Udostępnij za pośrednictwem

Integracja usługi Defender for Identity VPN w Microsoft Defender XDR

  • Artykuł

Microsoft Defender for Identity można zintegrować z rozwiązaniem sieci VPN, nasłuchując zdarzeń księgowych usługi RADIUS przekazanych do czujników usługi Defender for Identity, takich jak adresy IP i lokalizacje, z których pochodzą połączenia. Dane księgowe sieci VPN mogą pomóc w badaniu, udostępniając więcej informacji o aktywności użytkowników, takich jak lokalizacje, z których komputery łączą się z siecią, oraz dodatkowe wykrywanie nietypowych połączeń sieci VPN.

Integracja sieci VPN usługi Defender for Identity jest oparta na standardowej księgowości radius (RFC 2866) i obsługuje następujących dostawców sieci VPN:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

Integracja sieci VPN nie jest obsługiwana w środowiskach zgodnych z federalnymi standardami przetwarzania informacji (FIPS)

Integracja sieci VPN usługi Defender for Identity obsługuje zarówno główne nazwy UPN, jak i alternatywne nazwy główne użytkowników. Wywołania rozpoznawania zewnętrznych adresów IP do lokalizacji są anonimowe i w wywołaniu nie jest wysyłany żaden identyfikator osobisty.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące elementy:

  • Microsoft Defender for Identity wdrożone

  • Dostęp do obszaru Ustawienia w Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity grupy ról.

  • Możliwość konfigurowania usługi RADIUS w systemie sieci VPN.

    Ten artykuł zawiera przykład sposobu konfigurowania Microsoft Defender for Identity do zbierania informacji księgowych z rozwiązań sieci VPN przy użyciu usługi Microsoft Routing and Remote Access Server (RRAS). Jeśli używasz rozwiązania sieci VPN innej firmy, zapoznaj się z ich dokumentacją, aby uzyskać instrukcje dotyczące włączania księgowości usługi RADIUS.

Uwaga

Podczas konfigurowania integracji sieci VPN czujnik usługi Defender for Identity włącza wstępnie aprowizowane zasady zapory systemu Windows o nazwie Microsoft Defender for Identity Sensor. Te zasady umożliwiają przychodzącą księgowość usługi RADIUS na porcie UDP 1813.

Konfigurowanie ewidencjonowania usługi RADIUS w systemie sieci VPN

W tej procedurze opisano sposób konfigurowania księgowości usługi RADIUS na serwerze usługi RRAS w celu integracji systemu sieci VPN z usługą Defender for Identity. Instrukcje systemu mogą się różnić.

Na serwerze usługi RRAS:

  1. Otwórz konsolę Routing i dostęp zdalny .

  2. Kliknij prawym przyciskiem myszy nazwę serwera i wybierz pozycję Właściwości.

  3. Na karcie Zabezpieczenia w obszarze Dostawca księgowości wybierz pozycję RADIUS AccountingConfigure (Konfigurujksięgowość> usługi RADIUS). Przykład:

    Zrzut ekranu przedstawiający kartę Zabezpieczenia.

  4. W oknie dialogowym Dodawanie serwera RADIUS wprowadź nazwę serwera najbliższego czujnika usługi Defender for Identity z łącznością sieciową. Aby uzyskać wysoką dostępność, możesz dodać więcej czujników usługi Defender for Identity jako serwerów RADIUS.

  5. W obszarze Port upewnij się, że wartość domyślna parametru 1813 jest skonfigurowana.

  6. Wybierz pozycję Zmień i wprowadź nowy wspólny ciąg wpisu tajnego zawierający znaki alfanumeryczne. Zanotuj nowy wspólny ciąg wpisu tajnego, ponieważ będzie on potrzebny później podczas konfigurowania integracji sieci VPN w usłudze Defender for Identity.

  7. Zaznacz pole Wyślij komunikaty Wł. i Ewidencjonowanie konta USŁUGI RADIUS, a następnie wybierz przycisk OK we wszystkich otwartych oknach dialogowych. Przykład:

    Zrzut ekranu przedstawiający przycisk Wyślij komunikaty włączone i wyłączone konta usługi RADIUS.

Konfigurowanie sieci VPN w usłudze Defender for Identity

W tej procedurze opisano sposób konfigurowania integracji sieci VPN usługi Defender for Identity w Microsoft Defender XDR.

  1. Zaloguj się do Microsoft Defender XDR i wybierz pozycję Ustawienia>Tożsamości>VPN.

  2. Wybierz pozycję Włącz księgowość radius i wprowadź wpis tajny udostępniony skonfigurowany wcześniej na serwerze sieci VPN usługi RRAS. Przykład:

    Zrzut ekranu przedstawiający opcję Włącz księgowość promienia.

  3. Wybierz pozycję Zapisz , aby kontynuować.

Po zapisaniu wybranej opcji czujniki usługi Defender for Identity rozpoczną nasłuchiwanie na porcie 1813 w przypadku zdarzeń księgowych radius i konfiguracja sieci VPN zostanie ukończona.

Gdy czujnik usługi Defender for Identity odbiera zdarzenia sieci VPN i wysyła je do usługi w chmurze Defender for Identity w celu przetworzenia, profil jednostki wskazuje różne lokalizacje sieci VPN, do których uzyskano dostęp, a działania profilu wskazują lokalizacje.

Zawartość pokrewna

Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania zdarzeń.