Integrace SÍTĚ VPN v programu Defender for Identity v XDR v programu Microsoft Defender
Microsoft Defender for Identity se může integrovat s vaším řešením VPN tím, že naslouchá událostem monitorování účtů RADIUS předávaným senzorům Defenderu for Identity, jako jsou IP adresy a umístění, kde připojení pocházejí. Data monitorování sítě VPN vám můžou pomoct při vyšetřování tím, že poskytují další informace o aktivitách uživatelů, například o umístěních, ze kterých se počítače připojují k síti, a další detekci neobvyklých připojení VPN.
Integrace sítě VPN v programu Defender for Identity je založená na standardním účtování protokolu RADIUS (RFC 2866) a podporuje následující dodavatele sítě VPN:
- Microsoft
- F5
- Check Point
- Cisco ASA
Integrace SÍTĚ VPN není podporována v prostředích, která dodržují standard FIPS (Federal Information Processing Standards).
Integrace sítě VPN v programu Defender for Identity podporuje primární hlavní názvy uživatele (UPN) i alternativní hlavní názvy uživatelů. Volání pro překlad externích IP adres do umístění jsou anonymní a v hovoru se neposílají žádné osobní identifikátory.
Požadavky
Než začnete, ujistěte se, že máte:
Přístup k oblasti Nastavení v XDR v programu Microsoft Defender. Další informace najdete v tématu Skupiny rolí v programu Microsoft Defender for Identity.
Možnost konfigurace protokolu RADIUS v systému VPN.
Tento článek obsahuje příklad konfigurace Microsoft Defenderu for Identity ke shromažďování informací o účetnictví z řešení VPN pomocí serveru směrování a vzdáleného přístupu (RRAS). Pokud používáte řešení VPN jiného výrobce, přečtěte si jejich dokumentaci, kde najdete pokyny, jak povolit účtování protokolu RADIUS.
Poznámka:
Když nakonfigurujete integraci sítě VPN, senzor defenderu pro identitu povolí předem zřízenou zásadu brány Windows Firewall s názvem Microsoft Defender for Identity Sensor. Tato zásada umožňuje příchozí účtování protokolu RADIUS na portu UDP 1813.
Konfigurace účtování protokolu RADIUS v systému VPN
Tento postup popisuje, jak nakonfigurovat účtování protokolu RADIUS na serveru RRAS pro integraci systému VPN se službou Defender for Identity. Pokyny systému se můžou lišit.
Na serveru RRAS:
Otevřete konzolu Směrování a vzdálený přístup .
Klikněte pravým tlačítkem myši na název serveru a vyberte Vlastnosti.
Na kartě Zabezpečení v části Zprostředkovatele účetnictví vyberte Konfigurovat účet>radius. Příklad:
V dialogovém okně Přidat server RADIUS zadejte název serveru nejbližšího senzoru identity v programu Defender for Identity s připojením k síti. Pro zajištění vysoké dostupnosti můžete přidat další senzory Defenderu for Identity jako servery RADIUS.
V části Port se ujistěte, že je nakonfigurovaná výchozí hodnota
1813.Vyberte Změnit a zadejte nový sdílený tajný řetězec alfanumerických znaků. Poznamenejte si nový sdílený tajný řetězec, protože ho budete potřebovat později při konfiguraci integrace sítě VPN v defenderu pro identitu.
Zaškrtněte políčko Odeslat účet RADIUS on and Accounting Off zprávy a zaškrtněte políčko OK ve všech otevřených dialogových oknech. Příklad:
Konfigurace sítě VPN v programu Defender for Identity
Tento postup popisuje, jak nakonfigurovat integraci sítě VPN v programu Defender for Identity v programu Microsoft Defender XDR.
Přihlaste se k XDR v programu Microsoft Defender a vyberte Nastavení> Identities>VPN.
Vyberte Povolit účet radius a zadejte sdílený tajný klíč , který jste dříve nakonfigurovali na serveru VPN RRAS. Příklad:
Pokračujte výběrem možnosti Uložit .
Po uložení výběru začnou senzory Defender for Identity naslouchat na portu 1813 pro události účtování protokolu RADIUS a nastavení sítě VPN je hotové.
Když senzor defenderu pro identitu obdrží události VPN a odešle je do cloudové služby Defender for Identity ke zpracování, profil entity označuje různá umístění VPN, ke kterým se přistupovalo, a aktivity profilu označují umístění.
Související obsah
Další informace naleznete v tématu Konfigurace shromažďování událostí.