مشاركة عبر

بنية Microsoft Defender للهوية

  • مقالة

يراقب Microsoft Defender for Identity وحدات التحكم بالمجال عن طريق التقاط حركة مرور الشبكة وتحليلها، والاستفادة من أحداث Windows مباشرة من وحدات التحكم بالمجال، ثم يحلل البيانات الخاصة بالهجمات والتهديدات.

توضح الصورة التالية كيفية طبقات Defender for Identity عبر Microsoft Defender XDR، وتعمل جنبا إلى جنب مع خدمات Microsoft الأخرى وموفري الهوية التابعين لجهة خارجية لمراقبة نسبة استخدام الشبكة الواردة من وحدات التحكم بالمجال وخوادم Active Directory.

رسم تخطيطي لبنية Defender for Identity.

يتم تثبيته مباشرة على وحدة التحكم بالمجال أو خدمات الأمان المشترك لـ Active Directory (AD FS) أو خدمات شهادات Active Directory (AD CS)، يصل مستشعر Defender for Identity إلى سجلات الأحداث التي يتطلبها مباشرة من الخوادم. بعد تحليل السجلات وحركة مرور الشبكة بواسطة المستشعر، يرسل Defender for Identity المعلومات التي تم تحليلها فقط إلى خدمة سحابة Defender for Identity.

مكونات Defender for Identity

يتكون Defender for Identity من المكونات التالية:

  • مدخل Microsoft Defender
    ينشئ مدخل Microsoft Defender مساحة عمل Defender for Identity، ويعرض البيانات المستلمة من مستشعرات Defender for Identity، ويمكنك من مراقبة التهديدات وإدارتها والتحقيق فيها في بيئة الشبكة الخاصة بك.

  • مستشعر Defender for Identity يمكن تثبيت مستشعرات Defender for Identity مباشرة على الخوادم التالية:

    • وحدات التحكم بالمجال: يراقب المستشعر حركة مرور وحدة التحكم بالمجال مباشرة، دون الحاجة إلى خادم مخصص، أو تكوين النسخ المتطابق للمنفذ.
    • AD FS / AD CS: يراقب المستشعر حركة مرور الشبكة وأحداث المصادقة مباشرة.

  • خدمة سحابة Defender for Identity
    تعمل خدمة Defender for Identity السحابية على البنية الأساسية ل Azure ويتم نشرها حاليا في أوروبا والمملكة المتحدة وسويسرا وأمريكا الشمالية/أمريكا الوسطى/الكاريبي وشرق أستراليا وآسيا والهند. خدمة سحابة Defender for Identity متصلة بالرسم البياني الذكي للأمان من Microsoft.

مدخل Microsoft Defender

استخدم مدخل Microsoft Defender من أجل:

  • إنشاء مساحة عمل Defender for Identity.
  • التكامل مع خدمات أمان Microsoft الأخرى.
  • إدارة إعدادات تكوين مستشعر Defender for Identity.
  • عرض البيانات المستلمة من مستشعرات Defender for Identity.
  • رصد الأنشطة المشبوهة والهجمات المشتبه بها استنادا إلى نموذج سلسلة قتل الهجوم.
  • اختياري: يمكن أيضا تكوين المدخل لإرسال رسائل البريد الإلكتروني والأحداث عند اكتشاف تنبيهات الأمان أو مشكلات السلامة.

ملاحظة

إذا لم يتم تثبيت أي أداة استشعار على مساحة عمل Defender for Identity في غضون 60 يوما، فقد يتم حذف مساحة العمل وستحتاج إلى إعادة إنشائها.

مستشعر Defender for Identity

يحتوي مستشعر Defender for Identity على الوظائف الأساسية التالية:

  • التقاط حركة مرور شبكة وحدة التحكم بالمجال وفحصها (نسبة استخدام الشبكة المحلية لوحدة التحكم بالمجال)
  • تلقي أحداث Windows مباشرة من وحدات التحكم بالمجال
  • تلقي معلومات محاسبة RADIUS من موفر VPN الخاص بك
  • استرداد البيانات حول المستخدمين وأجهزة الكمبيوتر من مجال Active Directory
  • تنفيذ دقة كيانات الشبكة (المستخدمين والمجموعات وأجهزة الكمبيوتر)
  • نقل البيانات ذات الصلة إلى خدمة سحابة Defender for Identity

يقرأ مستشعر Defender for Identity الأحداث محليا، دون الحاجة إلى شراء أجهزة أو تكوينات إضافية وصيانتها. يدعم مستشعر Defender for Identity أيضا تتبع الأحداث لنظام التشغيل Windows (ETW) الذي يوفر معلومات السجل لاكتشافات متعددة. تتضمن عمليات الكشف المستندة إلى ETW هجمات DCShadow المشتبه بها التي تمت محاولة استخدامها باستخدام طلبات النسخ المتماثل لوحدة التحكم بالمجال وتعزيز وحدة التحكم بالمجال.

عملية مزامن المجال

عملية مزامنة المجال مسؤولة عن مزامنة جميع الكيانات من مجال Active Directory محدد بشكل استباقي (على غرار الآلية المستخدمة من قبل وحدات التحكم بالمجال نفسها للنسخ المتماثل). يتم اختيار أداة استشعار واحدة تلقائيا عشوائيا من جميع أدوات الاستشعار المؤهلة لتكون بمثابة مزامن المجال.

إذا كان مزامن المجال غير متصل لأكثر من 30 دقيقة، يتم اختيار مستشعر آخر تلقائيا بدلا من ذلك.

قيود الموارد

يتضمن مستشعر Defender for Identity مكون مراقبة يقيم سعة الحوسبة والذاكرة المتوفرة على الخادم الذي يعمل عليه. تعمل عملية المراقبة كل 10 ثوان وتحديث حصة استخدام وحدة المعالجة المركزية والذاكرة ديناميكيا على عملية استشعار Defender for Identity. تتأكد عملية المراقبة من أن الخادم لديه دائما ما لا يقل عن 15٪ من موارد الحوسبة والذاكرة المجانية المتاحة.

بغض النظر عما يحدث على الخادم، تحرر عملية المراقبة الموارد باستمرار للتأكد من عدم تأثر الوظيفة الأساسية للخادم أبدا.

إذا كانت عملية المراقبة تتسبب في نفاد موارد أداة استشعار Defender for Identity، تتم مراقبة نسبة استخدام الشبكة الجزئية فقط ويظهر التنبيه الصحي "نسبة استخدام الشبكة المعكوسة للمنفذ الذي تم إسقاطه" في صفحة أداة استشعار Defender for Identity.

أحداث Windows

لتحسين تغطية الكشف عن Defender for Identity المتعلقة بمصادقات NTLM والتعديلات على المجموعات الحساسة وإنشاء خدمات مشبوهة، يحلل Defender for Identity سجلات أحداث Windows معينة.

للتأكد من قراءة السجلات، تأكد من أن مستشعر Defender for Identity يحتوي على إعدادات نهج تدقيق متقدمة تم تكوينها بشكل صحيح. للتأكد من تدقيق Windows Event 8004 حسب الحاجة من قبل الخدمة، راجع إعدادات تدقيق NTLM

الخطوة التالية

توزيع Microsoft Defender for Identity باستخدام Microsoft Defender XDR