Hálózati névfeloldás a Microsoft Defender for Identity szolgáltatásban
A Hálózati névfeloldás (NNR) a Microsoft Defender identitáskezelési funkciójának fő összetevője. A Defender for Identity a hálózati forgalom, a Windows-események és az ETW alapján rögzíti a tevékenységeket – ezek a tevékenységek általában IP-adatokat tartalmaznak.
Az NNR használatával a Defender for Identity korrelálhat a nyers tevékenységek (IP-címeket tartalmazó) és az egyes tevékenységekben érintett megfelelő számítógépek között. A nyers tevékenységek alapján a Defender identitásprofil-entitások, beleértve a számítógépeket is, és biztonsági riasztásokat hoz létre a gyanús tevékenységekhez.
Az IP-címek számítógépnevekre való feloldásához a Defender identitásérzékelői az alábbi módszerekkel keresik meg az IP-címeket:
Elsődleges módszerek:
- NTLM RPC-n keresztül (135-ös TCP-port)
- NetBIOS (UDP-port 137)
- RDP (TCP-port: 3389) – csak az ügyfél hello első csomagja
Másodlagos módszer:
- Lekérdezi a DNS-kiszolgálót az IP-cím fordított DNS-keresésével (UDP 53)
A legjobb eredmény érdekében javasoljuk, hogy legalább az egyik elsődleges metódust használja. Az IP-cím fordított DNS-keresésére csak akkor kerül sor, ha:
- Az elsődleges metódusok egyikétől sem érkezett válasz.
- Ütközés van a két vagy több elsődleges metódustól kapott válaszban.
Feljegyzés
A rendszer nem végez hitelesítést egyik porton sem.
A Defender for Identity kiértékeli és meghatározza az eszköz operációs rendszerét a hálózati forgalom alapján. A számítógép nevének lekérése után a Defender for Identity érzékelő ellenőrzi az Active Directoryt, és TCP-ujjlenyomatokkal ellenőrzi, hogy van-e azonos számítógépnévvel rendelkező korrelált számítógépobjektum. A TCP-ujjlenyomatok segítségével azonosíthatja a nem regisztrált és a nem Windows rendszerű eszközöket, ezzel segítve a vizsgálati folyamatot. Amikor a Defender for Identity-érzékelő megtalálja a korrelációt, az érzékelő társítja az IP-címet a számítógép-objektumhoz.
Ha nem kér le nevet, az IP-cím alapján egy megoldatlan számítógépprofil jön létre az IP-címmel és a vonatkozó észlelt tevékenységgel.
Az NNR-adatok kulcsfontosságúak a következő fenyegetések észleléséhez:
- Személyazonosság-lopás gyanúja (pass-the-ticket)
- DCSync-támadás gyanúja (címtárszolgáltatások replikálása)
- Hálózatleképezési felderítés (DNS)
Annak megállapításához, hogy a riasztás valódi pozitív (TP) vagy hamis pozitív (FP) -e, a Defender for Identity tartalmazza az egyes biztonsági riasztások bizonyítékává feloldó számítógép-elnevezések bizonyosságát.
Ha például a számítógépnevek nagy biztonsággal oldódnak meg, az növeli az eredményül kapott biztonsági riasztás megbízhatóságát valódi pozitívként vagy TP-ként.
A bizonyíték tartalmazza az IP-címet feloldó időt, IP-címet és számítógépnevet. Ha a felbontás bizonyossága alacsony, ezen információk segítségével vizsgálja meg és ellenőrizze, hogy jelenleg melyik eszköz volt az IP valódi forrása. Az eszköz megerősítése után megállapíthatja, hogy a riasztás hamis pozitív vagy FP-e, az alábbi példákhoz hasonlóan:
Személyazonosság-lopás gyanúja (pass-the-ticket) – a riasztás ugyanarra a számítógépre lett aktiválva.
DcSync-támadás gyanúja (címtárszolgáltatások replikálása) – a riasztást egy tartományvezérlő aktiválta.
Hálózatleképezési felderítés (DNS) – a riasztás egy DNS-kiszolgálóról lett aktiválva.
Konfigurációs javaslatok
NTLM az RPC-n keresztül:
- Ellenőrizze, hogy a 135-ös TCP-port nyitva van-e a Defender for Identity Sensors bejövő kommunikációjához a környezet összes számítógépén.
- Ellenőrizze az összes hálózati konfigurációt (tűzfalat), mert ez megakadályozhatja a megfelelő portokkal való kommunikációt.
Netbios:
- Ellenőrizze, hogy az UDP-port 137 nyitva van-e a Defender for Identity Sensors bejövő kommunikációjához a környezet összes számítógépén.
- Ellenőrizze az összes hálózati konfigurációt (tűzfalat), mert ez megakadályozhatja a megfelelő portokkal való kommunikációt.
RDP:
- Ellenőrizze, hogy a 3389-ös TCP-port nyitva van-e a Defender for Identity Sensors bejövő kommunikációjához a környezet összes számítógépén.
- Ellenőrizze az összes hálózati konfigurációt (tűzfalat), mert ez megakadályozhatja a megfelelő portokkal való kommunikációt.
Feljegyzés
- Ezek közül csak egy protokollra van szükség, de mindegyik használatát javasoljuk.
- A testreszabott RDP-portok nem támogatottak.
Fordított DNS:
- Ellenőrizze, hogy az érzékelő eléri-e a DNS-kiszolgálót, és hogy engedélyezve vannak-e a fordított keresési zónák.
Állapotproblémák
Annak érdekében, hogy a Defender for Identity ideálisan működjön, és a környezet megfelelően legyen konfigurálva, a Defender for Identity ellenőrzi az egyes érzékelők felbontási állapotát, és egy állapotriasztást ad ki módszerenként, és az egyes metódusok alacsony sikerességi arányú aktív névfeloldással rendelkező Defender identitásérzékelőinek listáját adja meg.
Feljegyzés
Ha le szeretne tiltani egy választható NNR-metódust a Defender for Identityben a környezet igényeinek megfelelően, nyisson meg egy támogatási esetet.
Minden állapotriasztás részletesen ismerteti a metódust, az érzékelőket, a problémás szabályzatot és a konfigurációs javaslatokat. További információ az állapotproblémákról: Microsoft Defender for Identity sensor health issues.