Překlad síťových názvů v Microsoft Defender for Identity

Překlad síťových názvů (NNR) je hlavní součástí funkcí Microsoft Defender for Identity. Defender for Identity zachytává aktivity na základě síťového provozu, událostí Systému Windows a Trasování událostí pro Windows – tyto aktivity obvykle obsahují data IP adres.

Pomocí služby NNR může Defender for Identity korelovat mezi nezpracované aktivity (obsahující IP adresy) a příslušnými počítači, které jsou součástí každé aktivity. Na základě nezpracovaných aktivit Defender for Identity profiluje entity, včetně počítačů, a generuje výstrahy zabezpečení pro podezřelé aktivity.

Pokud chcete přeložit IP adresy na názvy počítačů, vyhledá senzory Defenderu for Identity IP adresy pomocí následujících metod:

Primární metody:

• PROTOKOL NTLM přes RPC (port TCP 135)
• NetBIOS (port UDP 137)
• RDP (port TCP 3389) – pouze první paket služby Client Hello

Sekundární metoda:

• Dotazuje server DNS pomocí zpětného vyhledávání DNS IP adresy (UDP 53).

Pokud chcete dosáhnout nejlepších výsledků, doporučujeme použít alespoň jednu z primárních metod. Zpětné vyhledávání DNS IP adresy se provádí pouze v těchto případech:

• Žádná z primárních metod neobsahuje žádnou odpověď.
• V odpovědi přijaté ze dvou nebo více primárních metod došlo ke konfliktu.

Poznámka

Na žádném z portů se neprovádí žádné ověřování.

Defender for Identity vyhodnocuje a určuje operační systém zařízení na základě síťového provozu. Po načtení názvu počítače senzor Defenderu for Identity zkontroluje Službu Active Directory a pomocí otisků prstů protokolu TCP zjistí, jestli existuje korelovaný objekt počítače se stejným názvem počítače. Použití otisků prstů PROTOKOLU TCP pomáhá identifikovat neregistrovaná zařízení a zařízení, která nejsou v systému Windows, a pomáhá tak v procesu vyšetřování. Když senzor Defenderu for Identity najde korelaci, přidruží IP adresu k objektu počítače.

V případech, kdy se nenačte žádný název, se vytvoří nevyřešený profil počítače podle IP adresy s příslušnou zjištěnou aktivitou.

Data NNR jsou zásadní pro detekci následujících hrozeb:

• Podezření na krádež identity (pass-the-ticket)
• Podezřelý útok DCSync (replikace adresářových služeb)
• Rekognoskace mapování sítě (DNS)

Aby se zlepšila vaše schopnost určit, jestli je výstraha pravdivě pozitivní (TP) nebo falešně pozitivní (FP), defender for Identity zahrnuje stupeň jistoty, že se názvy počítačů přeloží do důkazů o každé výstraze zabezpečení.

Pokud jsou například názvy počítačů přeloženy s vysokou jistotou , zvyšuje se tím spolehlivost výsledné výstrahy zabezpečení jako pravdivě pozitivní nebo TP.

Mezi důkazy patří čas, IP adresa a název počítače, na který byla IP adresa přeložena. Pokud je jistota řešení nízká, použijte tyto informace k prozkoumání a ověření, které zařízení bylo v tuto chvíli skutečným zdrojem IP adresy. Po potvrzení zařízení pak můžete zjistit, jestli je výstraha falešně pozitivní nebo FP, podobně jako v následujících příkladech:

• Podezření na krádež identity (pass-the-ticket) – upozornění se aktivovalo pro stejný počítač.

• Podezřelý útok DCSync (replikace adresářových služeb) – výstraha se aktivovala z řadiče domény.

• Rekognoskace mapování sítě (DNS) – výstraha se aktivovala ze serveru DNS.

  

Doporučení ke konfiguraci

• PROTOKOL NTLM přes RPC:

  • Zkontrolujte, že port TCP 135 je otevřený pro příchozí komunikaci z Defenderu for Identity Sensors na všech počítačích v prostředí.
  • Zkontrolujte všechny konfigurace sítě (brány firewall), protože to může zabránit komunikaci s příslušnými porty.

• Rozhraní netbios:

  • Zkontrolujte, že port UDP 137 je otevřený pro příchozí komunikaci z Defenderu for Identity Sensors na všech počítačích v prostředí.
  • Zkontrolujte všechny konfigurace sítě (brány firewall), protože to může zabránit komunikaci s příslušnými porty.

• RDP:

  • Zkontrolujte, že port TCP 3389 je otevřený pro příchozí komunikaci ze senzorů Defenderu for Identity na všech počítačích v prostředí.
  • Zkontrolujte všechny konfigurace sítě (brány firewall), protože to může zabránit komunikaci s příslušnými porty.

  Poznámka

  • Vyžaduje se jenom jeden z těchto protokolů, ale doporučujeme použít všechny.
  • Přizpůsobené porty RDP se nepodporují.

• Reverzní DNS:

  • Zkontrolujte, jestli se senzor může spojit se serverem DNS a jestli jsou povolené zóny zpětného vyhledávání.

Problémy se stavem

Aby defender for Identity fungoval ideálně a prostředí je správně nakonfigurované, Defender for Identity zkontroluje stav řešení každého senzoru a vydá upozornění na stav podle metody a poskytne seznam senzorů Defenderu for Identity s nízkou úspěšností při překladu aktivních ip adres pomocí každé metody.

Poznámka

Pokud chcete v Defenderu for Identity zakázat volitelnou metodu NNR tak, aby vyhovovala potřebám vašeho prostředí, otevřete případ podpory.

Každé upozornění na stav obsahuje konkrétní podrobnosti o metodě, senzorech, problematických zásadách a také doporučení ke konfiguraci. Další informace o problémech se stavem najdete v tématu Microsoft Defender for Identity problémy se stavem senzoru.

Viz taky

• Požadavky na Defender for Identity
• Konfigurace shromažďování událostí
• Podívejte se na fórum Defender for Identity!