共用方式為

適用於身分識別的 Microsoft Defender 架構

  • 發行項

適用於身分識別的 Microsoft Defender 藉由擷取和剖析網路流量、直接從域控制器利用 Windows 事件,然後分析數據是否有攻擊和威脅,來監視域控制器。

下圖顯示適用於身分識別的Defender如何分層處理 Microsoft Defender 全面偵測回應,並與其他Microsoft服務和第三方識別提供者一起運作,以監視來自域控制器和 Active Directory 伺服器的流量。

適用於身分識別的Defender架構圖表。

直接安裝在域控制器、Active Directory 同盟服務 (AD FS) 或 Active Directory 憑證服務 (AD CS) 伺服器上,適用於身分識別的 Defender 感測器會直接從伺服器存取它所需的事件記錄檔。 感測器剖析記錄和網路流量之後,適用於身分識別的 Defender 只會將剖析的資訊傳送至適用於身分識別的 Defender 雲端服務。

適用於身分識別的Defender元件

適用於身分識別的Defender包含下列元件:

  • Microsoft Defender 入口網站
    Microsoft Defender 入口網站會建立適用於身分識別的Defender工作區、顯示從適用於身分識別的Defender感測器收到的數據,並可讓您監視、管理及調查網路環境中的威脅。

  • 適用於身分識別的Defender感測器 適用於身分識別的 Defender 感測器可以直接安裝在下列伺服器上:

    • 域控制器:感測器會直接監視域控制器流量,而不需要專用伺服器或埠鏡像設定。
    • AD FS / AD CS:感測器會直接監視網路流量和驗證事件。

  • 適用於身分識別的Defender雲端服務
    適用於身分識別的 Defender 雲端服務會在 Azure 基礎結構上執行,目前部署於歐洲、英國、瑞士、北美洲/中美洲/西歐、澳大利亞東部、亞洲和印度。 適用於身分識別的Defender雲端服務會連線到Microsoft的智慧型安全性圖表。

Microsoft Defender 入口網站

使用 Microsoft Defender 入口網站來:

  • 建立適用於身分識別的Defender工作區。
  • 與其他Microsoft安全性服務整合。
  • 管理適用於身分識別的Defender感測器組態設定。
  • 檢視從適用於身分識別的 Defender 感測器收到的數據。
  • 根據攻擊終止鏈模型監視偵測到的可疑活動和可疑的攻擊。
  • 選擇性:入口網站也可以設定為在偵測到安全性警示或健康情況問題時傳送電子郵件和事件。

注意事項

如果在 60 天內您的適用於身分識別的 Defender 工作區上未安裝感測器,工作區可能會遭到刪除,而您必須重新建立該工作區。

適用於身分識別的Defender感測器

適用於身分識別的Defender感測器具有下列核心功能:

  • 擷取並檢查網網域控制器網路流量(網域控制器的本機流量)
  • 直接從域控制器接收 Windows 事件
  • 從您的 VPN 供應商接收 RADIUS 記帳資訊
  • 從 Active Directory 網域中檢索使用者和電腦的相關資料
  • 執行網路實體(使用者、群組及電腦)的解決方案
  • 將相關數據傳輸至適用於身分識別的Defender雲端服務

適用於身分識別的 Defender 感測器會在本機讀取事件,而不需要購買及維護其他硬體或設定。 適用於身分識別的 Defender 感測器也支援 Windows 事件追蹤 (ETW) 提供多個偵測的記錄資訊。 ETW 型偵測包括使用域控制器複寫要求和域控制器升級嘗試的可疑 DCShadow 攻擊。

網域同步器程式

網域同步器程式負責主動同步處理特定 Active Directory 網域中的所有實體, (類似於域控制器本身用於復寫) 的機制。 系統會從所有符合資格的感測器中隨機選擇一個感測器,作為網域同步器。

如果網域同步器離線超過30分鐘,則會自動選擇另一個感測器。

資源限制

適用於身分識別的 Defender 感測器包含監視元件,可評估其執行所在伺服器上的可用計算和記憶體容量。 監視程式會每隔 10 秒執行一次,並動態更新適用於身分識別的 Defender 感測器進程上的 CPU 和記憶體使用量配額。 監視程式可確保伺服器一律至少有 15% 的可用計算和記憶體資源可用。

無論伺服器上發生什麼情況,監視程式都會持續釋出資源,以確保伺服器的核心功能永遠不會受到影響。

如果監視程式導致適用於身分識別的 Defender 感測器用完資源,則只會監視部分流量,且健康情況警示「已卸除埠鏡像網路流量」會出現在適用於身分識別的 Defender 感測器頁面中。

Windows 事件

為了增強與 NTLM 驗證相關的適用於身分識別的 Defender 偵測涵蓋範圍、對敏感性群組的修改,以及可疑服務的建立,適用於身分識別的 Defender 會分析 特定 Windows 事件的記錄。

若要確保已讀取記錄,請確定適用於身分識別的 Defender 感測器已正確設定進階審核策略設定。 若要確定服務會視需要 稽核 Windows 事件 8004 ,請檢閱 您的 NTLM 稽核設定

下一步

使用 Microsoft Defender 全面偵測回應 部署 適用於身分識別的 Microsoft Defender