Architecture de Microsoft Defender pour Identity

Microsoft Defender pour Identity surveille vos contrôleurs de domaine en capturant et en analysant le trafic réseau, en tirant profit des événements Windows directement à partir de vos contrôleurs de domaine, puis en analysant les données à la recherche d'attaques et de menaces.

L’image suivante montre comment Defender pour Identity est conçu sur le modèle Microsoft Defender XDR et fonctionne avec d’autres services Microsoft et autres tierces fournisseurs d’identité pour surveiller le trafic provenant des contrôleurs de domaine et des serveurs Active Directory.

Diagram of the Defender for Identity architecture.

Installé directement sur vos serveurs de contrôleur de domaine, de services de fédération Active Directory (AD FS) ou de services de certificats Active Directory (AD CS), le capteur Defender pour Identity accède aux journaux d'événements qu’il requière directement à partir des serveurs. Une fois les journaux et le trafic réseau analysés par le capteur, Defender pour Identity envoie seulement les informations analysées au service cloud Defender pour Identity.

Composants Defender pour Identity

Defender pour Identity est constitué des composants suivants :

  • Portail Microsoft Defender
    Le portail Microsoft Defender crée votre espace de travail Defender pour Identity, affiche les données reçues des capteurs Defender pour Identity et vous permet de surveiller, gérer et enquêter les menaces dans votre environnement réseau.

  • Capteur Defender pour Identity Les capteurs Defender pour Identity peuvent être installés directement sur les serveurs suivants :

    • Contrôleurs de domaine : Le capteur supervise directement le trafic des contrôleurs de domaine, sans recourir à un serveur dédié, ou à une configuration de mise en miroir de ports.
    • AD FS AD CS : le capteur surveille directement le trafic réseau et les événements d’authentification.
  • Service cloud Defender pour Identity
    Le service cloud Defender pour Identity est opérationnel dans l’infrastructure Azure et est actuellement déployé aux États-Unis, en Europe, en Australie Est et en Asie. Le service cloud Defender pour Identity est connecté à Microsoft Intelligent Security Graph.

Portail Microsoft Defender

Utilisez le portail Microsoft Defender pour :

  • Créer votre espace de travail Defender pour Identity.
  • L’intégrer à d’autres services de sécurité Microsoft.
  • Gérer les paramètres de configuration du capteur Defender pour Identity.
  • Visualiser les données reçues des capteurs Defender pour Identity.
  • Surveiller les activités suspectes détectées et les attaques suspectes grâce au modèle de chaîne de destruction d’attaque.
  • Facultatif : le portail peut également être configuré pour envoyer des e-mails et des notifications lorsque des alertes de sécurité ou des problèmes d’intégrité système sont détectés.

Remarque

Si aucun capteur n’est installé dans votre espace de travail Defender pour Identity dans un délai de 60 jours, il se peut qu’il soit supprimé, il faudra donc le recréer.

Capteur Defender pour Identity

Le capteur Defender pour Identity a les fonctionnalités de base suivantes :

  • Capturez et inspectez le trafic réseau du contrôleur de domaine (trafic local du contrôleur de domaine)
  • Recevez des événements Windows directement de la part des contrôleurs de domaine
  • Recevez des informations RADIUS de comptabilité de votre fournisseur VPN
  • Récupérez des données sur les utilisateurs et les ordinateurs du domaine Active Directory
  • Effectuez la résolution des entités réseau (utilisateurs, groupes et ordinateurs)
  • Transférer les données pertinentes au service cloud Defender pour Identity

Le capteur Defender pour Identity lit les événements localement, ce qui évite les frais liés à l’achat et à la maintenance de matériel et de configurations supplémentaires. Le capteur Defender pour Identity prend également en charge le suivi d’événements pour Windows (ETW), qui fournit les informations des journaux pour plusieurs détections. Les détections basées sur ETW incluent les attaques DCShadow suspectées tentées à l’aide de demandes de réplication de contrôleur de domaine et de promotion de contrôleur de domaine.

Processus de synchronisateur de domaine

Le processus de synchronisateur de domaine est chargé de synchroniser de manière proactive toutes les entités d'un domaine Active Directory spécifique (similaire au mécanisme utilisé par les contrôleurs de domaine eux-mêmes pour la réplication). Un capteur est automatiquement choisi au hasard à partir de tous vos capteurs éligibles pour servir de synchronisateur de domaine.

Si le synchronisateur de domaine est hors connexion pendant plus de 30 minutes, un autre capteur est automatiquement choisi à la place.

Limitations des ressources

Le capteur Defender for Identity comprend un composant de surveillance qui évalue la capacité de calcul et de mémoire disponible sur le serveur sur lequel il est exécuté. Le processus de supervision s’exécute toutes les 10 secondes, et met à jour dynamiquement le quota d’utilisation du processeur et de la mémoire sur le processus du capteur Defender pour Identity. Le processus de surveillance veille à ce que le serveur dispose toujours d'un minimum de 15 % de ressources de calcul et de mémoire libres.

Quel que soit l'événement survenant sur le serveur, le processus de surveillance libère continuellement des ressources afin de s'assurer que la fonctionnalité principale du serveur n'est jamais affectée.

Si en raison du processus de supervision, le capteur Defender pour Identity vient à manquer de ressources, le trafic n’est que partiellement supervisé et l’alerte d’intégrité « Dropped port mirrored network traffic » (Le trafic réseau du port en miroir a été supprimé) s’affiche dans la page du capteur Defender pour Identity.

Événements Windows

Pour améliorer la couverture de détection de Defender pour Identity liée aux authentifications NTLM, aux modifications des groupes sensibles et à la création de services suspects, Defender pour Identity analyse les journaux d’événements Windows spécifiques.

Pour garantir que les journaux sont lus, assurez-vous que votre capteur Defender pour Identity dispose de paramètres de stratégie d’audit avancés correctement configurés. Pour vous assurer que l’événement Windows 8004 est audité en fonction des besoins du service, passez en revue vos paramètres d’audit NTLM

Étape suivante

Déployez Microsoft Defender pour Identity avec Microsoft Defender XDR