Del via

Arkitektur for Microsoft Defender for identitet

  • Artikkel

Microsoft Defender for identitet overvåker domenekontrollerne ved å registrere og analysere nettverkstrafikk, utnytte Windows-hendelser direkte fra domenekontrollerne og deretter analysere dataene for angrep og trusler.

Bildet nedenfor viser hvordan Defender for Identity er lagdelt over Microsoft Defender XDR, og samarbeider med andre Microsoft-tjenester og tredjeparts identitetsleverandører for å overvåke trafikk som kommer inn fra domenekontrollere og Active Directory-servere.

Diagram over defender for identitetsarkitekturen.

Defender for identity-sensoren installeres direkte på domenekontrolleren, Active Directory Federation Services (AD FS) eller Active Directory Certificate Services (AD CS)-servere, og åpner hendelsesloggene den krever direkte fra serverne. Etter at loggene og nettverkstrafikken er analysert av sensoren, sender Defender for Identity bare den analyserte informasjonen til Defender for Identity-skytjenesten.

Defender for Identity-komponenter

Defender for Identity består av følgende komponenter:

  • Microsoft Defender portal
    Microsoft Defender-portalen oppretter Defender for Identity-arbeidsområdet, viser dataene som er mottatt fra Defender for Identity-sensorer, og lar deg overvåke, administrere og undersøke trusler i nettverksmiljøet.

  • Defender for identitetssensor Defender for Identity-sensorer kan installeres direkte på følgende servere:

    • Domenekontrollere: Sensoren overvåker direkte domenekontrollertrafikk, uten behov for en dedikert server, eller konfigurasjon av portspeiling.
    • AD FS / AD CS: Sensoren overvåker direkte nettverkstrafikk og godkjenningshendelser.

  • Defender for identitetsskytjeneste
    Defender for Identity-skytjenesten kjører på Azure-infrastruktur og er for tiden distribuert i Europa, Storbritannia, Sveits, Nord-Amerika/Sentral-Amerika/Karibia, Australia, Øst, Asia og India. Defender for Identity-skytjenesten er koblet til Microsofts intelligente sikkerhetsgraf.

Microsoft Defender portal

Bruk Microsoft Defender-portalen til å:

  • Opprett defender for identitet-arbeidsområdet.
  • Integrer med andre Microsoft-sikkerhetstjenester.
  • Administrer konfigurasjonsinnstillinger for Defender for identitetssensor.
  • Vis data mottatt fra Defender for identitetssensorer.
  • Overvåk oppdaget mistenkelige aktiviteter og mistenkte angrep basert på angrepsdrepende kjedemodellen.
  • Valgfritt: Portalen kan også konfigureres til å sende e-postmeldinger og hendelser når sikkerhetsvarsler eller helseproblemer oppdages.

Obs!

Hvis ingen sensor er installert på Defender for Identity-arbeidsområdet innen 60 dager, kan arbeidsområdet bli slettet, og du må opprette det på nytt.

Defender for identitetssensor

Defender for Identity-sensoren har følgende kjernefunksjonalitet:

  • Registrere og undersøke nettverkstrafikk for domenekontroller (lokal trafikk for domenekontrolleren)
  • Motta Windows-hendelser direkte fra domenekontrollerne
  • Motta RADIUS-regnskapsinformasjon fra VPN-leverandøren
  • Hente data om brukere og datamaskiner fra Active Directory-domenet
  • Utfør oppløsning av nettverksenheter (brukere, grupper og datamaskiner)
  • Overføre relevante data til Skytjenesten Defender for Identitet

Defender for Identity-sensor leser hendelser lokalt, uten behov for å kjøpe og vedlikeholde ekstra maskinvare eller konfigurasjoner. Defender for Identity-sensoren støtter også hendelsessporing for Windows (ETW), som gir logginformasjon for flere gjenkjenninger. ETW-baserte gjenkjenninger inkluderer mistenkte DCShadow-angrep forsøkt ved hjelp av forespørsler om replikering av domenekontroller og nivåheving av domenekontroller.

Prosess for domenesynkronisering

Synkroniseringsprosessen for domenet er ansvarlig for å synkronisere alle enheter fra et bestemt Active Directory-domene proaktivt (på samme måte som mekanismen som brukes av domenekontrollørene selv for replikering). Én sensor velges automatisk tilfeldig fra alle kvalifiserte sensorer for å fungere som domenesynkronisering.

Hvis domenesynkroniseringsenheten er frakoblet i mer enn 30 minutter, velges en annen sensor automatisk i stedet.

Ressursbegrensninger

Defender for Identity-sensoren inkluderer en overvåkingskomponent som evaluerer den tilgjengelige databehandlings- og minnekapasiteten på serveren den kjører på. Overvåkingsprosessen kjører hvert 10. sekund og oppdaterer prosessor- og minnebrukskvoten dynamisk på sensorprosessen Defender for Identity. Overvåkingsprosessen sørger for at serveren alltid har minst 15 % ledig databehandling og minneressurser tilgjengelig.

Uansett hva som skjer på serveren, frigjør overvåkingsprosessen kontinuerlig ressurser for å sikre at serverens kjernefunksjonalitet aldri påvirkes.

Hvis overvåkingsprosessen fører til at Defender for Identity-sensoren går tom for ressurser, overvåkes bare delvis trafikk og tilstandsvarselet «Droppet port speilet nettverkstrafikk» vises på siden Defender for identitetssensor.

Windows-hendelser

For å forbedre Defender for identitetsgjenkjenningsdekning relatert til NTLM-godkjenninger, endringer i sensitive grupper og oppretting av mistenkelige tjenester, analyserer Defender for Identity loggene for bestemte Windows-hendelser.

Kontroller at Defender for Identity-sensoren har avanserte innstillinger for overvåkingspolicyer konfigurert på riktig måte for å sikre at loggene leses. Hvis du vil forsikre deg om at Windows Event 8004 overvåkes etter behov av tjenesten, kan du se gjennom NTLM-overvåkingsinnstillingene

Neste trinn:

Distribuer Microsoft Defender for identitet med Microsoft Defender XDR