Microsoft Defender for Identity architektura
Microsoft Defender for Identity monitoruje řadiče domény zachytáváním a parsováním síťového provozu a využíváním událostí Windows přímo z řadičů domény a pak analyzuje data pro útoky a hrozby. Použití profilace, deterministické detekce, strojového učení a behaviorálních algoritmů Defender for Identity se dozví o vaší síti, umožní detekci anomálií a upozorní vás na podezřelé aktivity.
Architektura Defenderu for Identity:
Tato část popisuje, jak funguje tok sítě a zachytávání událostí v Programu Defender for Identity, a obsahuje podrobné informace o funkcích hlavních komponent: portálu Microsoft 365 Defender, senzoru Defenderu for Identity a cloudové službě Defender for Identity.
Senzor Defenderu for Identity nainstalovaný přímo na řadiči domény nebo na serverech SLUŽBY AD FS přistupuje k protokolům událostí, které vyžaduje, přímo ze serverů. Po analýze protokolů a síťového provozu senzorem odešle Defender for Identity do cloudové služby Defender for Identity jenom analyzované informace (odesílají se jenom procento protokolů).
Součásti Defenderu pro identity
Defender for Identity se skládá z následujících komponent:
portál Microsoft 365 Defender
Portál Microsoft 365 Defender vytvoří instanci Defenderu for Identity, zobrazí data přijatá ze senzorů Defenderu for Identity a umožní monitorovat, spravovat a prošetřovat hrozby ve vašem síťovém prostředí.Senzor Defenderu for Identity
Senzory defenderu for Identity je možné nainstalovat přímo na následující servery:- Řadiče domény: Senzor přímo monitoruje provoz řadiče domény bez nutnosti použití vyhrazeného serveru nebo konfigurace zrcadlení portů.
- AD FS: Senzor přímo monitoruje síťový provoz a události ověřování.
Cloudová služba Defender for Identity
Cloudová služba Defender for Identity běží na infrastruktuře Azure a aktuálně je nasazená v USA, Evropě, Austrálii – východ a Asii. Cloudová služba Defender for Identity je připojená k inteligentnímu grafu zabezpečení Microsoftu.
portál Microsoft 365 Defender
Poznámka
Vzhledem k tomu, že všechny hlavní funkce Microsoft Defender for Identity jsou dostupné na portálu Microsoft 365 Defender, bude od 31. ledna 2023 pro každého tenanta automaticky povoleno nastavení přesměrování portálu. Další informace najdete v tématu Přesměrování účtů z Microsoft Defender for Identity na Microsoft 365 Defender.
Pomocí portálu Microsoft 365 Defender:
- Vytvoření instance služby Defender for Identity
- Integrace s dalšími službami zabezpečení Microsoftu
- Správa nastavení konfigurace senzoru Defender for Identity
- Zobrazení dat přijatých ze senzorů Defenderu for Identity
- Monitorování zjištěných podezřelých aktivit a podezřelých útoků na základě modelu řetězu útoků
- Volitelné: Portál je také možné nakonfigurovat tak, aby odesílal e-maily a události při zjištění výstrah zabezpečení nebo problémů se stavem.
Poznámka
Pokud do 60 dnů není v instanci Defenderu pro identitu nainstalovaný žádný senzor, může být instance odstraněna a budete ji muset znovu vytvořit.
Senzor Defenderu for Identity
Senzor Defenderu for Identity má následující základní funkce:
- Zachytávání a kontrola síťového provozu řadiče domény (místní provoz řadiče domény)
- Příjem událostí Windows přímo z řadičů domény
- Příjem informací o účtování protokolu RADIUS od poskytovatele SÍTĚ VPN
- Získávají data o uživatelích a počítačích z domény Active Directory.
- Provádějí rozpoznání síťových entit (uživatelů, skupin a počítačů).
- Přenos relevantních dat do cloudové služby Defender for Identity
Funkce senzoru Defender for Identity
Senzor Defenderu for Identity čte události místně, aniž by bylo nutné kupovat a udržovat další hardware nebo konfigurace. Senzor Defenderu for Identity také podporuje trasování událostí pro Windows (ETW), které poskytuje informace protokolu pro více detekcí. Detekce na základě trasování událostí pro Windows zahrnují podezřelé útoky DCShadow, které se pokusily použít požadavky na replikaci řadiče domény a povýšení řadiče domény.
Proces synchronizátoru domény
Proces synchronizátoru domény zodpovídá za proaktivní synchronizaci všech entit z konkrétní domény služby Active Directory (podobně jako mechanismus používaný pro replikaci samotnými řadiči domény). Ze všech oprávněných senzorů se automaticky náhodně vybere jeden senzor, který bude sloužit jako synchronizátor domény.
Pokud je synchronizátor domény offline déle než 30 minut, vybere se místo toho automaticky jiný senzor.
Omezení prostředků
Senzor Defenderu for Identity zahrnuje monitorovací komponentu, která vyhodnocuje dostupnou výpočetní a paměťovou kapacitu na řadiči domény, na kterém běží. Proces monitorování se spouští každých 10 sekund a dynamicky aktualizuje kvótu využití procesoru a paměti v procesu senzoru Defenderu for Identity. Proces monitorování zajišťuje, aby řadič domény měl vždy k dispozici alespoň 15 % volných výpočetních a paměťových prostředků.
Bez ohledu na to, co se na řadiči domény děje, proces monitorování neustále uvolní prostředky, aby se zajistilo, že základní funkce řadiče domény nebude nikdy ovlivněna.
Pokud proces monitorování způsobí, že senzoru Defenderu for Identity dojde prostředky, monitoruje se jenom částečný provoz a na stránce senzoru Defenderu for Identity se zobrazí upozornění na stav "Vyřazený síťový provoz zrcadlený z portů".
Události systému Windows
Aby se zlepšilo pokrytí detekce Defenderu pro identitu související s ověřováním NTLM, úpravami citlivých skupin a vytvářením podezřelých služeb, musí Defender for Identity analyzovat protokoly zde uvedených událostí Windows. Senzory Defenderu for Identity tyto události načítají automaticky se správným pokročilým nastavením zásad auditu. Pokud chcete zajistit, aby se událost Windows 8004 auditovala podle potřeby službou, zkontrolujte nastavení auditu PROTOKOLU NTLM.