Microsoft Defender for Identity 体系结构

Microsoft Defender for Identity 通过捕获和分析网络流量并直接从域控制器利用 Windows 事件来监视域控制器,然后分析攻击和威胁的数据。

下图显示了 Defender for Identity 如何在 Microsoft Defender XDR 上分层,并与其他 Microsoft 服务和第三方标识提供程序协同工作,以监视来自域控制器和 Active Directory 服务器的流量。

Defender for Identity 体系结构图。

Defender for Identity 传感器直接安装在域控制器、Active Directory 联合身份验证服务 (AD FS) 或 Active Directory 证书服务 (AD CS) 上,可直接从服务器访问所需的事件日志。 在传感器对这些日志和网络流量进行分析后,Defender for Identity 仅将此分析信息发送到 Defender for Identity 云服务。

Defender for Identity 组件

Defender for Identity 包含以下组件:

  • Microsoft Defender 门户
    Microsoft Defender 门户可创建 Defender for Identity 工作区,显示从 Defender for Identity 传感器接收的数据,还可监视、管理和调查网络环境中的威胁。

  • Defender for Identity 传感器 Defender for Identity 传感器可以直接安装在以下服务器上:

    • 域控制器:传感器直接监控域控制器流量,无需专用服务器或端口镜像配置。
    • AD FS / AD CS:传感器直接监视网络流量和身份验证事件。
  • Defender for Identity 云服务
    Defender for Identity 云服务在 Azure 基础结构上运行,目前部署在欧洲、英国、瑞士、北美/中美/加勒比海地区、澳大利亚东部、亚洲和印度。 Defender for Identity 云服务已连接到 Microsoft 的 Intelligent Security Graph。

Microsoft Defender 门户

使用 Microsoft Defender 门户可:

  • 创建 Defender for Identity 工作区。
  • 与 Microsoft 安全服务集成。
  • 管理 Defender for Identity 传感器配置设置。
  • 查看从 Defender for Identity 传感器接收到的数据。
  • 根据攻击杀伤链模型监视检测到的可疑活动和可疑攻击。
  • 可选:还可以将门户配置为在检测到安全警报或运行状况问题时发送电子邮件和事件。

注意

如果 60 天内未在 Defender for Identity 工作区中安装传感器,此工作区可能会被删除,需要重新创建。

Defender for Identity 传感器

Defender for Identity 传感器具有以下核心功能:

  • 捕获并检查域控制器网络流量(域控制器的本地流量)
  • 直接从域控制器接收 Windows 事件
  • 从 VPN 提供程序接收 RADIUS 计帐信息
  • 从 Active Directory 域检索有关用户和计算机的数据
  • 执行网络实体(用户、组和计算机)的解析
  • 将相关数据传输到 Defender for Identity 云服务

Defender for Identity 传感器在本地读取事件,无需购买和维护额外的硬件或配置。 Defender for Identity 传感器还支持 Windows 事件跟踪 (ETW),它提供多个检测的日志信息。 基于 ETW 的检测包括使用域控制器复制请求和域控制器升级尝试的可疑 DCShadow 攻击。

域同步器进程

域同步器进程负责主动同步特定 Active Directory 域中的所有实体(类似于域控制器本身用于复制的机制)。 自动从所有符合条件的传感器中随机选择一个传感器作为域同步器。

如果域同步器脱机超过 30 分钟,则会自动选择另一个传感器。

资源限制

Defender for Identity 传感器包括一个监视组件,该组件可计算运行它的服务器上的可用计算和内存容量。 监视过程每 10 秒运行一次,并动态更新 Defender for Identity 传感器进程上的 CPU 和内存利用率配额。 此监视流程可确保服务器始终具有至少 15% 的可用计算资源与内存资源。

无论服务器出现何种情况,此监视流程均会不断释放资源,从而确保服务器的核心功能永不受影响。

如果此监视过程导致 Defender for Identity 传感器用尽所有资源,则仅监视部分流量,且 Defender for Identity 传感器页上将显示运行状况警报“已删除端口镜像的网络流量”。

Windows 事件

为了增强与 NTLM 身份验证、修改敏感组以及创建可疑服务相关的 Defender for Identity 检测覆盖范围,Defender for Identity 将分析特定 Windows 事件的日志。

要确保读取日志,请确保 Defender for Identity 传感器已正确配置高级审核策略设置。 要确保服务根据需要审核 Windows 事件 8004,请查看 NTLM 审核设置

下一步

使用 Microsoft Defender XDR 部署 Microsoft Defender for Identity