Microsoft Defender XDR中的 Defender for Identity VPN 集成

Microsoft Defender for Identity可以通过侦听转发到 Defender for Identity 传感器的 RADIUS 记帐事件（例如 IP 地址和连接发起位置）来与 VPN 解决方案集成。 VPN 会计数据可以通过提供有关用户活动的详细信息（例如计算机连接到网络的位置）以及异常 VPN 连接的额外检测来帮助调查。

Defender for Identity 的 VPN 集成基于标准 RADIUS 会计 (RFC 2866) ，并支持以下 VPN 供应商：

• Microsoft
• F5
• Check Point
• Cisco ASA

在遵循联邦信息处理标准 (FIPS) 的环境中，不支持 VPN 集成

Defender for Identity 的 VPN 集成支持主要 UPN 和备用用户主体名称。 将外部 IP 地址解析到某个位置的调用是匿名的，并且不会在调用中发送个人标识符。

先决条件

在开始之前，请确保：

• 已部署Microsoft Defender for Identity

• 访问 Microsoft Defender XDR 中的“设置”区域。 有关详细信息，请参阅Microsoft Defender for Identity角色组。

• 在 VPN 系统上配置 RADIUS 的功能。

  本文提供了一个示例，说明如何使用Microsoft路由和远程访问服务器 (RRAS) 配置Microsoft Defender for Identity以从 VPN 解决方案收集记帐信息。 如果使用第三方 VPN 解决方案，请参阅其文档，了解如何启用 RADIUS 会计。

注意

配置 VPN 集成时，Defender for Identity 传感器将启用名为 Microsoft Defender for Identity Sensor 的预预配 Windows 防火墙策略。 此策略允许端口 UDP 1813 上的传入 RADIUS 记帐。

在 VPN 系统上配置 RADIUS 记帐

此过程介绍如何在 RRAS 服务器上配置 RADIUS 记帐，以便将 VPN 系统与 Defender for Identity 集成。 系统的说明可能有所不同。

在 RRAS 服务器上：

1. 打开 路由和远程访问 控制台。

2. 右键单击服务器名称，然后选择“ 属性”。

3. 在“ 安全性 ”选项卡的“ 会计提供程序”下，选择“ RADIUS 记帐>配置”。 例如：

   

4. 在“ 添加 RADIUS 服务器 ”对话框中，输入具有网络连接的最靠近 Defender for Identity 传感器 的服务器名称 。 为了获得高可用性，可以将更多 Defender for Identity 传感器添加为 RADIUS 服务器。

5. 在“ 端口”下，确保已配置 默认值 1813 。

6. 选择“ 更改 ”，然后输入字母数字字符的新共享机密字符串。 记下新的共享机密字符串，因为稍后在 Defender for Identity 中配置 VPN 集成时需要使用它。

7. 选中 “发送 RADIUS 帐户启用和记帐关闭消息 ”框，并在所有打开的对话框中选择 “确定 ”。 例如：

   

在 Defender for Identity 中配置 VPN

此过程介绍如何在 Microsoft Defender XDR 中配置 Defender for Identity 的 VPN 集成。

1. 登录到Microsoft Defender XDR并选择“设置>标识>VPN”。

2. 选择“ 启用半径记帐 ”，并输入之前在 RRAS VPN 服务器上配置的 共享机密 。 例如：

   

3. 选择“ 保存” 以继续。

保存所选内容后，Defender for Identity 传感器开始在端口 1813 上侦听 RADIUS 记帐事件，VPN 设置已完成。

当 Defender for Identity 传感器接收 VPN 事件并将其发送到 Defender for Identity 云服务进行处理时，实体配置文件指示已访问的不同 VPN 位置，配置文件活动指示位置。

相关内容

有关详细信息，请参阅 配置事件集合。