Jaa

Microsoft Defender for Identity -arkkitehtuuri

  • Artikkeli

Microsoft Defender for Identity valvoo toimialueen ohjauskoneita sieppaamalla ja jäsentämällä verkkoliikennettä, hyödyntämällä Windows-tapahtumia suoraan toimialueen ohjauskoneista ja analysoimalla sitten tietoja hyökkäysten ja uhkien varalta.

Seuraavassa kuvassa näkyy, miten Defender for Identity kerrostetaan Microsoft Defender XDR ja miten se toimii yhdessä muiden Microsoft-palveluiden ja kolmansien osapuolten tunnistetietopalvelujen kanssa valvomaan toimialueen ohjauskoneista ja Active Directory -palvelimista tulevaa liikennettä.

Defender for Identity -arkkitehtuurin kaavio.

Suoraan toimialueen ohjauskoneeseen, Active Directory -liittoutumispalvelut (AD FS) tai Active Directory Certificate Services (AD CS) -palvelimiin asennettu Defender for Identity -tunnistin käyttää tarvitsemiaan tapahtumalokeja suoraan palvelimista. Kun tunnistin on jäsentänyt lokit ja verkkoliikenteen, Defender for Identity lähettää vain jäsenntyneet tiedot Defender for Identity -pilvipalveluun.

Defender for Identity -osat

Defender for Identity koostuu seuraavista osista:

  • Microsoft Defender -portaali
    Microsoft Defender-portaali luo Defender for Identity -työtilan, näyttää Defender for Identity -tunnistimista vastaanotetut tiedot ja mahdollistaa verkkoympäristösi uhkien seurannan, hallinnan ja tutkimisen.

  • Defender for Identity -tunnistin Defender for Identity -tunnistimet voidaan asentaa suoraan seuraaviin palvelimiin:

    • Toimialueen ohjauskoneet: Tunnistin valvoo suoraan toimialueen ohjauskoneen liikennettä ilman erillistä palvelinta tai porttipelauksen määritystä.
    • AD FS / AD CS: Tunnistin valvoo suoraan verkkoliikennettä ja todentamistapahtumia.

  • Defender for Identity -pilvipalvelu
    Defender for Identity -pilvipalvelu toimii Azure-infrastruktuurissa, ja se on tällä hetkellä käytössä Euroopassa, Isossa-Britanniassa, Sveitsissä, Pohjois-Amerikka/Keski-Amerikassa/Karibialla, Australiassa, idässä, Aasiassa ja Intiassa. Defender for Identity -pilvipalvelu on yhdistetty Microsoftin älykkääseen suojauskaavioon.

Microsoft Defender -portaali

Microsoft Defender portaalin avulla voit tehdä seuraavaa:

  • Luo Defender for Identity -työtila.
  • Integroi muihin Microsoftin suojauspalveluihin.
  • Hallitse Defender for Identity -tunnistimen määritysasetuksia.
  • Näytä Defenderiltä vastaanotetut käyttäjätietotunnistimien tiedot.
  • Valvonta havaitsi epäilyttäviä toimia ja epäiltyjä hyökkäyksiä hyökkäyksen tappoketjumallin perusteella.
  • Valinnainen: Portaali voidaan myös määrittää lähettämään sähköpostiviestejä ja tapahtumia, kun suojausilmoituksia tai kunto-ongelmia havaitaan.

Huomautus

Jos Defender for Identity -työtilaan ei ole asennettu tunnistinta 60 päivän kuluessa, työtila voidaan poistaa ja sinun on luotava se uudelleen.

Defender for Identity -tunnistin

Defender for Identity -tunnistimella on seuraavat perustoiminnot:

  • Sieppaa ja tarkista toimialueen ohjauskoneen verkkoliikenne (toimialueen ohjauskoneen paikallinen liikenne)
  • Vastaanota Windows-tapahtumia suoraan toimialueen ohjauskoneista
  • Vastaanota RADIUS-kirjanpitotietoja VPN-palveluntarjoajaltasi
  • Käyttäjien ja tietokoneiden tietojen noutaminen Active Directory -toimialueelta
  • Verkkoentiteettien (käyttäjien, ryhmien ja tietokoneiden) resoluutio
  • Asianmukaisten tietojen siirtäminen Defender for Identity -pilvipalveluun

Defender for Identity -tunnistin lukee tapahtumat paikallisesti ilman tarvetta ostaa ja ylläpitää muita laitteistoja tai määrityksiä. Defender for Identity -tunnistin tukee myös Windowsin tapahtumien seurantaa (ETW), joka tarjoaa lokitiedot useille tunnistuksille. ETW-pohjaisia tunnistuksia ovat epäillyt DCShadow-hyökkäykset, joita yritetään toimialueen ohjauskoneen replikointipyyntöjen ja toimialueen ohjauskoneen ylentämisen avulla.

Toimialueen synkronointiprosessi

Toimialueen synkronointiprosessi on vastuussa kaikkien entiteettien synkronoinnista tietystä Active Directory -toimialueesta ennakoivasti (samankaltainen kuin mekanismi, jota toimialueen ohjauskoneet käyttävät itse replikointiin). Yksi tunnistin valitaan automaattisesti satunnaisesti kaikista kelvollisista tunnistimista toimialueen synkronointiohjelmaksi.

Jos toimialueen synkronointiohjelma on offline-tilassa yli 30 minuuttia, toinen tunnistin valitaan sen sijaan automaattisesti.

Resurssirajoitukset

Defender for Identity -tunnistin sisältää valvontakomponentin, joka arvioi käytettävissä olevan käsittely- ja muistikapasiteetin palvelimessa, jossa se on käynnissä. Valvontaprosessi suoritetaan 10 sekunnin välein, ja se päivittää dynaamisesti suorittimen ja muistin käyttökiintiön Defender for Identity -tunnistinprosessissa. Valvontaprosessi varmistaa, että palvelimessa on aina vähintään 15 % vapaasta käsittely- ja muistiresursseista.

Riippumatta siitä, mitä palvelimessa tapahtuu, valvontaprosessi vapauttaa jatkuvasti resursseja sen varmistamiseksi, ettei tämä vaikuta palvelimen ydintoimintoihin.

Jos valvontaprosessi aiheuttaa sen, että Defender for Identity -tunnistimen resurssit loppuvat, vain osittaista liikennettä valvotaan ja kuntohälytys "Pudotettu portti peilattu verkkoliikenne" näkyy Defender for Identity -tunnistimen sivulla.

Windows-tapahtumat

Parantaakseen Defender for Identityn tunnistamisen kattavuutta, joka liittyy NTLM-todennuksiin, luottamuksellisten ryhmien muutoksiin ja epäilyttävien palvelujen luomiseen, Defender for Identity analysoi tiettyjen Windows-tapahtumien lokit.

Jos haluat varmistaa, että lokit luetaan, varmista, että Defender for Identity -tunnistimella on kehittyneet valvontakäytäntöasetukset määritetty oikein. Jos haluat varmistaa, että palvelu seuraa Windowsin tapahtumaa 8004 tarvittaessa, tarkista NTLM-valvonta-asetukset

Seuraavat vaiheet

Microsoft Defender for Identity käyttöönotto Microsoft Defender XDR kanssa