Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Defender for Identity valvoo toimialueen ohjauskoneita sieppaamalla ja jäsentämällä verkkoliikennettä, hyödyntämällä Windows-tapahtumia suoraan toimialueen ohjauskoneista ja analysoimalla sitten tietoja hyökkäysten ja uhkien varalta.
Seuraavassa kuvassa näkyy, miten Defender for Identity kerrostetaan Microsoft Defender XDR ja miten se toimii yhdessä muiden Microsoft-palveluiden ja kolmansien osapuolten tunnistetietopalvelujen kanssa valvomaan toimialueen ohjauskoneista ja Active Directory -palvelimista tulevaa liikennettä.
Suoraan toimialueen ohjauskoneeseen, Active Directory -liittoutumispalvelut (AD FS) tai Active Directory Certificate Services (AD CS) -palvelimiin asennettu Defender for Identity -tunnistin käyttää tarvitsemiaan tapahtumalokeja suoraan palvelimista. Kun tunnistin on jäsentänyt lokit ja verkkoliikenteen, Defender for Identity lähettää vain jäsenntyneet tiedot Defender for Identity -pilvipalveluun.
Defender for Identity -osat
Defender for Identity koostuu seuraavista osista:
Microsoft Defender -portaali
Microsoft Defender-portaali luo Defender for Identity -työtilan, näyttää Defender for Identity -tunnistimista vastaanotetut tiedot ja mahdollistaa verkkoympäristösi uhkien seurannan, hallinnan ja tutkimisen.Defender for Identity -tunnistin Defender for Identity -tunnistimet voidaan asentaa suoraan seuraaviin palvelimiin:
- Toimialueen ohjauskoneet: Tunnistin valvoo suoraan toimialueen ohjauskoneen liikennettä ilman erillistä palvelinta tai porttipelauksen määritystä.
- AD FS / AD CS: Tunnistin valvoo suoraan verkkoliikennettä ja todentamistapahtumia.
Defender for Identity -pilvipalvelu
Defender for Identity -pilvipalvelu toimii Azure-infrastruktuurissa, ja se on tällä hetkellä käytössä Euroopassa, Isossa-Britanniassa, Sveitsissä, Pohjois-Amerikka/Keski-Amerikassa/Karibialla, Australiassa, idässä, Aasiassa ja Intiassa. Defender for Identity -pilvipalvelu on yhdistetty Microsoftin älykkääseen suojauskaavioon.
Microsoft Defender -portaali
Microsoft Defender portaalin avulla voit tehdä seuraavaa:
- Luo Defender for Identity -työtila.
- Integroi muihin Microsoftin suojauspalveluihin.
- Hallitse Defender for Identity -tunnistimen määritysasetuksia.
- Näytä Defenderiltä vastaanotetut käyttäjätietotunnistimien tiedot.
- Valvonta havaitsi epäilyttäviä toimia ja epäiltyjä hyökkäyksiä hyökkäyksen tappoketjumallin perusteella.
- Valinnainen: Portaali voidaan myös määrittää lähettämään sähköpostiviestejä ja tapahtumia, kun suojausilmoituksia tai kunto-ongelmia havaitaan.
Huomautus
Jos Defender for Identity -työtilaan ei ole asennettu tunnistinta 60 päivän kuluessa, työtila voidaan poistaa ja sinun on luotava se uudelleen.
Defender for Identity -tunnistin
Defender for Identity -tunnistimella on seuraavat perustoiminnot:
- Sieppaa ja tarkista toimialueen ohjauskoneen verkkoliikenne (toimialueen ohjauskoneen paikallinen liikenne)
- Vastaanota Windows-tapahtumia suoraan toimialueen ohjauskoneista
- Vastaanota RADIUS-kirjanpitotietoja VPN-palveluntarjoajaltasi
- Käyttäjien ja tietokoneiden tietojen noutaminen Active Directory -toimialueelta
- Verkkoentiteettien (käyttäjien, ryhmien ja tietokoneiden) resoluutio
- Asianmukaisten tietojen siirtäminen Defender for Identity -pilvipalveluun
Defender for Identity -tunnistin lukee tapahtumat paikallisesti ilman tarvetta ostaa ja ylläpitää muita laitteistoja tai määrityksiä. Defender for Identity -tunnistin tukee myös Windowsin tapahtumien seurantaa (ETW), joka tarjoaa lokitiedot useille tunnistuksille. ETW-pohjaisia tunnistuksia ovat epäillyt DCShadow-hyökkäykset, joita yritetään toimialueen ohjauskoneen replikointipyyntöjen ja toimialueen ohjauskoneen ylentämisen avulla.
Toimialueen synkronointiprosessi
Toimialueen synkronointiprosessi on vastuussa kaikkien entiteettien synkronoinnista tietystä Active Directory -toimialueesta ennakoivasti (samankaltainen kuin mekanismi, jota toimialueen ohjauskoneet käyttävät itse replikointiin). Yksi tunnistin valitaan automaattisesti satunnaisesti kaikista kelvollisista tunnistimista toimialueen synkronointiohjelmaksi.
Jos toimialueen synkronointiohjelma on offline-tilassa yli 30 minuuttia, toinen tunnistin valitaan sen sijaan automaattisesti.
Resurssirajoitukset
Defender for Identity -tunnistin sisältää valvontakomponentin, joka arvioi käytettävissä olevan käsittely- ja muistikapasiteetin palvelimessa, jossa se on käynnissä. Valvontaprosessi suoritetaan 10 sekunnin välein, ja se päivittää dynaamisesti suorittimen ja muistin käyttökiintiön Defender for Identity -tunnistinprosessissa. Valvontaprosessi varmistaa, että palvelimessa on aina vähintään 15 % vapaasta käsittely- ja muistiresursseista.
Riippumatta siitä, mitä palvelimessa tapahtuu, valvontaprosessi vapauttaa jatkuvasti resursseja sen varmistamiseksi, ettei tämä vaikuta palvelimen ydintoimintoihin.
Jos valvontaprosessi aiheuttaa sen, että Defender for Identity -tunnistimen resurssit loppuvat, vain osittaista liikennettä valvotaan ja kuntohälytys "Pudotettu portti peilattu verkkoliikenne" näkyy Defender for Identity -tunnistimen sivulla.
Windows-tapahtumat
Parantaakseen Defender for Identityn tunnistamisen kattavuutta, joka liittyy NTLM-todennuksiin, luottamuksellisten ryhmien muutoksiin ja epäilyttävien palvelujen luomiseen, Defender for Identity analysoi tiettyjen Windows-tapahtumien lokit.
Jos haluat varmistaa, että lokit luetaan, varmista, että Defender for Identity -tunnistimella on kehittyneet valvontakäytäntöasetukset määritetty oikein. Jos haluat varmistaa, että palvelu seuraa Windowsin tapahtumaa 8004 tarvittaessa, tarkista NTLM-valvonta-asetukset
Seuraavat vaiheet
Microsoft Defender for Identity käyttöönotto Microsoft Defender XDR kanssa