Condividi tramite

Integrazione della VPN defender per identità in Microsoft Defender XDR

  • Articolo

Microsoft Defender per identità può integrarsi con la soluzione VPN ascoltando gli eventi di contabilità RADIUS inoltrati ai sensori defender per identità, ad esempio gli indirizzi IP e le posizioni in cui hanno avuto origine le connessioni. I dati di contabilità VPN possono aiutare le indagini fornendo altre informazioni sulle attività degli utenti, ad esempio le posizioni da cui i computer si connettono alla rete e un rilevamento aggiuntivo per le connessioni VPN anomale.

L'integrazione VPN di Defender per identità si basa sulla contabilità RADIUS standard (RFC 2866) e supporta i fornitori DI VPN seguenti:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

L'integrazione VPN non è supportata negli ambienti che rispettano gli standard fips (Federal Information Processing Standards)

L'integrazione VPN di Defender per identità supporta sia gli UPN primari che i nomi di entità utente alternativi. Le chiamate per risolvere gli indirizzi IP esterni in una posizione sono anonime e non viene inviato alcun identificatore personale nella chiamata.

Prerequisiti

Prima di iniziare, assicurarsi di avere:

  • Microsoft Defender per identità distribuito

  • Accesso all'area Impostazioni in Microsoft Defender XDR. Per altre informazioni, vedere Microsoft Defender per identità gruppi di ruoli.

  • Possibilità di configurare RADIUS nel sistema VPN.

    Questo articolo fornisce un esempio di come configurare Microsoft Defender per identità per raccogliere informazioni di contabilità da soluzioni VPN, usando Microsoft Routing e Remote Access Server (RRAS). Se si usa una soluzione VPN di terze parti, consultare la relativa documentazione per istruzioni su come abilitare la contabilità RADIUS.

Nota

Quando si configura l'integrazione VPN, il sensore Defender per identità abilita un criterio windows firewall di cui è stato effettuato il provisioning preliminare denominato sensore Microsoft Defender per identità. Questo criterio consente la contabilità RADIUS in ingresso sulla porta UDP 1813.

Configurare la contabilità RADIUS nel sistema VPN

Questa procedura descrive come configurare la contabilità RADIUS in un server RRAS per l'integrazione di un sistema VPN con Defender per identità. Le istruzioni del sistema potrebbero essere diverse.

Nel server RRAS:

  1. Aprire la console Routing e Accesso remoto .

  2. Fare clic con il pulsante destro del mouse sul nome del server e scegliere Proprietà.

  3. Nella scheda Sicurezza, in Provider di contabilità, selezionare RADIUS AccountingConfigure (Configura contabilità > RADIUS). Ad esempio:

    Screenshot della scheda Sicurezza.

  4. Nella finestra di dialogo Aggiungi server RADIUS immettere il nome del server del sensore Defender per identità più vicino con connettività di rete. Per la disponibilità elevata, è possibile aggiungere altri sensori defender per identità come server RADIUS.

  5. In Porta verificare che il valore predefinito di 1813 sia configurato.

  6. Selezionare Cambia e immettere una nuova stringa di segreto condiviso di caratteri alfanumerici. Prendere nota della nuova stringa di segreto condiviso, perché sarà necessaria in un secondo momento durante la configurazione dell'integrazione VPN in Defender per identità.

  7. Selezionare la casella Invia messaggi di invio account RADIUS On e Accounting Off e selezionare OK in tutte le finestre di dialogo aperte. Ad esempio:

    Screenshot del pulsante Invia messaggi di invio account RADIUS on e accounting off.

Configurare la VPN in Defender per identità

Questa procedura descrive come configurare l'integrazione VPN di Defender per identità in Microsoft Defender XDR.

  1. Accedere Microsoft Defender XDR e selezionare Impostazioni>Identità>VPN.

  2. Selezionare Abilita contabilità radius e immettere il segreto condiviso configurato in precedenza nel server VPN RRAS. Ad esempio:

    Screenshot dell'opzione Abilita contabilità radius.

  3. Selezionare Salva per continuare.

Dopo aver salvato la selezione, i sensori defender per identità iniziano l'ascolto sulla porta 1813 per gli eventi di contabilità RADIUS e la configurazione della VPN è completa.

Quando il sensore Defender per identità riceve gli eventi VPN e li invia al servizio cloud Defender for Identity per l'elaborazione, il profilo di entità indica posizioni VPN distinte a cui si è effettuato l'accesso e le attività del profilo indicano le posizioni.

Contenuto correlato

Per altre informazioni, vedere Configurare la raccolta di eventi.