Defender for Identity VPN-integráció a Microsoft Defender XDR-ben
A Microsoft Defender for Identity integrálható a VPN-megoldással, ha figyeli a Defender for Identity érzékelőinek továbbított RADIUS-könyvelési eseményeket, például az IP-címeket és a kapcsolatokat tartalmazó helyeket. A VPN-nyilvántartási adatok segíthetnek a vizsgálatokban azáltal, hogy további információkat nyújtanak a felhasználói tevékenységről, például azokról a helyekről, ahonnan a számítógépek csatlakoznak a hálózathoz, valamint a rendellenes VPN-kapcsolatok további észlelésével.
A Defender for Identity VPN-integrációja a szokásos RADIUS-számvitelen (RFC 2866) alapul, és a következő VPN-szállítókat támogatja:
- Microsoft
- F5
- Ellenőrzőpont
- Cisco ASA
A VPN-integráció nem támogatott olyan környezetekben, amelyek megfelelnek a szövetségi információfeldolgozási szabványoknak (FIPS)
Az Identity Defender VPN-integrációja támogatja az elsődleges UPN-eket és a másodlagos felhasználóneveket is. A külső IP-címek helyhez való feloldására irányuló hívások névtelenek, és a hívásban nem lesznek személyes azonosítók.
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy a következőt szeretné:
Hozzáférés a Microsoft Defender XDR Gépház területéhez. További információ: Microsoft Defender for Identity szerepkörcsoportok.
A RADIUS konfigurálása a VPN-rendszeren.
Ez a cikk bemutatja, hogyan konfigurálhatja a Microsoft Defender for Identity szolgáltatást a VPN-megoldások könyvelési adatainak gyűjtésére a Microsoft Routing and Remote Access Server (RRAS) használatával. Ha külső VPN-megoldást használ, a RADIUS-számvitel engedélyezésével kapcsolatos útmutatásért tekintse meg a dokumentációjukat.
Megjegyzés:
A VPN-integráció konfigurálásakor a Defender for Identity érzékelő lehetővé teszi a Microsoft Defender for Identity Sensor nevű, előre kiépített Windows tűzfalszabályzatot. Ez a házirend lehetővé teszi a bejövő RADIUS-nyilvántartást az UDP 1813 porton.
RADIUS-számvitel konfigurálása a VPN-rendszeren
Ez az eljárás azt ismerteti, hogyan konfigurálhatja a RADIUS-nyilvántartást egy RRAS-kiszolgálón a VPN-rendszernek a Defender for Identity szolgáltatással való integrálásához. A rendszer utasításai eltérhetnek.
Az RRAS-kiszolgálón:
Nyissa meg az Útválasztás és távelérés konzolt.
Kattintson a jobb gombbal a kiszolgáló nevére, és válassza a Tulajdonságok lehetőséget.
A Biztonság lap Könyvelési szolgáltató területén válassza a RADIUS-számvitel>konfigurálása lehetőséget. Például:
A RADIUS-kiszolgáló hozzáadása párbeszédpanelen adja meg a legközelebbi, hálózati kapcsolattal rendelkező Defender for Identity-érzékelő kiszolgálónevét. A magas rendelkezésre állás érdekében radius-kiszolgálókként további Defender for Identity-érzékelőket is hozzáadhat.
A Port területen győződjön meg arról, hogy az alapértelmezett érték
1813
konfigurálva van.Válassza a Módosítás lehetőséget, és adjon meg egy új, alfanumerikus karakterekből álló titkos kódsztringet. Jegyezze fel az új megosztott titkos kód sztringet, mivel később szüksége lesz rá, amikor konfigurálja a VPN-integrációt a Defender for Identityben.
Jelölje be a RADIUS-fiók be- és könyvelési kiküldése jelölőnégyzetet , és válassza az OK gombot az összes megnyitott párbeszédpanelen. Például:
VPN konfigurálása a Defender for Identity szolgáltatásban
Ez az eljárás azt ismerteti, hogyan konfigurálhatja a Defender for Identity VPN-integrációját a Microsoft Defender XDR-ben.
Jelentkezzen be a Microsoft Defender XDR-be, és válassza a Gépház> Identities>VPN lehetőséget.
Válassza a Radius-számvitel engedélyezése lehetőséget, és adja meg az RRAS VPN-kiszolgálón korábban konfigurált megosztott titkos kulcsot . Például:
A folytatáshoz válassza a Mentés lehetőséget.
Miután mentette a kijelölést, a Defender for Identity-érzékelők elkezdenek figyelni az 1813-es porton a RADIUS-könyvelési eseményeket, és a VPN beállítása befejeződött.
Amikor a Defender for Identity érzékelő VPN-eseményeket fogad, és feldolgozás céljából elküldi őket a Defender for Identity felhőszolgáltatásnak, az entitásprofil különböző VPN-helyeket jelöl, amelyekhez hozzáfértek, és a profiltevékenységek helyeket jelölnek.
Kapcsolódó tartalom
További információ: Eseménygyűjtemény konfigurálása.