A Microsoft Defender for Identity architektúrája

  • Cikk

A Microsoft Defender for Identity úgy figyeli a tartományvezérlőket, hogy rögzíti és elemzi a hálózati forgalmat, kihasználja a Windows-eseményeket közvetlenül a tartományvezérlőkről, majd elemzi az adatokat a támadások és fenyegetések esetén.

Az alábbi kép bemutatja, hogyan rétegezi a Defender for Identity a Microsoft Defender XDR-t, és együttműködik más Microsoft-szolgáltatások és külső identitásszolgáltatókkal a tartományvezérlők és az Active Directory-kiszolgálók felől érkező forgalom figyelése érdekében.

Diagram of the Defender for Identity architecture.

Közvetlenül a tartományvezérlőre, Active Directory összevonási szolgáltatások (AD FS) (AD FS) vagy Active Directory Tanúsítványszolgáltatások (AD CS) kiszolgálókra telepített Defender identitásérzékelő közvetlenül a kiszolgálókról éri el a szükséges eseménynaplókat. Miután az érzékelő elemezte a naplókat és a hálózati forgalmat, a Defender for Identity csak az elemzési adatokat küldi el a Defender for Identity felhőszolgáltatásnak.

Defender for Identity-összetevők

A Defender for Identity a következő összetevőkből áll:

  • Microsoft Defender portál
    A Microsoft Defender portál létrehozza a Defender for Identity munkaterületet, megjeleníti a Defender for Identity érzékelőktől kapott adatokat, és lehetővé teszi a hálózati környezet fenyegetéseinek monitorozását, kezelését és vizsgálatát.

  • A Defender for Identity sensor Defender for Identity érzékelők közvetlenül a következő kiszolgálókra telepíthetők:

    • Tartományvezérlők: Az érzékelő közvetlenül figyeli a tartományvezérlő forgalmát anélkül, hogy dedikált kiszolgálóra vagy porttükrözés konfigurálására van szükség.
    • AD FS/AD CS: Az érzékelő közvetlenül figyeli a hálózati forgalmat és a hitelesítési eseményeket.

  • Defender for Identity cloud service
    A Defender for Identity felhőszolgáltatás az Azure-infrastruktúrán fut, és jelenleg az USA-ban, Európában, Kelet-Ausztráliában és Ázsiában van üzembe helyezve. A Defender for Identity felhőszolgáltatás a Microsoft intelligens biztonsági gráfjával van összekapcsolva.

Microsoft Defender portál

A Microsoft Defender portálon a következőt használhatja:

  • Hozza létre a Defender for Identity munkaterületet.
  • Integrálható más Microsoft biztonsági szolgáltatásokkal.
  • A Defender for Identity-érzékelő konfigurációs beállításainak kezelése.
  • A Defender identitásérzékelőitől kapott adatok megtekintése.
  • A támadási lánc modelljén alapuló gyanús tevékenységek és gyanús támadások monitorozása.
  • Nem kötelező: A portál úgy is konfigurálható, hogy e-maileket és eseményeket küldjön biztonsági riasztások vagy állapotproblémák észlelésekor.

Feljegyzés

Ha a Defender for Identity munkaterületen 60 napon belül nincs érzékelő telepítve, előfordulhat, hogy a munkaterület törlődik, és újra létre kell hoznia.

Defender for Identity sensor

A Defender for Identity érzékelő az alábbi alapvető funkciókkal rendelkezik:

  • Tartományvezérlő hálózati forgalmának rögzítése és vizsgálata (a tartományvezérlő helyi forgalma)
  • Windows-események fogadása közvetlenül a tartományvezérlőkről
  • RADIUS-nyilvántartási adatok fogadása a VPN-szolgáltatótól
  • Felhasználók és számítógépek adatainak lekérése az Active Directory-tartományból
  • Hálózati entitások (felhasználók, csoportok és számítógépek) feloldása
  • Releváns adatok átvitele a Defender for Identity felhőszolgáltatásba

A Defender for Identity-érzékelő helyileg olvassa be az eseményeket anélkül, hogy további hardvereket vagy konfigurációkat kellene vásárolnia és fenntartania. A Defender for Identity érzékelő támogatja a Windows eseménykövetését (ETW), amely több észlelés naplóadatait is biztosítja. Az ETW-alapú észlelések közé tartoznak a tartományvezérlő replikációs kérelmei és a tartományvezérlő előléptetése során megkísérelt DCShadow-támadások.

Tartományszinkronizálási folyamat

A tartományszinkronizálási folyamat felelős az adott Active Directory-tartomány összes entitásának proaktív szinkronizálásáért (hasonlóan a tartományvezérlők által a replikációhoz használt mechanizmushoz). A rendszer automatikusan kiválaszt egy érzékelőt véletlenszerűen az összes jogosult érzékelőből, hogy tartományszinkronizálóként szolgáljon.

Ha a tartományszinkronizáló több mint 30 percig offline állapotban van, a rendszer automatikusan kiválaszt egy másik érzékelőt.

Erőforrás-korlátozások

A Defender for Identity-érzékelő tartalmaz egy monitorozási összetevőt, amely kiértékeli a rendelkezésre álló számítási és memóriakapacitást azon a kiszolgálón, amelyen fut. A monitorozási folyamat 10 másodpercenként fut, és dinamikusan frissíti a processzor- és memóriahasználati kvótát a Defender for Identity érzékelő folyamatán. A monitorozási folyamat biztosítja, hogy a kiszolgáló mindig az ingyenes számítási és memóriaerőforrások legalább 15%-ával rendelkezik.

Függetlenül attól, hogy mi történik a kiszolgálón, a monitorozási folyamat folyamatosan felszabadítja az erőforrásokat, hogy a kiszolgáló alapvető funkciói soha ne legyenek hatással.

Ha a monitorozási folyamat miatt a Defender for Identity érzékelő elfogy az erőforrásokból, a rendszer csak részleges forgalmat figyel, és az "Eldobott porttükrözés hálózati forgalom" állapotriasztás megjelenik a Defender for Identity érzékelő oldalán.

Windows-események

Az NTLM-hitelesítésekkel, a bizalmas csoportok módosításával és a gyanús szolgáltatások létrehozásával kapcsolatos Defender identitásészlelési lefedettség növelése érdekében a Defender for Identity elemzi az adott Windows-események naplóit.

A naplók olvasásának biztosításához győződjön meg arról, hogy a Defender for Identity érzékelője megfelelően konfigurálta a speciális naplózási házirend-beállításokat. Annak ellenőrzéséhez, hogy a szolgáltatás szükség szerint naplózta-e a Windows Event 8004-et, tekintse át az NTLM naplózási beállításait

Következő lépés

A Microsoft Defender for Identity üzembe helyezése a Microsoft Defender XDR-lel