مشاركة عبر


تحليل اسم الشبكة في Microsoft Defender for Identity

تحليل اسم الشبكة (NNR) هو مكون رئيسي من وظائف Microsoft Defender for Identity. يلتقط Defender for Identity الأنشطة استنادا إلى نسبة استخدام الشبكة وأحداث Windows و ETW - تحتوي هذه الأنشطة عادة على بيانات IP.

باستخدام NNR، يمكن ل Defender for Identity الارتباط بين الأنشطة الأولية (التي تحتوي على عناوين IP)، وأجهزة الكمبيوتر ذات الصلة المشاركة في كل نشاط. استنادا إلى الأنشطة الأولية، يقوم Defender for Identity بملفات تعريف الكيانات، بما في ذلك أجهزة الكمبيوتر، وينشئ تنبيهات أمان للأنشطة المشبوهة.

لحل عناوين IP لأسماء الكمبيوتر، تبحث مستشعرات Defender for Identity عن عناوين IP باستخدام الطرق التالية:

الأساليب الأساسية:

  • NTLM عبر RPC (منفذ TCP 135)
  • NetBIOS (منفذ UDP 137)
  • RDP (منفذ TCP 3389) - الحزمة الأولى فقط من Client hello

الأسلوب الثانوي:

  • الاستعلام عن خادم DNS باستخدام بحث DNS العكسي لعنوان IP (UDP 53)

للحصول على أفضل النتائج، نوصي باستخدام إحدى الطرق الأساسية على الأقل. يتم إجراء بحث DNS العكسي لعنوان IP فقط عندما:

  • لا توجد استجابة من أي من الأساليب الأساسية.
  • هناك تعارض في الاستجابة الواردة من طريقتين أساسيتين أو أكثر.

ملاحظة

لا يتم تنفيذ أي مصادقة على أي من المنافذ.

يقوم Defender for Identity بتقييم وتحديد نظام تشغيل الجهاز استنادا إلى نسبة استخدام الشبكة. بعد استرداد اسم الكمبيوتر، يتحقق مستشعر Defender for Identity من Active Directory ويستخدم بصمات TCP لمعرفة ما إذا كان هناك كائن كمبيوتر مرتبط بنفس اسم الكمبيوتر. يساعد استخدام بصمات TCP في تحديد الأجهزة غير المسجلة وغير التي تعمل بنظام التشغيل Windows، مما يساعد في عملية التحقيق. عندما يعثر مستشعر Defender for Identity على الارتباط، يقوم المستشعر بربط IP بكائن الكمبيوتر.

في الحالات التي لا يتم فيها استرداد أي اسم، يتم إنشاء ملف تعريف كمبيوتر لم يتم حله بواسطة IP باستخدام IP والنشاط المكتشف ذي الصلة.

تعد بيانات NNR أمرا بالغ الأهمية للكشف عن التهديدات التالية:

  • سرقة الهوية المشتبه بها (تمرير البطاقة)
  • هجوم DCSync المشتبه به (النسخ المتماثل لخدمات الدليل)
  • استطلاع تعيين الشبكة (DNS)

لتحسين قدرتك على تحديد ما إذا كان التنبيه موجبا حقيقيا (TP) أو إيجابي خاطئ (FP)، يتضمن Defender for Identity درجة اليقين في حل تسمية الكمبيوتر في دليل كل تنبيه أمان.

على سبيل المثال، عند حل أسماء الكمبيوتر بيقين عال ، فإنه يزيد من الثقة في تنبيه الأمان الناتج ك "إيجابي حقيقي " أو "TP".

تتضمن الأدلة الوقت وعنوان IP واسم الكمبيوتر الذي تم حل IP إليه. عندما يكون تأكيد الدقة منخفضا، استخدم هذه المعلومات للتحقيق والتحقق من الجهاز الذي كان المصدر الحقيقي ل IP في هذا الوقت. بعد تأكيد الجهاز، يمكنك بعد ذلك تحديد ما إذا كان التنبيه موجبا خاطئا أو FP، على غرار الأمثلة التالية:

  • سرقة الهوية المشتبه بها (تمرير البطاقة) - تم تشغيل التنبيه لنفس الكمبيوتر.

  • هجوم DCSync المشتبه به (النسخ المتماثل لخدمات الدليل) - تم تشغيل التنبيه من وحدة تحكم المجال.

  • استطلاع تعيين الشبكة (DNS) - تم تشغيل التنبيه من خادم DNS.

    دليل على اليقين.

توصيات التكوين

  • NTLM عبر RPC:

    • تحقق من أن منفذ TCP 135 مفتوح للاتصالات الواردة من Defender for Identity Sensors، على جميع أجهزة الكمبيوتر في البيئة.
    • تحقق من جميع تكوينات الشبكة (جدران الحماية)، لأن هذا يمكن أن يمنع الاتصال بالمنافذ ذات الصلة.
  • NetBIOS:

    • تحقق من أن منفذ UDP 137 مفتوح للاتصالات الواردة من Defender for Identity Sensors، على جميع أجهزة الكمبيوتر في البيئة.
    • تحقق من جميع تكوينات الشبكة (جدران الحماية)، لأن هذا يمكن أن يمنع الاتصال بالمنافذ ذات الصلة.
  • RDP:

    • تحقق من أن منفذ TCP 3389 مفتوح للاتصال الوارد من Defender for Identity Sensors، على جميع أجهزة الكمبيوتر في البيئة.
    • تحقق من جميع تكوينات الشبكة (جدران الحماية)، لأن هذا يمكن أن يمنع الاتصال بالمنافذ ذات الصلة.

    ملاحظة

    • مطلوب واحد فقط من هذه البروتوكولات، ولكن نوصي باستخدامها جميعا.
    • منافذ RDP المخصصة غير مدعومة.
  • DNS العكسي:

    • تحقق من أن المستشعر يمكنه الوصول إلى خادم DNS ومن تمكين مناطق البحث العكسي.

المشكلات الصحية

للتأكد من أن Defender for Identity يعمل بشكل مثالي وأن البيئة قد تم تكوينها بشكل صحيح، يتحقق Defender for Identity من حالة الدقة لكل مستشعر ويصدر تنبيها صحيا لكل أسلوب، ما يوفر قائمة بأجهزة استشعار Defender for Identity بمعدل نجاح منخفض لتحليل الاسم النشط باستخدام كل أسلوب.

ملاحظة

لتعطيل أسلوب NNR اختياري في Defender for Identity لتناسب احتياجات بيئتك، افتح حالة دعم.

يوفر كل تنبيه صحي تفاصيل محددة للأسلوب وأدوات الاستشعار وسياسة الإشكالية بالإضافة إلى توصيات التكوين. لمزيد من المعلومات حول مشكلات الصحة، راجع Microsoft Defender for Identity مشكلات صحة المستشعر.

انظر أيضاً