

Portál Microsoft Defender

Pomocí portálu Microsoft Defender můžete:

  • Vytvořte pracovní prostor Defenderu for Identity.
  • Integrace s dalšími službami zabezpečení Microsoftu
  • Správa nastavení konfigurace senzoru Defender for Identity
  • Zobrazení dat přijatých ze senzorů Defenderu for Identity
  • Monitorujte zjištěné podezřelé aktivity a podezřelé útoky na základě modelu řetězu útoků.
  • Volitelné: Portál je také možné nakonfigurovat tak, aby odesílal e-maily a události při zjištění výstrah zabezpečení nebo problémů se stavem.

Poznámka

Pokud do 60 dnů není v pracovním prostoru Defenderu for Identity nainstalovaný žádný senzor, může se pracovní prostor odstranit a budete ho muset znovu vytvořit.

Senzor Defenderu for Identity

Senzor Defenderu for Identity má následující základní funkce:

  • Zachytávání a kontrola síťového provozu řadiče domény (místní provoz řadiče domény)
  • Příjem událostí Windows přímo z řadičů domény
  • Příjem informací o monitorování účtů protokolu RADIUS od poskytovatele sítě VPN
  • Načtení dat o uživatelích a počítačích z domény služby Active Directory
  • Provedení překladu síťových entit (uživatelů, skupin a počítačů)
  • Přenos relevantních dat do cloudové služby Defender for Identity

Senzor Defenderu for Identity čte události místně, aniž by bylo nutné kupovat a udržovat další hardware nebo konfigurace. Senzor Defenderu for Identity také podporuje trasování událostí pro Windows (ETW), které poskytuje informace protokolu pro více detekcí. Mezi detekce založené na Trasování událostí pro Windows patří podezření na útoky DCShadow, o které se pokusili pomocí žádostí o replikaci řadiče domény a povýšení řadiče domény.

Proces synchronizátoru domény

Proces synchronizátoru domény zodpovídá za proaktivní synchronizaci všech entit z konkrétní domény služby Active Directory (podobně jako mechanismus používaný samotnými řadiči domény pro replikaci). Ze všech oprávněných senzorů se automaticky náhodně vybere jeden senzor, který bude sloužit jako synchronizátor domény.

Pokud je synchronizátor domény offline déle než 30 minut, vybere se místo toho automaticky jiný senzor.

Omezení prostředků

Senzor Defenderu for Identity zahrnuje monitorovací komponentu, která vyhodnocuje dostupnou výpočetní a paměťovou kapacitu na serveru, na kterém běží. Proces monitorování se spouští každých 10 sekund a dynamicky aktualizuje kvótu využití procesoru a paměti v procesu senzoru Defenderu for Identity. Proces monitorování zajišťuje, že server má vždy k dispozici alespoň 15 % volných výpočetních a paměťových prostředků.

Bez ohledu na to, co se děje na serveru, proces monitorování průběžně uvolňuje prostředky, aby se zajistilo, že základní funkce serveru nebudou nikdy ovlivněny.

Pokud proces monitorování způsobí, že senzor Defenderu for Identity dojde k vyčerpání prostředků, monitoruje se jenom částečný provoz a na stránce senzoru Defenderu for Identity se zobrazí upozornění na stav "Vyřazený síťový provoz se zrcadleným portem".

Události Windows

Aby defender for Identity vylepšil pokrytí detekce související s ověřováním NTLM, úpravami citlivých skupin a vytvářením podezřelých služeb, analyzuje Defender for Identity protokoly konkrétních událostí Windows.

Pokud chcete zajistit, aby se protokoly četly, ujistěte se, že senzor Defenderu for Identity má správně nakonfigurovaná pokročilá nastavení zásad auditu. Pokud se chcete ujistit, že je událost 8004 systému Windows auditována podle potřeby službou, zkontrolujte nastavení auditu protokolu NTLM.

Další krok

Nasazení Microsoft Defender for Identity pomocí Microsoft Defender XDR