Résolution de noms réseau dans Microsoft Defender pour Identity

  • Article

La résolution de noms de réseau (NNR) est un composant principal des fonctionnalités de Microsoft Defender pour Identity. Defender pour Identity capture les activités basées sur le trafic réseau, les événements Windows et ETW. Ces activités contiennent normalement des données IP.

À l’aide de NNR, Defender pour Identity peut mettre en corrélation les activités brutes (contenant des adresses IP) et les ordinateurs pertinents impliqués dans chaque activité. En fonction des activités brutes, Defender pour Identity profile des entités, y compris les ordinateurs, et génère des alertes de sécurité pour les activités suspectes.

Pour résoudre les adresses IP en noms d’ordinateur, les capteurs Defender pour Identity recherchent les adresses IP en utilisant les méthodes suivantes :

Méthodes principales :

  • NTLM sur RPC (port TCP 135)
  • NetBIOS (port UDP 137)
  • RDP (port TCP 3389) : seul le premier paquet du client hello

Méthode secondaire :

  • Requêtes du serveur DNS à l’aide de la recherche DNS inversée de l’adresse IP (UDP 53)

Pour obtenir les meilleurs résultats, nous vous recommandons d’utiliser au moins l’une des méthodes principales. La recherche DNS inversée de l’adresse IP n’est effectuée que lorsque :

  • Il n’existe aucune réponse de l’une des méthodes primaires.
  • Il existe un conflit dans la réponse reçue de deux méthodes primaires ou plus.

Remarque

Aucune authentification n’est effectuée sur les ports.

Defender pour Identity évalue et détermine le système d’exploitation de l’appareil en fonction du trafic réseau. Après avoir récupéré le nom de l’ordinateur, le capteur de Defender pour Identity vérifie Active Directory et utilise les empreintes TCP pour voir s’il existe un objet informatique corrélé avec le même nom d’ordinateur. L’utilisation d’empreintes digitales TCP permet d’identifier les appareils non inscrits et non Windows, ce qui vous aide dans votre processus d’examen. Lorsque le capteur Defender pour Identity trouve la corrélation, le capteur associe l’adresse IP à l’objet ordinateur.

Dans les cas où aucun nom n’est récupéré, un profil d’ordinateur non résolu par adresse IP est créé avec l’adresse IP et l’activité détectée pertinente.

Les données NNR sont cruciales pour détecter les menaces suivantes :

  • Suspicion d’usurpation d’identité (pass-the-ticket)
  • Suspicion d’attaque DCSync (réplication des services d’annuaire)
  • Reconnaissance de mappage réseau (DNS)

Pour améliorer votre capacité à déterminer si une alerte est un vrai positif (TP) ou faux positif (FP), Defender pour Identity inclut le degré de certitude de la résolution d’un nom d’ordinateur dans la preuve de chaque alerte de sécurité.

Par exemple, lorsque les noms d’ordinateurs sont résolus avec une certitude élevée, il augmente la confiance dans l’alerte de sécurité résultante en tant que vrai positif ou TP.

La preuve comprend l’heure, l’adresse IP et le nom de l’ordinateur sur lequel l’adresse IP a été résolue. Lorsque la certitude de résolution est faible, utilisez ces informations pour examiner et vérifier quel appareil était la véritable source de l’adresse IP pour l’instant. Après avoir confirmé l’appareil, vous pouvez déterminer si l’alerte est un faux positif ou FP, comme dans les exemples suivants :

  • Suspicion de vol d’identité (pass-the-ticket) : l’alerte a été déclenchée pour le même ordinateur.

  • Suspicion d’attaque DCSync (réplication des services d’annuaire) : l’alerte a été déclenchée à partir d’un contrôleur de domaine.

  • Reconnaissance du mappage réseau (DNS) : l’alerte a été déclenchée à partir d’un serveur DNS.

    Certitude des preuves.

Recommandations relatives à la configuration

  • NTLM sur RPC :

    • Vérifiez que le port TCP 135 est ouvert pour la communication entrante à partir des capteurs Defender pour Identity, sur tous les ordinateurs de l’environnement.
    • Vérifiez toutes les configurations réseau (pare-feu), car cela peut empêcher la communication vers les ports appropriés.

  • NetBIOS :

    • Vérifiez que le port UDP 137 est ouvert pour la communication entrante à partir des capteurs Defender pour Identity, sur tous les ordinateurs de l’environnement.
    • Vérifiez toutes les configurations réseau (pare-feu), car cela peut empêcher la communication vers les ports appropriés.

  • RDP :

    • Vérifiez que le port TCP 3389 est ouvert pour la communication entrante à partir des capteurs Defender pour Identity, sur tous les ordinateurs de l’environnement.
    • Vérifiez toutes les configurations réseau (pare-feu), car cela peut empêcher la communication vers les ports appropriés.

    Remarque

    • Un seul de ces protocoles est requis, mais nous vous recommandons d’utiliser tous ces protocoles.
    • Les ports RDP personnalisés ne sont pas pris en charge.

  • DNS inversé :

    • Vérifiez que le capteur peut atteindre le serveur DNS et que les zones de recherche inverse sont activées.

Problèmes d’intégrité

Pour vous assurer que Defender pour Identity fonctionne idéalement et que l’environnement est configuré correctement, Defender pour Identity vérifie l’état de résolution de chaque capteur et émet une alerte d’intégrité par méthode, fournissant une liste des capteurs Defender pour Identity avec un faible taux de réussite de résolution de noms actif à l’aide de chaque méthode.

Remarque

Pour désactiver une méthode NNR facultative dans Defender pour Identity afin de répondre aux besoins de votre environnement, ouvrez un cas de support.

Chaque alerte d’intégrité fournit des détails spécifiques sur la méthode, les capteurs, la stratégie problématique ainsi que les recommandations de configuration. Pour plus d’informations sur les problèmes d’intégrité, consultez Problèmes d’intégrité du capteur Microsoft Defender pour Identity.

Voir aussi