Megosztás a következőn keresztül:

A Defender for Identity VPN-integrációja a Microsoft Defender XDR-ben

Megjegyzés:

Ezt a funkciót jelenleg csak a Defender for Identity érzékelő 2.x verziója támogatja.

Microsoft Defender for Identity integrálható a VPN-megoldással, ha figyeli a Defender for Identity érzékelőinek továbbított RADIUS-könyvelési eseményeket, például az IP-címeket és a kapcsolódási helyeket. A VPN könyvelési adatai segíthetnek a vizsgálatokban azáltal, hogy további információkat adnak a felhasználói tevékenységekről, például a helyekről, ahonnan a számítógépek csatlakoznak a hálózathoz, valamint a rendellenes VPN-kapcsolatok további észlelésével.

A Defender for Identity VPN-integrációja a szabványos RADIUS-nyilvántartáson (RFC 2866) alapul, és a következő VPN-szállítókat támogatja:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

A VPN-integráció nem támogatott a Federal Information Processing Standards (FIPS) szabványait (Federal Information Processing Standards, FIPS) betartó környezetekben

A Defender for Identity VPN-integrációja az elsődleges egyszerű felhasználóneveket és az alternatív egyszerű felhasználóneveket is támogatja. A külső IP-címek helyhez való feloldására irányuló hívások névtelenek, és a hívás nem küld személyes azonosítót.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik az alábbiakval:

  • Microsoft Defender for Identity üzembe helyezve

  • Hozzáférés Microsoft Defender XDR Beállítások területéhez. További információ: Microsoft Defender for Identity szerepkörcsoportok.

  • A RADIUS konfigurálásának lehetősége a VPN-rendszeren.

    Ez a cikk bemutatja, hogyan konfigurálhatja a Microsoft Defender for Identity a könyvelési adatok VPN-megoldásokból való gyűjtésére a Microsoft Útválasztási és távelérési kiszolgáló (RRAS) használatával. Ha külső VPN-megoldást használ, tekintse meg a dokumentációjukat a RADIUS-számvitel engedélyezésével kapcsolatos utasításokért.

Megjegyzés:

A VPN-integráció konfigurálásakor a Defender for Identity érzékelője engedélyezi az előre kiépített Windows tűzfalszabályzatot Microsoft Defender for Identity Sensor néven. Ez a szabályzat lehetővé teszi a bejövő RADIUS-nyilvántartást az 1813-es porton.

RADIUS-elszámolás konfigurálása a VPN-rendszeren

Ez az eljárás azt ismerteti, hogyan konfigurálhatja a RADIUS-elszámolást egy RRAS-kiszolgálón a VPN-rendszer és a Defender for Identity integrálásához. A rendszer utasításai eltérhetnek.

Az RRAS-kiszolgálón:

  1. Nyissa meg az Útválasztás és távelérés konzolt.

  2. Kattintson a jobb gombbal a kiszolgáló nevére, és válassza a Tulajdonságok parancsot.

  3. A Biztonság lap Könyvelési szolgáltató területén válassza a RADIUS Accounting Configure (RADIUS könyvelési>konfigurálás) lehetőséget. Például:

    Képernyőkép a Biztonság lapról.

  4. A RADIUS-kiszolgáló hozzáadása párbeszédpanelen adja meg a legközelebbi, hálózati kapcsolattal rendelkező Defender for Identity-érzékelő kiszolgálónevét . A magas rendelkezésre állás érdekében további Defender for Identity-érzékelőket adhat hozzá RADIUS-kiszolgálókként.

  5. A Port területen győződjön meg arról, hogy a alapértelmezett értéke 1813 konfigurálva van.

  6. Válassza a Módosítás lehetőséget, és adjon meg egy új, alfanumerikus karakterekből álló titkos sztringet. Jegyezze fel az új megosztott titkos kód sztringet, mivel később szüksége lesz rá, amikor konfigurálja a VPN-integrációt a Defender for Identityben.

  7. Jelölje be a RADIUS-fiók be- és könyvelési kikapcsolva üzenetek küldése jelölőnégyzetet , és válassza az OK gombot az összes megnyitott párbeszédpanelen. Például:

    Képernyőkép a RADIUS-fiók küldése bekapcsolva és a Könyvelési kikapcsolva üzenetek gombról.

VPN konfigurálása a Defender for Identityben

Ez az eljárás azt ismerteti, hogyan konfigurálhatja a Defender for Identity VPN-integrációját a Microsoft Defender XDR.

  1. Jelentkezzen be Microsoft Defender XDR, és válassza a Beállítások>Identitások>VPN lehetőséget.

  2. Válassza a Radius-számvitel engedélyezése lehetőséget, és adja meg az RRAS VPN-kiszolgálón korábban konfigurált megosztott titkos kulcsot . Például:

    Képernyőkép a Radius-nyilvántartás engedélyezése lehetőségről.

  3. A folytatáshoz válassza a Mentés lehetőséget.

Miután mentette a kijelölést, a Defender for Identity érzékelői elkezdenek figyelni az 1813-es porton a RADIUS könyvelési eseményeit, és a VPN beállítása befejeződött.

Amikor a Defender for Identity-érzékelő VPN-eseményeket fogad, és elküldi őket a Defender for Identity felhőszolgáltatásának feldolgozásra, az entitásprofil különböző, elért VPN-helyeket, a profiltevékenységek pedig helyeket jelez.

Kapcsolódó tartalom

További információ: Eseménygyűjtés konfigurálása.