Delen via

Vpn-integratie van Defender for Identity in Microsoft Defender XDR

  • Artikel

Microsoft Defender for Identity kunt integreren met uw VPN-oplossing door te luisteren naar RADIUS-accountinggebeurtenissen die zijn doorgestuurd naar Defender for Identity-sensoren, zoals de IP-adressen en locaties waar verbindingen afkomstig zijn. VPN-accountinggegevens kunnen uw onderzoeken helpen door meer informatie te geven over gebruikersactiviteit, zoals de locaties van waaruit computers verbinding maken met het netwerk en een extra detectie voor abnormale VPN-verbindingen.

De VPN-integratie van Defender for Identity is gebaseerd op standaard RADIUS Accounting (RFC 2866) en ondersteunt de volgende VPN-leveranciers:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

VPN-integratie wordt niet ondersteund in omgevingen die voldoen aan de Federal Information Processing Standards (FIPS)

De VPN-integratie van Defender for Identity ondersteunt zowel primaire UPN's als alternatieve principal-namen van gebruikers. Aanroepen voor het omzetten van externe IP-adressen naar een locatie zijn anoniem en er wordt geen persoonlijke id verzonden in de aanroep.

Vereisten

Voordat u begint, controleert u of u het volgende hebt:

  • Microsoft Defender for Identity geïmplementeerd

  • Toegang tot het gebied Instellingen in Microsoft Defender XDR. Zie Microsoft Defender for Identity rolgroepen voor meer informatie.

  • De mogelijkheid om RADIUS op uw VPN-systeem te configureren.

    Dit artikel bevat een voorbeeld van het configureren van Microsoft Defender for Identity voor het verzamelen van boekhoudgegevens van VPN-oplossingen, met behulp van Microsoft Routing and Remote Access Server (RRAS). Als u een VPN-oplossing van derden gebruikt, raadpleegt u de bijbehorende documentatie voor instructies voor het inschakelen van RADIUS-accounting.

Opmerking

Wanneer u de VPN-integratie configureert, schakelt de Defender for Identity-sensor een vooraf ingericht Windows-firewallbeleid in met de naam Microsoft Defender for Identity Sensor. Dit beleid staat binnenkomende RADIUS Accounting toe op poort UDP 1813.

RADIUS-accounting configureren op uw VPN-systeem

In deze procedure wordt beschreven hoe u RADIUS-accounting configureert op een RRAS-server voor de integratie van een VPN-systeem met Defender for Identity. De instructies van uw systeem kunnen verschillen.

Op uw RRAS-server:

  1. Open de console Routering en RAS .

  2. Klik met de rechtermuisknop op de servernaam en selecteer Eigenschappen.

  3. Selecteer op het tabblad Beveiliging onder Boekhoudprovider de optie RADIUS-accounting>configureren. Bijvoorbeeld:

    Schermopname van het tabblad Beveiliging.

  4. Voer in het dialoogvenster RADIUS-server toevoegen de servernaam in van de dichtstbijzijnde Defender for Identity-sensor met netwerkverbinding. Voor hoge beschikbaarheid kunt u meer Defender for Identity-sensoren toevoegen als RADIUS-servers.

  5. Controleer onder Poort of de standaardwaarde van 1813 is geconfigureerd.

  6. Selecteer Wijzigen en voer een nieuwe gedeelde geheime tekenreeks met alfanumerieke tekens in. Noteer de nieuwe tekenreeks voor gedeeld geheim, omdat u deze later nodig hebt bij het configureren van de VPN-integratie in Defender for Identity.

  7. Schakel het selectievakje RADIUS-account verzenden aan en Accounting off-berichten in en selecteer OK voor alle geopende dialoogvensters. Bijvoorbeeld:

    Schermopname van de knop RADIUS-account verzenden aan en Boekhouden uit berichten.

VPN configureren in Defender for Identity

In deze procedure wordt beschreven hoe u de VPN-integratie van Defender for Identity configureert in Microsoft Defender XDR.

  1. Meld u aan bij Microsoft Defender XDR en selecteer Instellingen>Identiteiten>VPN.

  2. Selecteer Radius-accounting inschakelen en voer het gedeelde geheim in dat u eerder hebt geconfigureerd op uw RRAS VPN-server. Bijvoorbeeld:

    Schermopname van de optie Radius-boekhouding inschakelen.

  3. Selecteer Opslaan om door te gaan.

Nadat u uw selectie hebt opgeslagen, beginnen uw Defender for Identity-sensoren op poort 1813 te luisteren naar RADIUS-accounting-gebeurtenissen en is uw VPN-installatie voltooid.

Wanneer de Defender for Identity-sensor VPN-gebeurtenissen ontvangt en deze verzendt naar de Defender for Identity-cloudservice voor verwerking, geeft het entiteitsprofiel verschillende VPN-locaties aan die zijn geopend en geven profielactiviteiten locaties aan.

Verwante onderwerpen

Zie Gebeurtenisverzameling configureren voor meer informatie.