Partager via

Intégration vpn de Defender pour Identity dans Microsoft Defender XDR

  • Article

Microsoft Defender pour Identity pouvez intégrer à votre solution VPN en écoutant les événements de comptabilité RADIUS transférés aux capteurs Defender pour Identity, tels que les adresses IP et les emplacements d’origine des connexions. Les données de comptabilité VPN peuvent faciliter vos investigations en fournissant plus d’informations sur l’activité des utilisateurs, telles que les emplacements à partir desquels les ordinateurs se connectent au réseau, et une détection supplémentaire des connexions VPN anormales.

L’intégration VPN de Defender pour Identity est basée sur la comptabilité RADIUS standard (RFC 2866) et prend en charge les fournisseurs VPN suivants :

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

L’intégration VPN n’est pas prise en charge dans les environnements conformes aux normes FIPS (Federal Information Processing Standards)

L’intégration VPN de Defender pour Identity prend en charge les noms UPN principaux et les autres noms d’utilisateur principaux. Les appels pour résoudre les adresses IP externes à un emplacement sont anonymes et aucun identificateur personnel n’est envoyé dans l’appel.

Configuration requise

Avant de commencer, vérifiez que vous disposez des points suivants :

  • Microsoft Defender pour Identity déployée

  • Accès à la zone Paramètres dans Microsoft Defender XDR. Pour plus d’informations, consultez Microsoft Defender pour Identity groupes de rôles.

  • La possibilité de configurer RADIUS sur votre système VPN.

    Cet article fournit un exemple de configuration de Microsoft Defender pour Identity pour collecter des informations de comptabilité à partir de solutions VPN, à l’aide du serveur RRAS (Microsoft Routing and Remote Access Server). Si vous utilisez une solution VPN tierce, consultez leur documentation pour obtenir des instructions sur l’activation de la comptabilité RADIUS.

Remarque

Lorsque vous configurez l’intégration VPN, le capteur Defender pour Identity active une stratégie de pare-feu Windows préprovisionnée appelée capteur Microsoft Defender pour Identity. Cette stratégie autorise la comptabilité RADIUS entrante sur le port UDP 1813.

Configurer la comptabilité RADIUS sur votre système VPN

Cette procédure décrit comment configurer la comptabilité RADIUS sur un serveur RRAS pour l’intégration d’un système VPN à Defender pour Identity. Les instructions de votre système peuvent différer.

Sur votre serveur RRAS :

  1. Ouvrez la console Routage et accès à distance .

  2. Cliquez avec le bouton droit sur le nom du serveur, puis sélectionnez Propriétés.

  3. Sous l’onglet Sécurité , sous Fournisseur de comptabilité, sélectionnez Radius Comptabilité>Configurer. Par exemple :

    Capture d’écran de l’onglet Sécurité.

  4. Dans la boîte de dialogue Ajouter un serveur RADIUS , entrez le nom du serveur du capteur Defender pour Identity le plus proche avec connectivité réseau. Pour une haute disponibilité, vous pouvez ajouter d’autres capteurs Defender pour Identity en tant que serveurs RADIUS.

  5. Sous Port, vérifiez que la valeur par défaut de 1813 est configurée.

  6. Sélectionnez Modifier et entrez une nouvelle chaîne de secrets partagés de caractères alphanumériques. Notez la nouvelle chaîne de secret partagé, car vous en aurez besoin ultérieurement lors de la configuration de l’intégration VPN dans Defender pour Identity.

  7. Cochez les messages Envoyer un compte RADIUS activé et Comptabilité désactivée , puis sélectionnez OK dans toutes les boîtes de dialogue ouvertes. Par exemple :

    Capture d’écran des messages Envoyer un compte RADIUS activé et Comptabilité désactivée.

Configurer un VPN dans Defender pour Identity

Cette procédure décrit comment configurer l’intégration VPN de Defender pour Identity dans Microsoft Defender XDR.

  1. Connectez-vous à Microsoft Defender XDR et sélectionnez Paramètres>Identités>VPN.

  2. Sélectionnez Activer la comptabilité radius et entrez le secret partagé que vous avez configuré précédemment sur votre serveur VPN RRAS. Par exemple :

    Capture d’écran de l’option Activer la comptabilité radius.

  3. Sélectionnez Enregistrer pour continuer.

Une fois que vous avez enregistré votre sélection, vos capteurs Defender pour Identity commencent à écouter sur le port 1813 pour les événements de comptabilité RADIUS, et votre configuration VPN est terminée.

Lorsque le capteur Defender pour Identity reçoit des événements VPN et les envoie au service cloud Defender pour Identity pour traitement, le profil d’entité indique les emplacements VPN distincts qui ont été consultés et les activités de profil indiquent les emplacements.

Contenu connexe

Pour plus d’informations, consultez Configurer la collecte d’événements.