Defender for Identityn VPN-integrointi Microsoft Defender XDR

Microsoft Defender for Identity voidaan integroida VPN-ratkaisuusi kuuntelemalla Defender for Identity -tunnistimia varten välitetyt RADIUS-kirjanpitotapahtumat, kuten IP-osoitteet ja sijainnit, joista yhteydet ovat peräisin. VPN-kirjanpitotiedot voivat auttaa tutkimuksissasi antamalla lisätietoja käyttäjän toiminnasta, kuten sijainnit, joista tietokoneet muodostavat yhteyden verkkoon, ja ylimääräinen tunnistaminen epänormaaleille VPN-yhteyksille.

Defender for Identityn VPN-integrointi perustuu vakiomuotoiseen RADIUS Accountingiin (RFC 2866) ja tukee seuraavia VPN-toimittajia:

• Microsoft
• F5
• Tarkistuspiste
• Cisco ASA

VPN-integrointia ei tueta ympäristöissä, jotka liittyvät Liittovaltion tietojenkäsittelystandardeihin (FIPS)

Defender for Identityn VPN-integrointi tukee sekä ensisijaista täydellinen käyttäjätunnusta että vaihtoehtoisia käyttäjänimiä. Ulkoisen IP-osoitteen ratkaisukutsut sijaintiin ovat anonyymejä, eikä puhelussa lähetetä henkilökohtaista tunnistetta.

Ennakkovaatimukset

Ennen kuin aloitat, varmista, että sinulla on:

• Microsoft Defender for Identity otettu käyttöön

• Microsoft Defender XDR Asetukset-alueen käyttöoikeus. Lisätietoja on artikkelissa Microsoft Defender for Identity rooliryhmät.

• Mahdollisuus määrittää RADIUS VPN-järjestelmässäsi.

  Tässä artikkelissa on esimerkki siitä, miten voit määrittää Microsoft Defender for Identity keräämään kirjanpitotietoja VPN-ratkaisuista Microsoft Routingin ja Remote Access Serverin (RRAS) avulla. Jos käytät kolmannen osapuolen VPN-ratkaisua, katso heidän ohjeistaan ohjeet RADIUS Accountingin käyttöönottoon.

Huomautus

Kun määrität VPN-integroinnin, Defender for Identity -tunnistin ottaa käyttöön esivalmistetun Windowsin palomuurikäytännön nimeltä Microsoft Defender for Identity Sensor. Tämä käytäntö sallii saapuvan RADIUS-kirjanpidon portissa UDP 1813.

RADIUS-kirjanpidon määrittäminen VPN-järjestelmässä

Tässä ohjeartikkelissa kuvataan, miten voit määrittää RRAS-palvelimen RADIUS-kirjanpidon VPN-järjestelmän integrointia varten Defender for Identityn kanssa. Järjestelmän ohjeet saattavat olla erilaiset.

RRAS-palvelimessa:

1. Avaa Reititys- ja etäkäyttökonsoli .

2. Napsauta palvelimen nimeä hiiren kakkospainikkeella ja valitse Ominaisuudet.

3. Valitse Suojaus-välilehdenKirjanpitopalvelu-kohdastaRADIUS Accounting>Configure. Esimerkki:

   

4. Kirjoita Lisää RADIUS-palvelin - valintaikkunaan lähimmän Verkkoyhteydessä olevan Defender for Identity -tunnistimen palvelimen nimi . Suuren käytettävyyden vuoksi voit lisätä Defender for Identity -tunnistimia RADIUS-palvelimina.

5. Varmista Port-kohdassa, että -kohdan oletusarvo 1813 on määritetty.

6. Valitse Muuta ja kirjoita uusi aakkosnumeeristen merkkien jaettu salasanamerkkijono. Pane muistiin uusi jaettu salainen merkkijono, sillä tarvitset sitä myöhemmin, kun määrität VPN-integrointia Defender for Identityssä.

7. Valitse Lähetä RADIUS-tili käytössä- ja Kirjanpidon käytöstä -viestit -ruutu ja valitse OK kaikissa avoimina valintaikkunoissa. Esimerkki:

   

VPN:n määrittäminen Defender for Identityssä

Tässä ohjeessa kuvataan, miten määritetään Defender käyttäjätietojen VPN-integroinnille Microsoft Defender XDR.

1. Kirjaudu sisään Microsoft Defender XDR ja valitse Asetukset>Käyttäjätiedot>VPN.

2. Valitse Ota käyttöön sädekirjanpito ja anna jaettu salaisuus, jonka olet aiemmin määrittänyt RRAS VPN -palvelimessa. Esimerkki:

   

3. Jatka valitsemalla Tallenna .

Kun olet tallentanut valintasi, Defender for Identity -tunnistimet alkavat kuunnella portin 1813 RADIUS-kirjanpitotapahtumia, ja VPN-määrityksesi on valmis.

Kun Defender for Identity -tunnistin vastaanottaa VPN-tapahtumia ja lähettää ne Defender for Identity -pilvipalveluun käsiteltäviksi, entiteettiprofiili ilmaisee erillisiä VPN-sijainteja, joita käytettiin, ja profiilitoiminnot osoittavat sijainnit.

Aiheeseen liittyvä sisältö

Lisätietoja on kohdassa Tapahtumakokoelman määrittäminen.