Architecture de Microsoft Defender pour Identity

Microsoft Defender pour Identity supervise vos contrôleurs de domaine en capturant et en analysant le trafic réseau, et en utilisant les événements Windows provenant directement de vos contrôleurs de domaine. Ensuite, il analyse les données en y recherchant des attaques et des menaces. Defender pour Identity utilise le profilage, la détection déterministe, le machine learning et les algorithmes comportementaux pour en savoir plus sur votre réseau, pour détecter les anomalies et pour vous avertir des activités suspectes.

Architecture de Defender pour Identity :

Diagramme de la topologie de l’architecture de Defender pour Identity

Cette section décrit le fonctionnement du flux de Defender pour Identity pour la capture d’événements et du réseau de l’identité, et explore les fonctionnalités des principaux composants : le portail Microsoft 365 Defender, le capteur Defender pour Identity et le service cloud Defender pour Identity.

Directement installé sur votre contrôleur de domaine ou vos serveurs AD FS, le capteur Defender pour Identity accède aux journaux d’événements dont il a besoin directement sur les serveurs. Une fois les journaux et le trafic réseau analysés par le capteur, Defender pour Identity envoie seulement les informations analysées au service cloud Defender pour Identity (seule une partie des journaux est envoyée).

Composants Defender pour Identity

Defender pour Identity est constitué des composants suivants :

  • Portail Microsoft 365 Defender
    Le portail Microsoft 365 Defender permet de créer votre instance Defender pour Identity, affiche les données reçues des capteurs Defender pour Identity et vous permet de superviser, gérer et investiguer les menaces dans votre environnement réseau.

  • Capteur Defender pour Identity
    Les capteurs Defender pour Identity peuvent être installés directement sur les serveurs suivants :

    • Contrôleurs de domaine : Le capteur supervise directement le trafic des contrôleurs de domaine, sans recourir à un serveur dédié, ou à une configuration de mise en miroir de ports.
    • AD FS : Le capteur analyse directement le trafic réseau et les événements d’authentification.
  • Service cloud Defender pour Identity
    Le service cloud Defender pour Identity s’exécute dans l’infrastructure Azure et est actuellement déployé aux États-Unis, en Europe et en Asie. Le service cloud Defender pour Identity est connecté à Microsoft Intelligent Security Graph.

Portail Microsoft 365 Defender

Utiliser le portail Microsoft 365 Defender pour :

  • Créer votre instance Defender pour Identity
  • Effectuer l’intégration à d’autres services de sécurité Microsoft
  • Gérer les paramètres de configuration du capteur Defender pour Identity
  • Visualiser les données reçues des capteurs Defender pour Identity
  • Superviser les activités suspectes et les attaques détectées en suivant le modèle Kill Chain
  • Facultatif : Le portail peut également être configuré pour envoyer des e-mails et des événements lorsque des alertes de sécurité ou des problèmes d’intégrité sont détectés.

Notes

Si aucun capteur n’est installé dans votre instance Defender pour Identity dans un délai de 60 jours, il se peut qu’elle soit supprimée et qu’il soit nécessaire de la recréer.

Capteur Defender pour Identity

Le capteur Defender pour Identity a les fonctionnalités de base suivantes :

  • Capturer et inspecter le trafic réseau des contrôleurs de domaine (trafic local du contrôleur de domaine)
  • Recevoir des événements Windows directement à partir des contrôleurs de domaine
  • Recevoir des informations de gestion de comptes RADIUS à partir de votre fournisseur VPN
  • Récupérer les données concernant les utilisateurs et les ordinateurs à partir du domaine Active Directory
  • Effectuer la résolution des entités réseau (utilisateurs, groupes et ordinateurs)
  • Transférer les données pertinentes au service cloud Defender pour Identity

Fonctionnalités du capteur Defender pour Identity

Le capteur Defender pour Identity lit les événements localement, ce qui évite les frais liés à l’achat et à la maintenance de matériel et de configurations supplémentaires. Le capteur Defender pour Identity prend également en charge le suivi d’événements pour Windows (ETW), qui fournit les informations des journaux pour plusieurs détections. Les détections ETW reconnaissent notamment les suspicions d’attaques DCShadow tentées via des demandes de réplication de contrôleur de domaine et la promotion de contrôleur de domaine.

Processus de synchronisateur de domaine

Le processus de synchronisateur de domaine est responsable de la synchronisation proactive de toutes les entités d’un domaine Active Directory spécifique (il est similaire au mécanisme utilisé par les contrôleurs de domaine eux-mêmes pour la réplication). Un capteur est automatiquement choisi de façon aléatoire parmi tous les capteurs éligibles comme synchronisateur de domaine.

Si le synchronisateur de domaine est hors connexion pendant plus de 30 minutes, un autre capteur est automatiquement choisi à la place.

Limitations des ressources

Le capteur Defender pour Identity inclut un composant de supervision qui évalue la capacité de calcul et de mémoire disponible sur le contrôleur de domaine où il s’exécute. Le processus de supervision s’exécute toutes les 10 secondes, et met à jour dynamiquement le quota d’utilisation du processeur et de la mémoire sur le processus du capteur Defender pour Identity. Le processus de supervision permet de garantir que le contrôleur de domaine dispose toujours d’au moins 15 % de ressources de calcul et de mémoire disponibles.

Quoi qu’il se passe sur le contrôleur de domaine, le processus de supervision libère continuellement des ressources pour que les fonctionnalités principales du contrôleur de domaine ne soient pas affectées.

Si en raison du processus de supervision, le capteur Defender pour Identity vient à manquer de ressources, le trafic n’est que partiellement supervisé et l’alerte d’intégrité « Dropped port mirrored network traffic » (Le trafic réseau du port en miroir a été supprimé) s’affiche dans la page du capteur Defender pour Identity.

Événements Windows

Pour améliorer la couverture de la détection de Defender pour Identity relative aux authentifications NTLM, aux modifications de groupes sensibles et à la création de services suspects, Defender pour Identity doit analyser les journaux des événements Windows listés ici. Ces événements sont lus automatiquement par les capteurs Defender pour Identity avec des paramètres de stratégie d’audit avancés adaptés. Pour vous assurer que l’événement Windows 8004 est audité en fonction des besoins du service, vérifiez vos paramètres d’audit NTLM.

Étapes suivantes