Netzwerknamensauflösung in Microsoft Defender for Identity

Die Netzwerknamensauflösung (Network Name Resolution, NNR) ist eine Standard Komponente Microsoft Defender for Identity Funktionalität. Defender for Identity erfasst Aktivitäten basierend auf Netzwerkdatenverkehr, Windows-Ereignissen und ETW . Diese Aktivitäten enthalten normalerweise IP-Daten.

Mithilfe von NNR kann Defender for Identity zwischen unformatierten Aktivitäten (mit IP-Adressen) und den relevanten Computern korrelieren, die an den einzelnen Aktivitäten beteiligt sind. Basierend auf den rohen Aktivitäten profiliert Defender for Identity Entitäten, einschließlich Computern, und generiert Sicherheitswarnungen für verdächtige Aktivitäten.

Um IP-Adressen in Computernamen aufzulösen, suchen Defender for Identity-Sensoren mithilfe der folgenden Methoden nach den IP-Adressen:

Primäre Methoden:

• NTLM über RPC (TCP-Port 135)
• NetBIOS (UDP-Port 137)
• RDP (TCP-Port 3389): nur das erste Paket von "Client hello"

Sekundäre Methode:

• Fragt den DNS-Server mithilfe der Reverse-DNS-Suche der IP-Adresse ab (UDP 53)

Um optimale Ergebnisse zu erzielen, wird empfohlen, mindestens eine der primären Methoden zu verwenden. Reverse-DNS-Lookup der IP-Adresse wird nur in folgenden Fällen ausgeführt:

• Es gibt keine Antwort von einer der primären Methoden.
• Es gibt einen Konflikt in der Antwort, die von zwei oder mehr primären Methoden empfangen wird.

Hinweis

An keinem der Ports wird eine Authentifizierung durchgeführt.

Defender for Identity wertet das Gerätebetriebssystem basierend auf dem Netzwerkdatenverkehr aus und ermittelt es. Nach dem Abrufen des Computernamens überprüft der Defender for Identity-Sensor Active Directory und verwendet TCP-Fingerabdrücke, um festzustellen, ob ein korreliertes Computerobjekt mit demselben Computernamen vorhanden ist. Die Verwendung von TCP-Fingerabdrücken hilft bei der Identifizierung nicht registrierter und Nicht-Windows-Geräte, was Den Untersuchungsprozess unterstützt. Wenn der Defender for Identity-Sensor die Korrelation findet, ordnet der Sensor die IP-Adresse dem Computerobjekt zu.

In Fällen, in denen kein Name abgerufen wird, wird ein nicht aufgelöstes Computerprofil nach IP mit der IP-Adresse und der relevanten erkannten Aktivität erstellt.

NNR-Daten sind entscheidend für die Erkennung der folgenden Bedrohungen:

• Mutmaßlicher Identitätsdiebstahl (Pass-the-Ticket)
• Vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten)
• Netzwerkzuordnungs-Reconnaissance (DNS)

Um die Möglichkeit zu verbessern, festzustellen, ob es sich bei einer Warnung um ein true positives (TP) oder false Positive (FP) handelt, umfasst Defender for Identity den Grad der Sicherheit der Auflösung der Computerbenennung in den Beweis jeder Sicherheitswarnung.

Wenn beispielsweise Computernamen mit hoher Sicherheit aufgelöst werden, erhöht dies das Vertrauen in die resultierende Sicherheitswarnung als True Positive oder TP.

Der Beweis umfasst die Uhrzeit, die IP-Adresse und den Computernamen, in die die IP-Adresse aufgelöst wurde. Wenn die Auflösungssicherheit gering ist, verwenden Sie diese Informationen, um zu untersuchen und zu überprüfen, welches Gerät zu diesem Zeitpunkt die wahre Quelle der IP war. Nachdem Sie das Gerät bestätigt haben, können Sie wie in den folgenden Beispielen feststellen, ob die Warnung falsch positiv oder FP ist:

• Mutmaßlicher Identitätsdiebstahl (Pass-the-Ticket): Die Warnung wurde für denselben Computer ausgelöst.

• Vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten): Die Warnung wurde von einem Domänencontroller ausgelöst.

• Netzwerkzuordnungs-Reconnaissance (DNS): Die Warnung wurde von einem DNS-Server ausgelöst.

  

Konfigurationsempfehlungen

• NTLM über RPC:

  • Überprüfen Sie, ob TCP-Port 135 für die eingehende Kommunikation von Defender for Identity Sensors auf allen Computern in der Umgebung geöffnet ist.
  • Überprüfen Sie alle Netzwerkkonfigurationen (Firewalls), da dies die Kommunikation mit den relevanten Ports verhindern kann.

• NetBIOS:

  • Überprüfen Sie, ob UDP-Port 137 für die eingehende Kommunikation von Defender for Identity Sensors auf allen Computern in der Umgebung geöffnet ist.
  • Überprüfen Sie alle Netzwerkkonfigurationen (Firewalls), da dies die Kommunikation mit den relevanten Ports verhindern kann.

• RDP:

  • Überprüfen Sie, ob TCP-Port 3389 für die eingehende Kommunikation von Defender for Identity Sensors auf allen Computern in der Umgebung geöffnet ist.
  • Überprüfen Sie alle Netzwerkkonfigurationen (Firewalls), da dies die Kommunikation mit den relevanten Ports verhindern kann.

  Hinweis

  • Es ist nur eines dieser Protokolle erforderlich, es wird jedoch empfohlen, alle Protokolle zu verwenden.
  • Angepasste RDP-Ports werden nicht unterstützt.

• Reverse-DNS:

  • Überprüfen Sie, ob der Sensor den DNS-Server erreichen kann und dass Reverse-Lookupzonen aktiviert sind.

Integritätsprobleme

Um sicherzustellen, dass Defender for Identity optimal funktioniert und die Umgebung ordnungsgemäß konfiguriert ist, überprüft Defender for Identity die Auflösung status jedes Sensors und gibt eine Integritätswarnung pro Methode aus. Dabei wird eine Liste der Defender for Identity-Sensoren mit geringer Erfolgsrate der aktiven Namensauflösung mit jeder Methode bereitgestellt.

Hinweis

Um eine optionale NNR-Methode in Defender for Identity zu deaktivieren, die den Anforderungen Ihrer Umgebung entspricht, öffnen Sie eine Supportanfrage.

Jede Integritätswarnung enthält spezifische Details der Methode, der Sensoren, der problematischen Richtlinie sowie Konfigurationsempfehlungen. Weitere Informationen zu Integritätsproblemen finden Sie unter Microsoft Defender for Identity Sensorintegritätsprobleme.

Siehe auch

• Voraussetzungen für Defender for Identity
• Konfigurieren der Ereignissammlung
• Sehen Sie sich das Defender for Identity-Forum an!