次の方法で共有

Microsoft Defender XDRでの Defender for Identity VPN の統合

  • [アーティクル]

Microsoft Defender for Identityは、接続が発生した IP アドレスや場所など、Defender for Identity センサーに転送される RADIUS アカウンティング イベントをリッスンすることで、VPN ソリューションと統合できます。 VPN アカウンティング データは、コンピューターがネットワークに接続している場所や、異常な VPN 接続の追加検出など、ユーザー アクティビティに関する詳細情報を提供することで、調査に役立ちます。

Defender for Identity の VPN 統合は、標準の RADIUS アカウンティング (RFC 2866) に基づいており、次の VPN ベンダーをサポートしています。

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

VPN 統合は、連邦情報処理標準 (FIPS) に準拠している環境ではサポートされていません

Defender for Identity の VPN 統合では、プライマリ UPN と代替ユーザー プリンシパル名の両方がサポートされています。 外部 IP アドレスを特定の場所に解決するための呼び出しは匿名であり、呼び出しでは個人識別子は送信されません。

前提条件

開始する前に、次の点を確認してください。

  • デプロイMicrosoft Defender for Identity

  • Microsoft Defender XDRの [設定] 領域にアクセスします。 詳細については、「Microsoft Defender for Identity役割グループ」を参照してください。

  • VPN システムで RADIUS を構成する機能。

    この記事では、Microsoft ルーティングとリモート アクセス サーバー (RRAS) を使用して、VPN ソリューションからアカウンティング情報を収集するようにMicrosoft Defender for Identityを構成する方法の例を示します。 サード パーティ製 VPN ソリューションを使用している場合は、RADIUS アカウンティングを有効にする方法に関するドキュメントを参照してください。

注:

VPN 統合を構成すると、Defender for Identity センサーによって、Microsoft Defender for Identity センサーと呼ばれる事前プロビジョニング済みの Windows ファイアウォール ポリシーが有効になります。 このポリシーでは、ポート UDP 1813 で受信 RADIUS アカウンティングを許可します。

VPN システムで RADIUS アカウンティングを構成する

この手順では、VPN システムと Defender for Identity を統合するために RRAS サーバーで RADIUS アカウンティングを構成する方法について説明します。 システムの指示が異なる場合があります。

RRAS サーバーで次の手順を実行します

  1. ルーティングとリモート アクセス コンソールを開きます。

  2. サーバー名を右クリックし、[プロパティ] を選択 します

  3. [ セキュリティ ] タブの [ アカウンティング プロバイダー] で、[ RADIUS アカウンティング>構成] を選択します。 以下に例を示します。

    [セキュリティ] タブのスクリーンショット。

  4. [ RADIUS サーバーの追加 ] ダイアログで、ネットワーク接続を使用して最も近い Defender for Identity センサーの サーバー名 を入力します。 高可用性を実現するために、DEFENDER for Identity センサーを RADIUS サーバーとして追加できます。

  5. [ ポート] で、 1813 の既定値が構成されていることを確認します。

  6. [ 変更] を選択し、英数字の新しい共有シークレット文字列を入力します。 Defender for Identity で VPN 統合を構成するときに後で必要になるので、新しい共有シークレット文字列を書き留めておきます。

  7. [ RADIUS アカウントのオンとアカウンティングオフのメッセージの送信 ] ボックスをオンにし、開いているすべてのダイアログ ボックスで [OK] を選択します 。 以下に例を示します。

    [RADIUS アカウントのオンとアカウンティングオフのメッセージの送信] ボタンのスクリーンショット。

Defender for Identity で VPN を構成する

この手順では、Microsoft Defender XDRで Defender for Identity の VPN 統合を構成する方法について説明します。

  1. Microsoft Defender XDRにサインインし、[設定>Identities>VPN] を選択します

  2. [ Enable radius accounting]\(半径アカウンティングを有効にする\) を 選択し、RRAS VPN サーバーで以前に構成した 共有シークレット を入力します。 以下に例を示します。

    [Enable radius accounting]\(半径アカウンティングを有効にする\) オプションのスクリーンショット。

  3. [ 保存] を選択 して続行します。

選択内容を保存した後、Defender for Identity センサーは RADIUS アカウンティング イベントのポート 1813 でリッスンを開始し、VPN のセットアップが完了します。

Defender for Identity センサーが VPN イベントを受信し、処理のために Defender for Identity クラウド サービスに送信すると、エンティティ プロファイルはアクセスされた個別の VPN の場所を示し、プロファイル アクティビティは場所を示します。

関連コンテンツ

詳細については、「 イベント コレクションの構成」を参照してください。