Defender for Identity VPN-integráció a Microsoft Defender XDR-ben

  • Cikk

A Microsoft Defender for Identity integrálható a VPN-megoldással, ha figyeli a Defender for Identity érzékelőinek továbbított RADIUS-könyvelési eseményeket, például az IP-címeket és a kapcsolatokat tartalmazó helyeket. A VPN-nyilvántartási adatok segíthetnek a vizsgálatokban azáltal, hogy további információkat nyújtanak a felhasználói tevékenységről, például azokról a helyekről, ahonnan a számítógépek csatlakoznak a hálózathoz, valamint a rendellenes VPN-kapcsolatok további észlelésével.

A Defender for Identity VPN-integrációja a szokásos RADIUS-számvitelen (RFC 2866) alapul, és a következő VPN-szállítókat támogatja:

  • Microsoft
  • F5
  • Ellenőrzőpont
  • Cisco ASA

A VPN-integráció nem támogatott olyan környezetekben, amelyek megfelelnek a szövetségi információfeldolgozási szabványoknak (FIPS)

Az Identity Defender VPN-integrációja támogatja az elsődleges UPN-eket és a másodlagos felhasználóneveket is. A külső IP-címek helyhez való feloldására irányuló hívások névtelenek, és a hívásban nem lesznek személyes azonosítók.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy a következőt szeretné:

  • Üzembe helyezett Microsoft Defender for Identity

  • Hozzáférés a Microsoft Defender XDR Gépház területéhez. További információ: Microsoft Defender for Identity szerepkörcsoportok.

  • A RADIUS konfigurálása a VPN-rendszeren.

    Ez a cikk bemutatja, hogyan konfigurálhatja a Microsoft Defender for Identity szolgáltatást a VPN-megoldások könyvelési adatainak gyűjtésére a Microsoft Routing and Remote Access Server (RRAS) használatával. Ha külső VPN-megoldást használ, a RADIUS-számvitel engedélyezésével kapcsolatos útmutatásért tekintse meg a dokumentációjukat.

Megjegyzés:

A VPN-integráció konfigurálásakor a Defender for Identity érzékelő lehetővé teszi a Microsoft Defender for Identity Sensor nevű, előre kiépített Windows tűzfalszabályzatot. Ez a házirend lehetővé teszi a bejövő RADIUS-nyilvántartást az UDP 1813 porton.

RADIUS-számvitel konfigurálása a VPN-rendszeren

Ez az eljárás azt ismerteti, hogyan konfigurálhatja a RADIUS-nyilvántartást egy RRAS-kiszolgálón a VPN-rendszernek a Defender for Identity szolgáltatással való integrálásához. A rendszer utasításai eltérhetnek.

Az RRAS-kiszolgálón:

  1. Nyissa meg az Útválasztás és távelérés konzolt.

  2. Kattintson a jobb gombbal a kiszolgáló nevére, és válassza a Tulajdonságok lehetőséget.

  3. A Biztonság lap Könyvelési szolgáltató területén válassza a RADIUS-számvitel>konfigurálása lehetőséget. Például:

    Screenshot of the Security tab.

  4. A RADIUS-kiszolgáló hozzáadása párbeszédpanelen adja meg a legközelebbi, hálózati kapcsolattal rendelkező Defender for Identity-érzékelő kiszolgálónevét. A magas rendelkezésre állás érdekében radius-kiszolgálókként további Defender for Identity-érzékelőket is hozzáadhat.

  5. A Port területen győződjön meg arról, hogy az alapértelmezett érték 1813 konfigurálva van.

  6. Válassza a Módosítás lehetőséget, és adjon meg egy új, alfanumerikus karakterekből álló titkos kódsztringet. Jegyezze fel az új megosztott titkos kód sztringet, mivel később szüksége lesz rá, amikor konfigurálja a VPN-integrációt a Defender for Identityben.

  7. Jelölje be a RADIUS-fiók be- és könyvelési kiküldése jelölőnégyzetet , és válassza az OK gombot az összes megnyitott párbeszédpanelen. Például:

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

VPN konfigurálása a Defender for Identity szolgáltatásban

Ez az eljárás azt ismerteti, hogyan konfigurálhatja a Defender for Identity VPN-integrációját a Microsoft Defender XDR-ben.

  1. Jelentkezzen be a Microsoft Defender XDR-be, és válassza a Gépház> Identities>VPN lehetőséget.

  2. Válassza a Radius-számvitel engedélyezése lehetőséget, és adja meg az RRAS VPN-kiszolgálón korábban konfigurált megosztott titkos kulcsot . Például:

    Screenshot of the Enable radius accounting option.

  3. A folytatáshoz válassza a Mentés lehetőséget.

Miután mentette a kijelölést, a Defender for Identity-érzékelők elkezdenek figyelni az 1813-es porton a RADIUS-könyvelési eseményeket, és a VPN beállítása befejeződött.

Amikor a Defender for Identity érzékelő VPN-eseményeket fogad, és feldolgozás céljából elküldi őket a Defender for Identity felhőszolgáltatásnak, az entitásprofil különböző VPN-helyeket jelöl, amelyekhez hozzáfértek, és a profiltevékenységek helyeket jelölnek.

Kapcsolódó tartalom

További információ: Eseménygyűjtemény konfigurálása.