Partilhar via

Integração de VPN do Defender para Identidade no Microsoft Defender XDR

  • Artigo

Microsoft Defender para Identidade pode integrar com a sua solução de VPN ao ouvir eventos de contabilidade RADIUS reencaminhados para sensores do Defender para Identidade, tais como os endereços IP e as localizações onde as ligações tiveram origem. Os dados de contabilidade de VPN podem ajudar as suas investigações ao fornecer mais informações sobre a atividade do utilizador, como as localizações a partir das quais os computadores estão a ligar-se à rede e uma deteção extra para ligações VPN anormais.

A integração de VPN do Defender para Identidade baseia-se na Contabilidade RADIUS padrão (RFC 2866) e suporta os seguintes fornecedores de VPN:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

A integração de VPN não é suportada em ambientes que aderiam às Normas Federais de Processamento de Informações (FIPS)

A integração de VPN do Defender para Identidade suporta UPNs principais e nomes principais de utilizador alternativos. As chamadas para resolver endereços IP externos para uma localização são anónimas e não é enviado nenhum identificador pessoal na chamada.

Pré-requisitos

Antes de começar, certifique-se de que tem:

  • Microsoft Defender para Identidade implementado

  • Acesso à área Definições no Microsoft Defender XDR. Para obter mais informações, veja Microsoft Defender para Identidade grupos de funções.

  • A capacidade de configurar o RADIUS no seu sistema VPN.

    Este artigo fornece um exemplo de como configurar Microsoft Defender para Identidade para recolher informações de contabilidade de soluções VPN, utilizando o Microsoft Routing and Remote Access Server (RRAS). Se estiver a utilizar uma solução de VPN de terceiros, consulte a respetiva documentação para obter instruções sobre como ativar a Contabilidade RADIUS.

Nota

Quando configura a integração de VPN, o sensor do Defender para Identidade ativa uma política de firewall do Windows pré-aprovisionada denominada Sensor Microsoft Defender para Identidade. Esta política permite a entrada de Contas RADIUS na porta UDP 1813.

Configurar a contabilidade RADIUS no seu sistema VPN

Este procedimento descreve como configurar a contabilidade RADIUS num servidor RRAS para integrar um sistema VPN com o Defender para Identidade. As instruções do seu sistema podem ser diferentes.

No servidor RRAS:

  1. Abra a consola de Encaminhamento e Acesso Remoto .

  2. Clique com o botão direito do rato no nome do servidor e selecione Propriedades.

  3. No separador Segurança, em Fornecedor de conta,selecione Configuração> da Contabilidade RADIUS. Por exemplo:

    Captura de ecrã do separador Segurança.

  4. Na caixa de diálogo Adicionar Servidor RADIUS , introduza o Nome do servidor do sensor do Defender para Identidade mais próximo com conectividade de rede. Para elevada disponibilidade, pode adicionar mais sensores do Defender para Identidade como Servidores RADIUS.

  5. Em Porta, certifique-se de que o valor predefinido de 1813 está configurado.

  6. Selecione Alterar e introduza uma nova cadeia secreta partilhada de carateres alfanuméricos. Tome nota da nova cadeia de segredos partilhados, pois irá precisar dela mais tarde ao configurar a integração de VPN no Defender para Identidade.

  7. Selecione a caixa Desativar a opção Enviar Conta RADIUS e Contabilizar Mensagens e selecione OK em todas as caixas de diálogo abertas. Por exemplo:

    Captura de ecrã a mostrar o botão Enviar mensagens de Conta RADIUS Ativada e Contabilização Desativada.

Configurar a VPN no Defender para Identidade

Este procedimento descreve como configurar a integração de VPN do Defender para Identidade no Microsoft Defender XDR.

  1. Inicie sessão em Microsoft Defender XDR e selecioneIdentidades de>Definições>VPN.

  2. Selecione Ativar contabilidade radius e introduza o Segredo Partilhado que configurou anteriormente no servidor VPN RRAS. Por exemplo:

    Captura de ecrã a mostrar a opção Ativar contabilidade radius.

  3. Selecione Guardar para continuar.

Depois de guardar a sua seleção, os sensores do Defender para Identidade começam a escutar na porta 1813 para eventos de contabilidade RADIUS e a configuração da VPN é concluída.

Quando o sensor do Defender para Identidade recebe eventos VPN e os envia para o serviço cloud do Defender para Identidade para processamento, o perfil de entidade indica localizações VPN distintas que foram acedidas e as atividades de perfil indicam localizações.

Conteúdos relacionados

Para obter mais informações, veja Configurar a recolha de eventos.