Architektura usługi Microsoft Defender for Identity
Microsoft Defender for Identity monitoruje kontrolery domeny, przechwytując i analizując ruch sieciowy, wykorzystując zdarzenia systemu Windows bezpośrednio z kontrolerów domeny, a następnie analizując dane pod kątem ataków i zagrożeń.
Na poniższej ilustracji przedstawiono sposób, w jaki usługa Defender for Identity jest warstwowa w Microsoft Defender XDR i współpracuje z innymi usługami firmy Microsoft i dostawcami tożsamości innych firm w celu monitorowania ruchu przychodzącego z kontrolerów domeny i serwerów usługi Active Directory.
Zainstalowany bezpośrednio na serwerze kontrolera domeny, Active Directory Federation Services (AD FS) lub usług certyfikatów Active Directory (AD CS), czujnik usługi Defender for Identity uzyskuje dostęp do dzienników zdarzeń wymaganych bezpośrednio z serwerów. Po przeanalizowaniu dzienników i ruchu sieciowego przez czujnik usługa Defender for Identity wysyła tylko przeanalizowane informacje do usługi w chmurze Defender for Identity.
Składniki usługi Defender for Identity
Usługa Defender for Identity składa się z następujących składników:
Portal usługi Microsoft Defender
Portal Microsoft Defender tworzy obszar roboczy usługi Defender for Identity, wyświetla dane odebrane z czujników usługi Defender for Identity oraz umożliwia monitorowanie i badanie zagrożeń w środowisku sieciowym oraz zarządzanie nimi.Czujnik usługi Defender for Identity Czujniki usługi Defender for Identity można zainstalować bezpośrednio na następujących serwerach:
- Kontrolery domeny: czujnik bezpośrednio monitoruje ruch kontrolera domeny bez konieczności używania dedykowanego serwera lub konfiguracji dublowania portów.
- AD FS / AD CS: czujnik bezpośrednio monitoruje ruch sieciowy i zdarzenia uwierzytelniania.
Usługa w chmurze Defender for Identity
Usługa w chmurze Defender for Identity działa w infrastrukturze platformy Azure i jest obecnie wdrażana w Europie, Wielkiej Brytanii, Szwajcarii, Ameryka Północna/Ameryce Środkowej/Karaibach, Australii Wschodniej, Azji i Indiach. Usługa w chmurze Defender for Identity jest połączona z inteligentnym wykresem zabezpieczeń firmy Microsoft.
Portal usługi Microsoft Defender
Użyj portalu Microsoft Defender, aby:
- Utwórz obszar roboczy usługi Defender for Identity.
- Integracja z innymi usługami zabezpieczeń firmy Microsoft.
- Zarządzanie ustawieniami konfiguracji czujnika usługi Defender for Identity.
- Wyświetlanie danych odebranych z czujników usługi Defender for Identity.
- Monitorowanie wykrytych podejrzanych działań i podejrzanych ataków na podstawie modelu łańcucha zabijania ataków.
- Opcjonalnie: portal można również skonfigurować do wysyłania wiadomości e-mail i zdarzeń w przypadku wykrycia alertów zabezpieczeń lub problemów z kondycją.
Uwaga
Jeśli w obszarze roboczym usługi Defender for Identity nie zainstalowano czujnika w ciągu 60 dni, obszar roboczy może zostać usunięty i konieczne będzie jego ponowne utworzenie.
Czujnik usługi Defender for Identity
Czujnik usługi Defender for Identity ma następujące podstawowe funkcje:
- Przechwytywanie i inspekcja ruchu sieciowego kontrolera domeny (ruch lokalny kontrolera domeny)
- Odbieranie zdarzeń systemu Windows bezpośrednio z kontrolerów domeny
- Odbieranie informacji księgowych usługi RADIUS od dostawcy sieci VPN
- Pobieranie danych o użytkownikach i komputerach z domeny usługi Active Directory
- Rozwiązywanie jednostek sieciowych (użytkowników, grup i komputerów)
- Transferowanie odpowiednich danych do usługi w chmurze Defender for Identity
Czujnik usługi Defender for Identity odczytuje zdarzenia lokalnie bez konieczności zakupu i obsługi dodatkowego sprzętu lub konfiguracji. Czujnik usługi Defender for Identity obsługuje również śledzenie zdarzeń dla systemu Windows (ETW), który udostępnia informacje dziennika dla wielu wykrywania. Wykrywanie oparte na protokole ETW obejmuje podejrzane ataki dcshadow próby przy użyciu żądań replikacji kontrolera domeny i podwyższania poziomu kontrolera domeny.
Proces synchronizatora domeny
Proces synchronizatora domeny jest odpowiedzialny za proaktywne synchronizowanie wszystkich jednostek z określonej domeny usługi Active Directory (podobnie jak mechanizm używany przez same kontrolery domeny do replikacji). Jeden czujnik jest wybierany losowo ze wszystkich kwalifikujących się czujników, aby służyć jako synchronizator domeny.
Jeśli synchronizator domeny jest w trybie offline przez ponad 30 minut, zamiast tego zostanie wybrany inny czujnik.
Ograniczenia zasobów
Czujnik usługi Defender for Identity zawiera składnik monitorowania, który ocenia dostępną pojemność obliczeniową i pamięć na serwerze, na którym jest uruchomiony. Proces monitorowania jest uruchamiany co 10 sekund i dynamicznie aktualizuje limit przydziału użycia procesora CPU i pamięci w procesie czujnika usługi Defender for Identity. Proces monitorowania zapewnia, że serwer zawsze ma co najmniej 15% bezpłatnych zasobów obliczeniowych i pamięci.
Niezależnie od tego, co dzieje się na serwerze, proces monitorowania stale zwalnia zasoby, aby upewnić się, że nie ma to wpływu na podstawowe funkcje serwera.
Jeśli proces monitorowania powoduje, że w czujniku usługi Defender for Identity zabraknie zasobów, tylko częściowy ruch jest monitorowany, a alert o kondycji "Porzucony ruch sieciowy z dublowanym portem" zostanie wyświetlony na stronie czujnika usługi Defender for Identity.
Zdarzenia systemu Windows
Aby zwiększyć zakres wykrywania tożsamości usługi Defender for Identity związany z uwierzytelnianiem NTLM, modyfikacjami poufnych grup i tworzeniem podejrzanych usług, usługa Defender for Identity analizuje dzienniki określonych zdarzeń systemu Windows.
Aby upewnić się, że dzienniki są odczytywane, upewnij się, że czujnik usługi Defender for Identity ma skonfigurowane prawidłowo zaawansowane ustawienia zasad inspekcji. Aby upewnić się, że zdarzenie systemu Windows 8004 jest poddawane inspekcji zgodnie z potrzebami usługi, przejrzyj ustawienia inspekcji NTLM
Następny krok
Wdrażanie Microsoft Defender for Identity za pomocą Microsoft Defender XDR