Del via

Microsoft Defender for Identity-arkitektur

  • Artikel

Microsoft Defender for Identity overvåger dine domænecontrollere ved at registrere og fortolke netværkstrafik, udnytte Windows-hændelser direkte fra dine domænecontrollere og derefter analysere dataene for angreb og trusler.

På følgende billede kan du se, hvordan Defender for Identity er lagdelt over Microsoft Defender XDR og arbejder sammen med andre Microsoft-tjenester og identitetsudbydere fra tredjepart om at overvåge trafik, der kommer ind fra domænecontrollere og Active Directory-servere.

Diagram over Defender for Identity-arkitekturen.

Defender for Identity-sensoren er installeret direkte på domænecontrollerens, Active Directory Federation Services- (AD FS) eller AD CS-servere (Active Directory Certificate Services). Når loggene og netværkstrafikken fortolkes af sensoren, sender Defender for Identity kun de fortolkede oplysninger til cloudtjenesten Defender for Identity.

Defender for Identity-komponenter

Defender for Identity består af følgende komponenter:

  • Microsoft Defender-portal
    På Microsoft Defender-portalen oprettes arbejdsområdet Defender for Identity, de data, der modtages fra Defender for Identity-sensorer, vises, og du kan overvåge, administrere og undersøge trusler i dit netværksmiljø.

  • Defender for Identity-sensor Defender for Identity-sensorer kan installeres direkte på følgende servere:

    • Domænecontrollere: Sensoren overvåger direkte trafikken på domænecontrollere uden behov for en dedikeret server eller konfiguration af portspejling.
    • AD FS/AD CS: Sensoren overvåger direkte netværkstrafik og godkendelseshændelser.

  • Defender for Identity-cloudtjeneste
    Defender for Identity-cloudtjenesten kører på Azure-infrastruktur og er i øjeblikket udrullet i Europa, Storbritannien, Schweiz, Nordamerika/Mellemamerika/Caribien, Det østlige Australien, Asien og Indien. Cloudtjenesten Defender for Identity er forbundet med Microsofts intelligente sikkerhedsgraf.

Microsoft Defender-portal

Brug portalen Microsoft Defender til at:

  • Opret arbejdsområdet Defender for Identity.
  • Integrer med andre Microsoft-sikkerhedstjenester.
  • Administrer konfigurationsindstillinger for Defender for identitetssensor.
  • Vis data, der er modtaget fra Defender for Identity-sensorer.
  • Overvåg registrerede mistænkelige aktiviteter og mistænkelige angreb baseret på modellen til drabskæden.
  • Valgfrit: Portalen kan også konfigureres til at sende mails og hændelser, når der registreres sikkerhedsbeskeder eller tilstandsproblemer.

Bemærk!

Hvis der ikke er installeret nogen sensor på dit Defender for Identity-arbejdsområde inden for 60 dage, kan arbejdsområdet blive slettet, og du skal oprette det igen.

Defender for Identity-sensor

Defender for Identity-sensoren har følgende kernefunktionalitet:

  • Registrer og undersøg domænecontrollerens netværkstrafik (domænecontrollerens lokale trafik)
  • Modtag Windows-hændelser direkte fra domænecontrollere
  • Modtag RADIUS-regnskabsoplysninger fra din VPN-udbyder
  • Hent data om brugere og computere fra Active Directory-domænet
  • Udfør opløsning af netværksenheder (brugere, grupper og computere)
  • Overfør relevante data til cloudtjenesten Defender for Identity

Defender for Identity-sensor læser hændelser lokalt uden at skulle købe og vedligeholde yderligere hardware eller konfigurationer. Defender for Identity-sensoren understøtter også Hændelsessporing til Windows (ETW), som indeholder logoplysningerne for flere registreringer. ETW-baserede registreringer omfatter mistænkte DCShadow-angreb, der er forsøgt ved hjælp af replikeringsanmodninger for domænecontrollere og hævning af domænecontrollere.

Processen Domænesynkron synchronizer

Processen for domænesynkronisk synkronisering er ansvarlig for at synkronisere alle enheder fra et bestemt Active Directory-domæne proaktivt (svarer til den mekanisme, der bruges af domænecontrollerne selv til replikering). Én sensor vælges automatisk tilfældigt fra alle dine kvalificerede sensorer til at fungere som domænesynkroniseret.

Hvis domænesynkroniserer er offline i mere end 30 minutter, vælges der automatisk en anden sensor i stedet.

Ressourcebegrænsninger

Defender for Identity-sensoren indeholder en overvågningskomponent, der evaluerer den tilgængelige beregnings- og hukommelseskapacitet på den server, hvor den kører. Overvågningsprocessen kører hvert 10. sekund og opdaterer dynamisk kvoten for CPU- og hukommelsesudnyttelse i Defender for Identity-sensorprocessen. Overvågningsprocessen sikrer, at serveren altid har mindst 15 % af de gratis beregnings- og hukommelsesressourcer tilgængelige.

Uanset hvad der sker på serveren, frigør overvågningsprocessen løbende ressourcer for at sikre, at serverens kernefunktionalitet aldrig påvirkes.

Hvis overvågningsprocessen medfører, at Defender for Identity-sensoren løber tør for ressourcer, overvåges kun delvis trafik, og tilstandsadvarslen "Mistet portspejlet netværkstrafik" vises på siden Defender for Identity-sensoren.

Windows-hændelser

For at forbedre Defender for Identity Detection-dækning relateret til NTLM-godkendelser, ændringer af følsomme grupper og oprettelse af mistænkelige tjenester analyserer Defender for Identity loggene for bestemte Windows-hændelser.

Hvis du vil sikre dig, at loggene læses, skal du sørge for, at de avancerede indstillinger for overvågningspolitik er konfigureret korrekt i Defender for Identity-sensoren. Hvis du vil sikre dig, at Windows Event 8004 overvåges efter behov af tjenesten, skal du gennemse dine NTLM-overvågningsindstillinger

Næste trin

Udrul Microsoft Defender for Identity med Microsoft Defender XDR