Defender for Identity VPN-integration i Microsoft Defender XDR

Microsoft Defender for Identity kan integreres med din VPN-løsning ved at lytte til RADIUS-regnskabshændelser, der videresendes til Defender for Identity-sensorer, f.eks. IP-adresser og placeringer, hvor forbindelserne stammer fra. VPN-regnskabsdata kan hjælpe dine undersøgelser ved at angive flere oplysninger om brugeraktivitet, f.eks. de placeringer, hvorfra computere opretter forbindelse til netværket, og en ekstra registrering af unormale VPN-forbindelser.

Defender for Identity's VPN-integration er baseret på standard-RADIUS Accounting (RFC 2866) og understøtter følgende VPN-leverandører:

• Microsoft
• F5
• Kontrolpunkt
• Cisco ASA

VPN-integration understøttes ikke i miljøer, der overholder FIPS (Federal Information Processing Standards)

Defender for Identity's VPN-integration understøtter både primære UPN'er og alternative brugernavne. Opkald til løsning af eksterne IP-adresser til en placering er anonyme, og der sendes ikke noget personligt id i opkaldet.

Forudsætninger

Før du starter, skal du sørge for, at du har:

• Microsoft Defender for Identity installeret

• Adgang til området Indstillinger i Microsoft Defender XDR. Du kan få flere oplysninger under Microsoft Defender for Identity rollegrupper.

• Muligheden for at konfigurere RADIUS på VPN-systemet.

  Denne artikel indeholder et eksempel på, hvordan du konfigurerer Microsoft Defender for Identity til at indsamle regnskabsoplysninger fra VPN-løsninger ved hjælp af Microsoft Routing and Remote Access Server (RRAS). Hvis du bruger en VPN-løsning fra tredjepart, kan du finde oplysninger om, hvordan du aktiverer RADIUS Accounting, i dokumentationen.

Bemærk!

Når du konfigurerer VPN-integrationen, aktiverer Defender for Identity-sensoren en forudinstalleret Windows-firewallpolitik, der kaldes Microsoft Defender for Identity Sensor. Denne politik tillader indgående RADIUS-bogføring på port UDP 1813.

Konfigurer RADIUS-bogføring på VPN-systemet

I denne procedure beskrives det, hvordan du konfigurerer RADIUS-regnskab på en RRAS-server til integration af et VPN-system med Defender for Identity. Systemets instruktioner kan variere.

På RRAS-serveren:

1. Åbn konsollen Routing og Remote Access .

2. Højreklik på servernavnet, og vælg Egenskaber.

3. Under fanen Sikkerhed under Regnskabsprovider skal du vælge RADIUS Konfiguration af regnskab>. Det kan f.eks. være:

   

4. I dialogboksen Tilføj RADIUS-server skal du angive servernavnet på den nærmeste Defender for Identity-sensor med netværksforbindelse. Hvis du vil have høj tilgængelighed, kan du tilføje flere Defender for Identity-sensorer som RADIUS-servere.

5. Kontrollér, at standardværdien for 1813 er konfigureret under Port.

6. Vælg Skift , og angiv en ny delt hemmelig streng med alfanumeriske tegn. Notér dig den nye delte hemmelige streng, da du skal bruge den senere, når du konfigurerer VPN-integrationen i Defender for Identity.

7. Markér afkrydsningsfeltet Send RADIUS-konto til og fra-konti, og vælg OK i alle åbne dialogbokse. Det kan f.eks. være:

   

Konfigurer VPN i Defender for Identity

I denne procedure beskrives det, hvordan du konfigurerer Defender for Identity's VPN-integration i Microsoft Defender XDR.

1. Log på Microsoft Defender XDR, og vælg Indstillinger>Identiteter>VPN.

2. Vælg Aktivér radiusregnskab, og angiv den delte hemmelighed , du tidligere har konfigureret på RRAS VPN-serveren. Det kan f.eks. være:

   

3. Vælg Gem for at fortsætte.

Når du har gemt dit valg, begynder dine Defender for Identity-sensorer at lytte på port 1813 til RADIUS-regnskabshændelser, og din VPN-konfiguration er fuldført.

Når Defender for Identity-sensoren modtager VPN-hændelser og sender dem til cloudtjenesten Defender for Identity til behandling, angiver enhedsprofilen særskilte VPN-placeringer, der blev tilgået, og profilaktiviteter angiver placeringer.

Relateret indhold

Du kan få flere oplysninger under Konfigurer hændelsessamling.