Microsoft Defender for Identity-architectuur
Microsoft Defender for Identity controleert uw domeincontrollers door netwerkverkeer vast te leggen en te parseren, Windows-gebeurtenissen rechtstreeks van uw domeincontrollers te gebruiken en vervolgens de gegevens te analyseren op aanvallen en bedreigingen.
In de volgende afbeelding ziet u hoe Defender for Identity wordt gelaagd over Microsoft Defender XDR en samenwerkt met andere Microsoft-services en id-providers van derden om verkeer te bewaken dat afkomstig is van domeincontrollers en Active Directory-servers.
De Defender for Identity-sensor is rechtstreeks vanaf de servers geïnstalleerd op uw domeincontroller, Active Directory Federation Services (AD FS) of Active Directory Certificate Services (AD CS) en heeft rechtstreeks vanaf de servers toegang tot de gebeurtenislogboeken die nodig zijn. Nadat de logboeken en het netwerkverkeer door de sensor zijn geparseerd, verzendt Defender for Identity alleen de geparseerde informatie naar de Defender for Identity-cloudservice.
Defender for Identity-onderdelen
Defender for Identity bestaat uit de volgende onderdelen:
Microsoft Defender-portal
De Microsoft Defender-portal maakt uw Defender for Identity-werkruimte, geeft de gegevens weer die zijn ontvangen van Defender for Identity-sensoren en stelt u in staat bedreigingen in uw netwerkomgeving te bewaken, te beheren en te onderzoeken.Defender for Identity-sensor Defender for Identity-sensoren kunnen rechtstreeks op de volgende servers worden geïnstalleerd:
- Domeincontrollers: de sensor bewaakt het verkeer van domeincontrollers rechtstreeks, zonder dat er een speciale server of configuratie van poortspiegeling nodig is.
- AD FS/ AD CS: de sensor bewaakt rechtstreeks netwerkverkeer en verificatie-gebeurtenissen.
Defender for Identity-cloudservice
Defender for Identity-cloudservice wordt uitgevoerd op azure-infrastructuur en wordt momenteel geïmplementeerd in Europa, het VK, Zwitserland, Noord-Amerika/Centraal-Amerika/Caraïben, Australië - oost, Azië en India. Defender for Identity-cloudservice is verbonden met de intelligente beveiligingsgrafiek van Microsoft.
Microsoft Defender-portal
Gebruik de Microsoft Defender portal om het volgende te doen:
- Maak uw Defender for Identity-werkruimte.
- Integreren met andere Microsoft-beveiligingsservices.
- Configuratie-instellingen voor Defender for Identity-sensor beheren.
- Gegevens weergeven die zijn ontvangen van Defender for Identity-sensoren.
- Bewaak gedetecteerde verdachte activiteiten en vermoedelijke aanvallen op basis van het kill chain-model voor aanvallen.
- Optioneel: de portal kan ook worden geconfigureerd voor het verzenden van e-mailberichten en gebeurtenissen wanneer er beveiligingswaarschuwingen of statusproblemen worden gedetecteerd.
Opmerking
Als er binnen 60 dagen geen sensor is geïnstalleerd op uw Defender for Identity-werkruimte, wordt de werkruimte mogelijk verwijderd en moet u deze opnieuw maken.
Defender for Identity-sensor
De Defender for Identity-sensor heeft de volgende kernfunctionaliteit:
- Netwerkverkeer van domeincontrollers vastleggen en inspecteren (lokaal verkeer van de domeincontroller)
- Windows-gebeurtenissen rechtstreeks ontvangen van de domeincontrollers
- RADIUS-accountinggegevens ontvangen van uw VPN-provider
- Gegevens over gebruikers en computers ophalen uit het Active Directory-domein
- Omzetting van netwerkentiteiten (gebruikers, groepen en computers) uitvoeren
- Relevante gegevens overdragen naar de Defender for Identity-cloudservice
Defender for Identity-sensor leest gebeurtenissen lokaal, zonder dat u extra hardware of configuraties hoeft aan te schaffen en te onderhouden. De Defender for Identity-sensor ondersteunt ook Event Tracing for Windows (ETW), dat de logboekinformatie voor meerdere detecties biedt. EtW-gebaseerde detecties omvatten verdachte DCShadow-aanvallen die zijn geprobeerd met behulp van replicatieaanvragen voor domeincontrollers en promotie van domeincontrollers.
Proces voor domeinsynchronisatie
Het proces voor domeinsynchronisatie is verantwoordelijk voor het proactief synchroniseren van alle entiteiten van een specifiek Active Directory-domein (vergelijkbaar met het mechanisme dat door de domeincontrollers zelf wordt gebruikt voor replicatie). Eén sensor wordt automatisch willekeurig gekozen uit al uw in aanmerking komende sensoren om te fungeren als de domeinsynchronisatier.
Als de domeinsynchronisatier langer dan 30 minuten offline is, wordt in plaats daarvan automatisch een andere sensor gekozen.
Resourcebeperkingen
De Defender for Identity-sensor bevat een bewakingsonderdeel dat de beschikbare reken- en geheugencapaciteit evalueert op de server waarop deze wordt uitgevoerd. Het bewakingsproces wordt elke 10 seconden uitgevoerd en werkt het QUOTum voor CPU- en geheugengebruik dynamisch bij in het sensorproces van Defender for Identity. Het bewakingsproces zorgt ervoor dat de server altijd ten minste 15% van de vrije reken- en geheugenresources beschikbaar heeft.
Ongeacht wat er gebeurt op de server, het bewakingsproces maakt voortdurend resources vrij om ervoor te zorgen dat de kernfunctionaliteit van de server nooit wordt beïnvloed.
Als het bewakingsproces ervoor zorgt dat de Defender for Identity-sensor geen resources meer heeft, wordt slechts gedeeltelijk verkeer bewaakt en wordt de statuswaarschuwing 'Verbroken poort gespiegeld netwerkverkeer' weergegeven op de sensorpagina van Defender for Identity.
Windows-gebeurtenissen
Defender for Identity analyseert de logboeken van specifieke Windows-gebeurtenissen om de dekking van Defender for Identity-detectie te verbeteren met betrekking tot NTLM-verificaties, wijzigingen in gevoelige groepen en het maken van verdachte services.
Om ervoor te zorgen dat de logboeken worden gelezen, moet u ervoor zorgen dat op uw Defender for Identity-sensor geavanceerde instellingen voor controlebeleid correct zijn geconfigureerd. Controleer uw NTLM-controle-instellingen om ervoor te zorgen dat Windows Event 8004 wordt gecontroleerd als dat nodig is door de service
Volgende stap
Microsoft Defender for Identity implementeren met Microsoft Defender XDR