Freigeben über

Vpn-Integration von Defender for Identity in Microsoft Defender XDR

  • Artikel

Microsoft Defender for Identity können sich in Ihre VPN-Lösung integrieren, indem sie RADIUS-Buchhaltungsereignisse lauschen, die an Defender for Identity-Sensoren weitergeleitet werden, z. B. die IP-Adressen und Standorte, an denen die Verbindungen entstanden sind. VPN-Buchhaltungsdaten können Ihre Untersuchungen unterstützen, indem sie weitere Informationen zu Benutzeraktivitäten bereitstellen, z. B. die Standorte, von denen aus Computer eine Verbindung mit dem Netzwerk herstellen, und eine zusätzliche Erkennung für ungewöhnliche VPN-Verbindungen.

Die VPN-Integration von Defender for Identity basiert auf standard RADIUS Accounting (RFC 2866) und unterstützt die folgenden VPN-Anbieter:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

Die VPN-Integration wird in Umgebungen, die den FIPS-Standards (Federal Information Processing Standards) entsprechen, nicht unterstützt.

Die VPN-Integration von Defender for Identity unterstützt sowohl primäre UPNs als auch alternative Benutzerprinzipalnamen. Aufrufe zum Auflösen externer IP-Adressen an einen Standort sind anonym, und im Anruf wird kein persönlicher Bezeichner gesendet.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Microsoft Defender for Identity bereitgestellt

  • Zugriff auf den Bereich Einstellungen in Microsoft Defender XDR. Weitere Informationen finden Sie unter Microsoft Defender for Identity Rollengruppen.

  • Die Möglichkeit, RADIUS auf Ihrem VPN-System zu konfigurieren.

    Dieser Artikel enthält ein Beispiel für das Konfigurieren von Microsoft Defender for Identity zum Sammeln von Buchhaltungsinformationen von VPN-Lösungen mithilfe von Microsoft Routing and REMOTE Access Server (RRAS). Wenn Sie eine VPN-Lösung eines Drittanbieters verwenden, lesen Sie deren Dokumentation, um Anweisungen zum Aktivieren der RADIUS-Buchhaltung zu erhalten.

Hinweis

Wenn Sie die VPN-Integration konfigurieren, aktiviert der Defender for Identity-Sensor eine vorab bereitgestellte Windows-Firewallrichtlinie namens Microsoft Defender for Identity Sensor. Diese Richtlinie lässt eingehende RADIUS-Buchhaltung an Port UDP 1813 zu.

Konfigurieren der RADIUS-Buchhaltung auf Ihrem VPN-System

In diesem Verfahren wird beschrieben, wie Sie die RADIUS-Buchhaltung auf einem RRAS-Server für die Integration eines VPN-Systems in Defender for Identity konfigurieren. Die Anweisungen Ihres Systems können abweichen.

Auf Ihrem RRAS-Server:

  1. Öffnen Sie die Routing- und RAS-Konsole .

  2. Klicken Sie mit der rechten Maustaste auf den Servernamen, und wählen Sie Eigenschaften aus.

  3. Wählen Sie auf der Registerkarte Sicherheit unter Buchhaltungsanbieter die Option RADIUS-Buchhaltung>konfigurieren aus. Zum Beispiel:

    Screenshot der Registerkarte

  4. Geben Sie im Dialogfeld RADIUS-Server hinzufügen den Servernamen des nächstgelegenen Defender for Identity-Sensors mit Netzwerkkonnektivität ein. Für Hochverfügbarkeit können Sie weitere Defender for Identity-Sensoren als RADIUS-Server hinzufügen.

  5. Stellen Sie unter Port sicher, dass der Standardwert von 1813 konfiguriert ist.

  6. Wählen Sie Ändern aus, und geben Sie eine neue freigegebene geheime Zeichenfolge mit alphanumerischen Zeichen ein. Notieren Sie sich die neue Zeichenfolge des freigegebenen Geheimnisses, da Sie sie später beim Konfigurieren der VPN-Integration in Defender for Identity benötigen.

  7. Aktivieren Sie das Kontrollkästchen Nachrichten für RADIUS-Konto ein und Buchhaltung aus senden, und wählen Sie in allen geöffneten Dialogfeldern OK aus. Zum Beispiel:

    Screenshot der Schaltflächen

Konfigurieren von VPN in Defender for Identity

In diesem Verfahren wird beschrieben, wie Sie die VPN-Integration von Defender for Identity in Microsoft Defender XDR konfigurieren.

  1. Melden Sie sich bei Microsoft Defender XDR an, und wählen Sie Einstellungen>Identitäten>VPN aus.

  2. Wählen Sie Radius-Buchhaltung aktivieren aus, und geben Sie das gemeinsame Geheimnis ein, das Sie zuvor auf Ihrem RRAS-VPN-Server konfiguriert haben. Zum Beispiel:

    Screenshot der Option

  3. Wählen Sie Speichern aus, um den Vorgang fortzusetzen.

Nachdem Sie Ihre Auswahl gespeichert haben, lauschen Ihre Defender for Identity-Sensoren an Port 1813 auf RADIUS-Buchhaltungsereignisse, und Ihre VPN-Einrichtung ist abgeschlossen.

Wenn der Defender for Identity-Sensor VPN-Ereignisse empfängt und sie zur Verarbeitung an den Defender for Identity-Clouddienst sendet, gibt das Entitätsprofil unterschiedliche VPN-Standorte an, auf die zugegriffen wurde, und Profilaktivitäten geben Standorte an.

Verwandte Inhalte

Weitere Informationen finden Sie unter Konfigurieren der Ereignissammlung.