Del via

Defender for Identity VPN-integrering i Microsoft Defender XDR

  • Artikkel

Microsoft Defender for identitet kan integreres med VPN-løsningen ved å lytte til RADIUS-regnskapshendelser videresendt til Defender for Identity-sensorer, for eksempel IP-adresser og plasseringer der tilkoblingene oppsto. VPN-regnskapsdata kan hjelpe dine undersøkelser ved å gi mer informasjon om brukeraktivitet, for eksempel plasseringene der datamaskinene kobler til nettverket, og en ekstra oppdagelse for unormale VPN-tilkoblinger.

Defender for Identitys VPN-integrasjon er basert på standard RADIUS Accounting (RFC 2866), og støtter følgende VPN-leverandører:

  • Microsoft
  • F5
  • Kontrollpunkt
  • Cisco ASA

VPN-integrasjon støttes ikke i miljøer som overholder Federal Information Processing Standards (FIPS)

Defender for Identitys VPN-integrasjon støtter både primære UPN-er og alternative brukerhovednavn. Anrop for å løse eksterne IP-adresser til en plassering er anonyme, og ingen personlig identifikator sendes i samtalen.

Forutsetninger

Før du begynner, må du kontrollere at du har:

  • Microsoft Defender for identitet distribuert

  • Tilgang til Innstillinger-området i Microsoft Defender XDR. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet rollegrupper.

  • Muligheten til å konfigurere RADIUS på VPN-systemet.

    Denne artikkelen inneholder et eksempel på hvordan du konfigurerer Microsoft Defender for identitet til å samle inn regnskapsinformasjon fra VPN-løsninger, ved hjelp av Microsoft Routing and Remote Access Server (RRAS). Hvis du bruker en tredjeparts VPN-løsning, kan du se dokumentasjonen deres for instruksjoner om hvordan du aktiverer RADIUS Accounting.

Obs!

Når du konfigurerer VPN-integreringen, aktiverer Defender for Identity-sensoren en forhåndsklarert Windows-brannmurpolicy kalt Microsoft Defender for identitet Sensor. Denne policyen tillater innkommende RADIUS Accounting på port-UDP 1813.

Konfigurer RADIUS-regnskap på VPN-systemet

Denne fremgangsmåten beskriver hvordan du konfigurerer RADIUS-regnskap på en RRAS-server for å integrere et VPN-system med Defender for Identity. Systemets instruksjoner kan variere.

På RRAS-serveren:

  1. Åpne rutings- og ekstern tilgangskonsollen.

  2. Høyreklikk på servernavnet, og velg Egenskaper.

  3. Velg RADIUS Accounting>Configure under Regnskapsleverandør i kategorien Sikkerhet. Eksempel:

    Skjermbilde av Sikkerhet-fanen.

  4. Skriv inn servernavnet til den nærmeste Defender for Identity-sensoren med nettverkstilkobling i dialogboksen Legg til RADIUS Server. For høy tilgjengelighet kan du legge til flere Defender for identitetssensorer som RADIUS-servere.

  5. Kontroller at standardverdien 1813 for port er konfigurert.

  6. Velg Endre , og skriv inn en ny delt hemmelig streng med alfanumeriske tegn. Noter deg den nye delte hemmelige strengen, slik du trenger den senere når du konfigurerer VPN-integreringen i Defender for Identity.

  7. Merk av for Send RADIUS-konto på og Regnskap av meldinger , og velg OK i alle åpne dialogbokser. Eksempel:

    Skjermbilde av knappen Send RADIUS-konto på og Regnskap av meldinger.

Konfigurer VPN i Defender for identitet

Denne fremgangsmåten beskriver hvordan du konfigurerer Defender for Identitetens VPN-integrering i Microsoft Defender XDR.

  1. Logg deg på Microsoft Defender XDR, og velg Settings>Identities>VPN.

  2. Velg Aktiver radiusregnskap , og angi den delte hemmeligheten du tidligere hadde konfigurert på RRAS VPN-serveren. Eksempel:

    Skjermbilde av alternativet Aktiver radius for regnskap.

  3. Velg Lagre for å fortsette.

Når du har lagret utvalget, begynner Defender for Identity-sensorene å lytte på port 1813 for RADIUS-regnskapshendelser, og VPN-oppsettet er fullført.

Når Defender for Identity-sensoren mottar VPN-hendelser og sender dem til Defender for Identity-skytjenesten for behandling, angir enhetsprofilen distinkte VPN-plasseringer som ble åpnet, og profilaktiviteter indikerer plasseringer.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se Konfigurer hendelsessamling.