Интеграция VPN Defender для удостоверений в Microsoft Defender XDR
Microsoft Defender для удостоверений можно интегрировать с vpn-решением, прослушивая события учета RADIUS, переадресованные датчикам Defender для удостоверений, например IP-адресам и расположениям, из которых были созданы подключения. Данные учета VPN могут помочь в исследованиях, предоставляя дополнительные сведения о действиях пользователей, например о расположениях, из которых компьютеры подключаются к сети, и дополнительном обнаружении ненормальных VPN-подключений.
Интеграция VPN Defender для удостоверений основана на стандартном учете RADIUS (RFC 2866) и поддерживает следующие поставщики VPN:
- Корпорация Майкрософт
- F5
- Check Point
- Cisco ASA
Интеграция VPN не поддерживается в средах, соответствующих Федеральным стандартам обработки информации (FIPS).
Интеграция VPN Defender для удостоверений поддерживает как основные имена участников-пользователей, так и альтернативные имена субъектов-пользователей. Вызовы для разрешения внешних IP-адресов в расположение являются анонимными, и в вызове не отправляется личный идентификатор.
Предварительные условия
Перед началом работы убедитесь, что у вас есть:
Доступ к области Параметры в Microsoft Defender XDR. Дополнительные сведения см. в разделе Microsoft Defender для удостоверений групп ролей.
Возможность настройки RADIUS в vpn-системе.
В этой статье приведен пример настройки Microsoft Defender для удостоверений для сбора учетных данных из решений VPN с помощью сервера маршрутизации и удаленного доступа (RRAS) (Майкрософт). Если вы используете стороннее VPN-решение, ознакомьтесь с документацией по этой службе, чтобы узнать, как включить учет RADIUS.
Примечание.
При настройке интеграции VPN датчик Defender для удостоверений включает предварительно подготовленную политику брандмауэра Windows с именем Microsoft Defender для удостоверений Sensor. Эта политика разрешает входящий учет RADIUS через порт UDP 1813.
Настройка учета RADIUS в vpn-системе
В этой процедуре описывается настройка учета RADIUS на сервере RRAS для интеграции VPN-системы с Defender для удостоверений. Инструкции системы могут отличаться.
На сервере RRAS:
Откройте консоль маршрутизации и удаленного доступа .
Щелкните правой кнопкой мыши имя сервера и выберите Пункт Свойства.
На вкладке Безопасность в разделе Поставщик бухгалтерского учета выберите Radius AccountingConfigure (Настройка учета > RADIUS). Например:
В диалоговом окне Добавление сервера RADIUS введите имя сервера ближайшего датчика Defender для удостоверений с сетевым подключением. Для обеспечения высокого уровня доступности можно добавить дополнительные датчики Defender для удостоверений в качестве серверов RADIUS.
В разделе Порт убедитесь, что настроено
1813значение по умолчанию.Выберите Изменить и введите новую общую строку секрета из буквенно-цифровых символов. Запишите новую строку общего секрета, так как она понадобится позже при настройке интеграции VPN в Defender для удостоверений.
Установите флажок Send RADIUS Account On and Accounting Off messages (Отправка сообщений учетной записи RADIUS on and Accounting Off) и нажмите кнопку ОК во всех открытых диалоговых окнах. Например:
Настройка VPN в Defender для удостоверений
В этой процедуре описывается настройка интеграции VPN Defender для удостоверений в Microsoft Defender XDR.
Войдите в Microsoft Defender XDR и выберите Параметры>Удостоверения>VPN.
Выберите Включить учет радиуса и введите общий секрет , настроенный ранее на VPN-сервере RRAS. Например:
Нажмите кнопку Сохранить , чтобы продолжить.
После сохранения выбранного значения датчики Defender для удостоверений начнут прослушивать через порт 1813 события учета RADIUS, и настройка VPN будет завершена.
Когда датчик Defender для удостоверений получает события VPN и отправляет их в облачную службу Defender для удостоверений для обработки, профиль сущности указывает отдельные расположения VPN, к которым был получен доступ, а действия профиля — расположения.
Связанные материалы
Дополнительные сведения см. в разделе Настройка сбора событий.