Compartir a través de

Integración de VPN de Defender for Identity en Microsoft Defender XDR

  • Artículo

Microsoft Defender for Identity puede integrarse con la solución VPN escuchando los eventos de contabilidad RADIUS reenviados a los sensores de Defender for Identity, como las direcciones IP y las ubicaciones donde se originaron las conexiones. Los datos de contabilidad de VPN pueden ayudar a las investigaciones proporcionando más información sobre la actividad del usuario, como las ubicaciones desde las que los equipos se conectan a la red y una detección adicional para conexiones VPN anómalas.

La integración de VPN de Defender for Identity se basa en la contabilidad RADIUS estándar (RFC 2866) y admite los siguientes proveedores de VPN:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

La integración de VPN no se admite en entornos que cumplen con los estándares federales de procesamiento de información (FIPS)

La integración de VPN de Defender for Identity admite los UPN principales y los nombres principales de usuario alternativos. Las llamadas para resolver direcciones IP externas a una ubicación son anónimas y no se envía ningún identificador personal en la llamada.

Requisitos previos

Antes de empezar, asegúrese de que tiene:

  • Microsoft Defender for Identity implementado

  • Acceso al área Configuración de Microsoft Defender XDR. Para obtener más información, consulte Microsoft Defender for Identity grupos de roles.

  • La capacidad de configurar RADIUS en el sistema VPN.

    En este artículo se proporciona un ejemplo de cómo configurar Microsoft Defender for Identity para recopilar información de contabilidad de soluciones VPN mediante el enrutamiento de Microsoft y el servidor de acceso remoto (RRAS). Si usa una solución VPN de terceros, consulte su documentación para obtener instrucciones sobre cómo habilitar la contabilidad RADIUS.

Nota:

Al configurar la integración de VPN, el sensor de Defender for Identity habilita una directiva de firewall de Windows aprovisionada previamente denominada Microsoft Defender for Identity Sensor. Esta directiva permite la contabilidad RADIUS entrante en el puerto UDP 1813.

Configuración de la contabilidad radius en el sistema VPN

En este procedimiento se describe cómo configurar la contabilidad RADIUS en un servidor RRAS para integrar un sistema VPN con Defender for Identity. Las instrucciones del sistema pueden diferir.

En el servidor RRAS:

  1. Abra la consola enrutamiento y acceso remoto .

  2. Haga clic con el botón derecho en el nombre del servidor y seleccione Propiedades.

  3. En la pestaña Seguridad, en Proveedor de contabilidad, seleccioneConfiguraciónde contabilidad> RADIUS. Por ejemplo:

    Captura de pantalla de la pestaña Seguridad.

  4. En el cuadro de diálogo Agregar servidor RADIUS , escriba el nombre del servidor del sensor de Defender for Identity más cercano con conectividad de red. Para lograr alta disponibilidad, puede agregar más sensores de Defender for Identity como servidores RADIUS.

  5. En Puerto, asegúrese de que el valor predeterminado de 1813 está configurado.

  6. Seleccione Cambiar y escriba una nueva cadena secreta compartida de caracteres alfanuméricos. Tome nota de la nueva cadena secreta compartida, ya que la necesitará más adelante al configurar la integración de VPN en Defender for Identity.

  7. Active la casilla Enviar mensajes de cuenta RADIUS activada y sin contabilidad y seleccione Aceptar en todos los cuadros de diálogo abiertos. Por ejemplo:

    Captura de pantalla del botón Send RADIUS Account On and Accounting Off messages (Enviar mensajes de cuenta RADIUS activada y sin contabilidad).

Configuración de VPN en Defender for Identity

En este procedimiento se describe cómo configurar la integración de VPN de Defender for Identity en Microsoft Defender XDR.

  1. Inicie sesión en Microsoft Defender XDR y seleccione Configuración>Identidades>VPN.

  2. Seleccione Habilitar la contabilidad de radio y escriba el secreto compartido que ha configurado anteriormente en el servidor VPN de RRAS. Por ejemplo:

    Captura de pantalla de la opción Habilitar la contabilidad de radio.

  3. Seleccione Guardar para continuar.

Una vez que haya guardado la selección, los sensores de Defender for Identity comenzarán a escuchar en el puerto 1813 los eventos de contabilidad radius y la configuración de VPN se completa.

Cuando el sensor de Defender for Identity recibe eventos VPN y los envía al servicio en la nube de Defender for Identity para su procesamiento, el perfil de entidad indica las distintas ubicaciones de VPN a las que se ha accedido y las actividades de perfil indican ubicaciones.

Contenido relacionado

Para obtener más información, consulte Configuración de la colección de eventos.