Architektura Microsoft Defenderu for Identity
Microsoft Defender for Identity monitoruje řadiče domény zachytáváním a parsováním síťového provozu, využíváním událostí Windows přímo z řadičů domény a následnou analýzou dat pro útoky a hrozby.
Následující obrázek ukazuje, jak je Defender for Identity vrstvený přes XDR v programu Microsoft Defender a spolupracuje s dalšími služby Microsoft a zprostředkovateli identity třetích stran, které monitorují provoz přicházející z řadičů domény a serverů Active Directory.
Nainstalovaný přímo na řadiči domény, Active Directory Federation Services (AD FS) (AD FS) nebo na serverech služby AD CS (Active Directory Certificate Services), má senzor služby Defender for Identity přístup k protokolům událostí, které vyžaduje přímo ze serverů. Jakmile senzor analyzuje protokoly a síťový provoz, odešle Defender for Identity do cloudové služby Defender for Identity jenom analyzované informace.
Komponenty Defenderu for Identity
Defender for Identity se skládá z následujících komponent:
Portál Microsoft Defenderu
Portál Microsoft Defenderu vytvoří pracovní prostor Defenderu for Identity, zobrazí data přijatá ze senzorů Defenderu for Identity a umožňuje monitorovat, spravovat a zkoumat hrozby ve vašem síťovém prostředí.Defender for Identity sensor Defender for Identity sensors se dá nainstalovat přímo na následující servery:
- Řadiče domény: Senzor přímo monitoruje provoz řadiče domény bez nutnosti vyhrazeného serveru nebo konfigurace zrcadlení portů.
- AD FS / AD CS: Senzor přímo monitoruje síťový provoz a události ověřování.
Cloudová služba Defender for Identity
Cloudová služba Defender for Identity běží na infrastruktuře Azure a aktuálně je nasazená v Evropě, Spojeném království, Švýcarsku, Severní Amerika/ Střední Americe/ Karibské oblasti, Austrálii – východ, Asii a Indii. Cloudová služba Defender for Identity je připojená k inteligentnímu grafu zabezpečení Microsoftu.
Portál Microsoft Defender
Pomocí portálu Microsoft Defenderu můžete:
- Vytvořte pracovní prostor Defenderu for Identity.
- Integrace s dalšími službami zabezpečení Microsoftu
- Správa nastavení konfigurace senzoru identity v programu Defender for Identity
- Zobrazení dat přijatých ze senzorů Defenderu for Identity
- Monitorujte zjištěné podezřelé aktivity a podezřelé útoky na základě modelu řetězu ukončení útoku.
- Volitelné: Portál je také možné nakonfigurovat tak, aby po zjištění výstrah zabezpečení nebo problémů se stavem odesílaly e-maily a události.
Poznámka:
Pokud v pracovním prostoru Defender for Identity do 60 dnů není nainstalovaný žádný senzor, může se pracovní prostor odstranit a budete ho muset znovu vytvořit.
Senzor služby Defender for Identity
Senzor defenderu pro identitu má následující základní funkce:
- Zachytávání a kontrola síťového provozu řadiče domény (místní provoz řadiče domény)
- Příjem událostí Systému Windows přímo z řadičů domény
- Příjem informací o účtování protokolu RADIUS od poskytovatele sítě VPN
- Načtení dat o uživatelích a počítačích z domény služby Active Directory
- Řešení síťových entit (uživatelů, skupin a počítačů)
- Přenos relevantních dat do cloudové služby Defender for Identity
Senzor služby Defender for Identity čte události místně, aniž by bylo nutné kupovat a udržovat další hardware nebo konfigurace. Senzor defenderu pro identitu podporuje také trasování událostí pro Windows (ETW), které poskytuje informace protokolu pro více detekcí. Detekce založené na trasách tras pro Windows zahrnují podezřelé útoky DCShadow, které se pokusily použít požadavky na replikaci řadiče domény a povýšení řadiče domény.
Proces synchronizátoru domény
Proces synchronizátoru domény je zodpovědný za proaktivní synchronizaci všech entit z konkrétní domény služby Active Directory (podobně jako mechanismus používaný samotnými řadiči domény pro replikaci). Jeden senzor se automaticky vybere náhodně ze všech vašich oprávněných senzorů, aby sloužil jako synchronizátor domény.
Pokud je synchronizátor domény offline déle než 30 minut, vybere se místo toho jiný senzor.
Omezení prostředků
Senzor defenderu pro identitu zahrnuje monitorovací komponentu, která vyhodnocuje dostupnou výpočetní kapacitu a kapacitu paměti na serveru, na kterém běží. Proces monitorování běží každých 10 sekund a dynamicky aktualizuje kvótu využití procesoru a paměti v procesu senzoru identity v programu Defender for Identity. Proces monitorování zajišťuje, že server má vždy k dispozici alespoň 15 % volných výpočetních a paměťových prostředků.
Bez ohledu na to, co se děje na serveru, proces monitorování průběžně uvolní prostředky, aby se zajistilo, že základní funkce serveru nikdy neovlivní.
Pokud proces monitorování způsobí, že senzor identity Defenderu for Identity dojde k výpadku prostředků, monitoruje se jenom částečný provoz a na stránce senzoru defenderu pro identitu se zobrazí upozornění na stav Vyřazený síťový provoz se zrcadleným portem.
Události systému Windows
Pokud chcete vylepšit pokrytí detekce identity v programu Defender for Identity související s ověřováním NTLM, úpravy citlivých skupin a vytváření podezřelých služeb, Defender for Identity analyzuje protokoly konkrétních událostí Windows.
Pokud chcete zajistit, aby se protokoly četly, ujistěte se, že je správně nakonfigurované pokročilé nastavení zásad auditu v defenderu pro identitu. Pokud chcete zajistit, aby služba auditovala událost Systému Windows 8004 podle potřeby, zkontrolujte nastavení auditu NTLM.
Další krok
Nasazení Microsoft Defenderu for Identity pomocí XDR v programu Microsoft Defender