Jaa

Verkon nimen ratkaisu Microsoft Defender for Identity

  • Artikkeli

Verkon nimen ratkaisu (NNR) on Microsoft Defender for Identity toiminnon pääkomponentti. Defender for Identity tallentaa verkkoliikenteeseen, Windows-tapahtumiin ja ETW:hen perustuvat toiminnot – nämä toiminnot sisältävät yleensä IP-tietoja.

NNR:n avulla Defender for Identity voi korreloida raakojen toimintojen (jotka sisältävät IP-osoitteet) ja kuhunkin toimintoon liittyvien tietokoneiden välillä. Raakatoimintojen perusteella Defender for Identity -profiilien entiteetit, mukaan lukien tietokoneet, ja luo suojaushälytyksiä epäilyttävistä toiminnoista.

Tietokonenimien IP-osoitteiden ratkaisemiseksi Defender for Identity -tunnistimet etsivät IP-osoitteet seuraavilla menetelmillä:

Ensisijaiset menetelmät:

  • NTLM RPC:n kautta (TCP-portti 135)
  • NetBIOS (UDP-portti 137)
  • RDP (TCP-portti 3389) – vain asiakkaan ensimmäinen paketti hei

Toissijainen menetelmä:

  • Lähettää DNS-palvelimelle kyselyn IP-osoitteen (UDP 53) käänteisellä DNS-haulla.

Parhaan tuloksen saat käyttämällä vähintään yhtä ensisijaista menetelmää. IP-osoitteen käänteinen DNS-haku suoritetaan vain seuraavissa tilanteissa:

  • Mikään tärkeimmistä menetelmistä ei vastaa.
  • Kahden tai useamman ensisijaisen menetelmän vastauksessa on ristiriita.

Huomautus

Mitään todentamista ei suoriteta missään portissa.

Defender for Identity arvioi ja määrittää laitteen käyttöjärjestelmän verkkoliikenteen perusteella. Kun tietokoneen nimi on noudettu, Defender for Identity -tunnistin tarkistaa Active Directoryn ja käyttää TCP-sormenjälkiä nähdäkseen, onko samanniminen korreloitu tietokoneobjekti. TCP-sormenjälkien käyttäminen auttaa tunnistamaan rekisteröimättömät ja muut laitteet kuin Windowsin, mikä auttaa tutkintaprosessissasi. Kun Defender for Identity -tunnistin löytää korrelaation, tunnistin liittää IP-osoitteen tietokoneen objektiin.

Jos nimeä ei noudeta, IP:n avulla luodaan ratkaisematon tietokoneprofiili IP: n ja kyseessä olevan havaitun toiminnan avulla.

NNR-tiedot ovat ratkaisevan tärkeitä seuraavien uhkien havaitsemiseksi:

  • Epäilty identiteettivarkaus (lipun läpäiseminen)
  • Epäilty DCSync-hyökkäys (hakemistopalvelujen replikointi)
  • Verkkoyhteenvetämisen tiedustelu (DNS)

Jotta voit parantaa kykyäsi määrittää, onko ilmoitus True Positive (TP) vai False Positive (FP), Defender for Identity sisältää varmuuden siitä, että tietokoneen nimeäminen ratkaistaan kunkin suojausilmoituksen todisteena.

Jos esimerkiksi tietokoneiden nimet ratkaistaan suurella varmuudella , luottamus suojaushälytykseen kasvaa true-positiivisena tai TP-arvona.

Todisteena on aika, IP ja tietokoneen nimi, johon IP-osoite ratkaistiin. Kun tarkkuusvarmuus on pieni, käytä näitä tietoja tutkimaan ja tarkistamaan, mikä laite oli IP-osoitteen todellinen lähde tällä hetkellä. Kun olet vahvistanut laitteen, voit selvittää, onko ilmoitus false-positiivinen vai FP, kuten seuraavissa esimerkeissä:

  • Epäilty identiteettivarkaus (pass-the-ticket) – hälytys käynnistettiin samalle tietokoneelle.

  • Epäilty DCSync-hyökkäys (hakemistopalvelujen replikointi) – hälytys käynnistettiin toimialueen ohjauskoneesta.

  • Verkkoyhdistämisen tiedustelu (DNS) – hälytys käynnistettiin DNS-palvelimesta.

    Todistevarmuuden.

Määrityssuositukset

  • NTLM RPC:n yli:

    • Tarkista, että TCP-portti 135 on avoinna Defender for Identity Sensorsin saapuvaa viestintää varten kaikissa ympäristön tietokoneissa.
    • Tarkista kaikki verkkomääritykset (palomuurit), sillä tämä voi estää tietoliikenteen asianmukaisiin portteihin.

  • Netbios:

    • Tarkista, että UDP-portti 137 on avoinna Defender for Identity Sensorsin saapuvalle viestinnälle kaikissa ympäristön tietokoneissa.
    • Tarkista kaikki verkkomääritykset (palomuurit), sillä tämä voi estää tietoliikenteen asianmukaisiin portteihin.

  • RDP:

    • Tarkista, että TCP-portti 3389 on avoinna Defender for Identity Sensorsin saapuvalle viestinnälle kaikissa ympäristön tietokoneissa.
    • Tarkista kaikki verkkomääritykset (palomuurit), sillä tämä voi estää tietoliikenteen asianmukaisiin portteihin.

    Huomautus

    • Vain yksi näistä protokollista vaaditaan, mutta suosittelemme käyttämään niitä kaikkia.
    • Mukautettuja RDP-portteja ei tueta.

  • Käänteinen DNS:

    • Tarkista, että tunnistin pääsee DNS-palvelimeen ja että käänteiset hakuvyöhykkeet ovat käytössä.

Terveysongelmat

Jotta Defender for Identity toimisi ihanteellisesti ja ympäristö on määritetty oikein, Defender for Identity tarkistaa kunkin tunnistimen ratkaisun tilan ja antaa kullekin menetelmälle kuntoilmoituksen ja antaa luettelon Defender for Identity -tunnistimista, joiden aktiivisen nimen tarkkuuden onnistumisaste on pieni jokaisella menetelmällä.

Huomautus

Jos haluat poistaa valinnaisen NNR-menetelmän käytöstä Defender for Identityssä ympäristösi tarpeisiin sopivaksi, avaa tukipyyntö.

Jokainen kuntohälytys sisältää tarkat tiedot menetelmästä, tunnistimista, ongelmallisesta käytännöstä sekä määrityssuosituksista. Lisätietoja terveysongelmista on kohdassa Microsoft Defender for Identity tunnistimen kunto-ongelmat.

Katso myös