Løsning af netværksnavn i Microsoft Defender for Identity

NNR (Network Name Resolution) er en hovedkomponent i Microsoft Defender for Identity funktionalitet. Defender for Identity registrerer aktiviteter baseret på netværkstrafik, Windows-hændelser og ETW – disse aktiviteter indeholder normalt IP-data.

Ved hjælp af NNR kan Defender for Identity korrelere mellem rå aktiviteter (der indeholder IP-adresser) og de relevante computere, der er involveret i hver aktivitet. På baggrund af de rå aktiviteter genererer Defender for Identity-profilobjekter, herunder computere, sikkerhedsbeskeder for mistænkelige aktiviteter.

Hvis du vil oversætte IP-adresser til computernavne, skal Defender for Identity-sensorer slå IP-adresserne op ved hjælp af følgende metoder:

Primære metoder:

• NTLM via RPC (TCP-port 135)
• NetBIOS (UDP-port 137)
• RDP (TCP-port 3389) – kun den første pakke klient hello

Sekundær metode:

• Sender forespørgsler til DNS-serveren ved hjælp af omvendt DNS-opslag for IP-adressen (UDP 53)

For at opnå de bedste resultater anbefaler vi, at du bruger mindst én af de primære metoder. Omvendt DNS-opslag for IP-adressen udføres kun, når:

• Der er intet svar fra nogen af de primære metoder.
• Der er en konflikt i det svar, der er modtaget fra to eller flere primære metoder.

Bemærk!

Der udføres ingen godkendelse på nogen af portene.

Defender for Identity evaluerer og bestemmer enhedens operativsystem baseret på netværkstrafik. Når computernavnet er hentet, kontrollerer Defender for Identity-sensoren Active Directory og bruger TCP-fingeraftryk til at se, om der er et korreleret computerobjekt med det samme computernavn. Brug af TCP-fingeraftryk hjælper med at identificere ikke-registrerede og ikke-Windows-enheder, hvilket er en hjælp i din undersøgelsesproces. Når Defender for Identity-sensoren finder korrelationen, knytter sensoren IP-adressen til computerobjektet.

I de tilfælde, hvor der ikke hentes noget navn, oprettes der en uløst computerprofil af IP med IP'en og den relevante registrerede aktivitet.

NNR-data er afgørende for at registrere følgende trusler:

• Mistanke om identitetstyveri (pass-the-ticket)
• Mistanke om DCSync-angreb (replikering af katalogtjenester)
• DNS (Network-Mapping Reconnaissance)

For at forbedre din evne til at afgøre, om en besked er en sand positiv (TP) eller falsk positiv (FP) indeholder Defender for Identity graden af sikkerhed for, at computer navngivning skal fortolkes i beviserne for hver sikkerhedsadvarsel.

Når computernavne f.eks. fortolkes med høj sikkerhed , øger det tilliden til den resulterende sikkerhedsadvarsel som en Sand positiv eller TP.

Beviserne omfatter den tid, IP og computernavn, som IP'en blev fortolket til. Når løsningssikkerhed er lav, kan du bruge disse oplysninger til at undersøge og kontrollere, hvilken enhed der var den sande kilde til IP-adressen på nuværende tidspunkt. Når du har bekræftet enheden, kan du derefter afgøre, om beskeden er falsk positiv eller FP, i lighed med følgende eksempler:

• Mistanke om identitetstyveri (pass-the-ticket) – beskeden blev udløst for den samme computer.

• Mistanke om DCSync-angreb (replikering af katalogtjenester) – beskeden blev udløst af en domænecontroller.

• DNS (Network-Mapping Reconnaissance) – beskeden blev udløst fra en DNS-server.

  

Konfigurationsanbefalinger

• NTLM via RPC:

  • Kontrollér, at TCP-port 135 er åben for indgående kommunikation fra Defender for Identity Sensors på alle computere i miljøet.
  • Kontrollér al netværkskonfiguration (firewalls), da dette kan forhindre kommunikation til de relevante porte.

• NetBIOS:

  • Kontrollér, at UDP Port 137 er åben for indgående kommunikation fra Defender for Identity Sensors på alle computere i miljøet.
  • Kontrollér al netværkskonfiguration (firewalls), da dette kan forhindre kommunikation til de relevante porte.

• RDP:

  • Kontrollér, at TCP-port 3389 er åben for indgående kommunikation fra Defender for Identity Sensors på alle computere i miljøet.
  • Kontrollér al netværkskonfiguration (firewalls), da dette kan forhindre kommunikation til de relevante porte.

  Bemærk!

  • Kun én af disse protokoller er påkrævet, men vi anbefaler, at du bruger dem alle.
  • Brugerdefinerede RDP-porte understøttes ikke.

• Omvendt DNS:

  • Kontrollér, at sensoren kan nå DNS-serveren, og at Omvendte opslagszoner er aktiveret.

Tilstandsproblemer

For at sikre at Defender for Identity fungerer ideelt set, og miljøet er konfigureret korrekt, kontrollerer Defender for Identity opløsningsstatus for hver sensor og udsteder en tilstandsadvarsel pr. metode, hvilket giver en liste over Defender for Identity-sensorerne med en lav succesrate for aktiv navneopløsning ved hjælp af hver metode.

Bemærk!

Hvis du vil deaktivere en valgfri NNR-metode i Defender for Identity, så den passer til behovene i dit miljø, skal du åbne en supportsag.

Hver sundhedsadvarsel indeholder specifikke oplysninger om metoden, sensorer, den problematiske politik samt konfigurationsanbefalinger. Du kan få flere oplysninger om tilstandsproblemer under Microsoft Defender for Identity problemer med sensortilstand.

Se også

• Forudsætninger for Defender for Identity
• Konfigurer hændelsessamling
• Se Defender for Identity-forummet!