Integrace sítě VPN služby Defender for Identity v Microsoft Defender XDR
Microsoft Defender for Identity se můžou integrovat s vaším řešením VPN tak, že naslouchají událostem monitorování účtů RADIUS předávaným senzorům Defenderu for Identity, jako jsou IP adresy a umístění, ze kterých připojení pochází. Účetní data sítě VPN vám můžou pomoct při vyšetřování tím, že poskytují další informace o aktivitách uživatelů, například umístění, ze kterých se počítače připojují k síti, a další detekci neobvyklých připojení VPN.
Integrace sítě VPN služby Defender for Identity je založená na standardním monitorování protokolu RADIUS (RFC 2866) a podporuje následující dodavatele sítě VPN:
- Microsoft
- F5
- Check Point
- Cisco ASA
Integrace sítě VPN není podporována v prostředích, která se drží standardu FIPS (Federal Information Processing Standards).
Integrace sítě VPN služby Defender for Identity podporuje primární hlavní názvy uživatelů (UPN) i alternativní hlavní názvy uživatelů. Volání za účelem překladu externích IP adres do umístění jsou anonymní a při volání se neposílají žádné osobní identifikátory.
Požadavky
Než začnete, ujistěte se, že máte:
Přístup k oblasti Nastavení v Microsoft Defender XDR. Další informace najdete v tématu Microsoft Defender for Identity skupin rolí.
Možnost konfigurace protokolu RADIUS v systému VPN.
Tento článek obsahuje příklad konfigurace Microsoft Defender for Identity pro shromažďování informací o účetnictví z řešení VPN pomocí serveru RRAS (Microsoft Routing and Remote Access Server). Pokud používáte řešení VPN od jiného výrobce, přečtěte si jeho dokumentaci, kde najdete pokyny k povolení monitorování účtů radius.
Poznámka
Když nakonfigurujete integraci sítě VPN, senzor Defenderu for Identity povolí předem zřízenou zásadu brány windows firewall s názvem Microsoft Defender for Identity Sensor. Tato zásada umožňuje příchozí monitorování účtů protokolu RADIUS na portu UDP 1813.
Konfigurace monitorování účtů radius v systému VPN
Tento postup popisuje, jak nakonfigurovat monitorování účtů radius na serveru RRAS pro integraci systému VPN se službou Defender for Identity. Pokyny vašeho systému se můžou lišit.
Na serveru RRAS:
Otevřete konzolu Směrování a vzdálený přístup .
Klikněte pravým tlačítkem na název serveru a vyberte Vlastnosti.
Na kartě Zabezpečení v části Poskytovatel monitorování účtů vyberteÚčetnický> účet PROTOKOLU RADIUSKonfigurovat. Příklady:
V dialogovém okně Přidat server RADIUS zadejte Název serveru nejbližšího senzoru Defender for Identity s připojením k síti. Pro zajištění vysoké dostupnosti můžete jako servery RADIUS přidat další senzory Defenderu for Identity.
V části Port se ujistěte, že je nakonfigurovaná výchozí hodnota
1813.Vyberte Změnit a zadejte nový sdílený tajný řetězec alfanumerických znaků. Poznamenejte si nový sdílený tajný řetězec, protože ho budete potřebovat později při konfiguraci integrace VPN v Defenderu for Identity.
Zaškrtněte políčko Odeslat zprávy Radius Account On a Accounting Off a ve všech otevřených dialogových oknech vyberte OK . Příklady:
Konfigurace sítě VPN v Defenderu for Identity
Tento postup popisuje, jak nakonfigurovat integraci sítě VPN služby Defender for Identity v Microsoft Defender XDR.
Přihlaste se k Microsoft Defender XDR a vyberte Nastavení>Identity VPN>.
Vyberte Povolit monitorování účtů radius a zadejte sdílený tajný klíč , který jste předtím nakonfigurovali na serveru RRAS VPN. Příklady:
Pokračujte výběrem možnosti Uložit .
Po uložení výběru začnou senzory Defenderu for Identity na portu 1813 naslouchat událostem účtování protokolu RADIUS a nastavení sítě VPN je hotové.
Když senzor Defenderu for Identity přijme události VPN a odešle je ke zpracování do cloudové služby Defender for Identity, profil entity označuje různá umístění VPN, ke kterým se přistupovalo, a aktivity profilu označují umístění.
Související obsah
Další informace najdete v tématu Konfigurace shromažďování událostí.