Integrasi VPN Defender for Identity di Microsoft Defender XDR

Microsoft Defender untuk Identitas dapat berintegrasi dengan solusi VPN Anda dengan mendengarkan peristiwa akuntansi RADIUS yang diteruskan ke sensor Defender for Identity, seperti alamat IP dan lokasi asal koneksi. Data akuntansi VPN dapat membantu penyelidikan Anda dengan memberikan informasi lebih lanjut tentang aktivitas pengguna, seperti lokasi dari mana komputer terhubung ke jaringan, dan deteksi tambahan untuk koneksi VPN abnormal.

Integrasi VPN Defender for Identity didasarkan pada Akuntansi RADIUS standar (RFC 2866), dan mendukung vendor VPN berikut:

• Microsoft
• F5
• Check Point
• Cisco ASA

Integrasi VPN tidak didukung di lingkungan yang mematuhi Standar Pemrosesan Informasi Federal (FIPS)

Integrasi VPN Defender for Identity mendukung UPN utama dan nama prinsipal pengguna alternatif. Panggilan untuk mengatasi alamat IP eksternal ke lokasi bersifat anonim dan tidak ada pengidentifikasi pribadi yang dikirim dalam panggilan.

Prasyarat

Sebelum memulai, pastikan Anda memiliki:

• Microsoft Defender untuk Identitas disebarkan

• Akses ke area Pengaturan di Microsoft Defender XDR. Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas grup peran.

• Kemampuan untuk mengonfigurasi RADIUS pada sistem VPN Anda.

  Artikel ini menyediakan contoh cara mengonfigurasi Microsoft Defender untuk Identitas untuk mengumpulkan informasi akuntansi dari solusi VPN, menggunakan Microsoft Routing dan Remote Access Server (RRAS). Jika Anda menggunakan solusi VPN pihak ketiga, lihat dokumentasi mereka untuk petunjuk tentang cara mengaktifkan Akuntansi RADIUS.

Catatan

Saat Anda mengonfigurasi integrasi VPN, sensor Defender for Identity memungkinkan kebijakan firewall Windows yang telah disediakan sebelumnya yang disebut sensor Microsoft Defender untuk Identitas. Kebijakan ini memungkinkan Akuntansi RADIUS masuk pada port UDP 1813.

Mengonfigurasi akuntansi RADIUS pada sistem VPN Anda

Prosedur ini menjelaskan cara mengonfigurasi akuntansi RADIUS di server RRAS untuk mengintegrasikan sistem VPN dengan Defender for Identity. Instruksi sistem Anda mungkin berbeda.

Di server RRAS Anda:

1. Buka konsol Perutean dan Akses Jarak Jauh.

2. Klik kanan nama server dan pilih Properti.

3. Di tab Keamanan, di bawah Penyedia akuntansi, pilih Konfigurasi Akuntansi>RADIUS. Misalnya:

   

4. Dalam dialog Tambahkan Server RADIUS, masukkan Nama server sensor Pertahanan untuk Identitas terdekat dengan konektivitas jaringan. Untuk ketersediaan tinggi, Anda dapat menambahkan lebih banyak sensor Pertahanan untuk Identitas sebagai Server RADIUS.

5. Di bawah Port, pastikan nilai 1813 default dikonfigurasi.

6. Pilih Ubah dan masukkan string rahasia bersama baru dari karakter alfanumerik. Perhatikan string rahasia bersama baru, karena Anda akan membutuhkannya nanti saat mengonfigurasi integrasi VPN di Defender for Identity.

7. Centang kotak kirim pesan Akun RADIUS Aktif dan Akuntansi Nonaktif dan pilih OK pada semua kotak dialog yang terbuka. Misalnya:

   

Mengonfigurasi VPN di Defender untuk Identitas

Prosedur ini menjelaskan cara mengonfigurasi integrasi VPN Defender for Identity di Microsoft Defender XDR.

1. Masuk ke Microsoft Defender XDR dan pilih Pengaturan> Identities>VPN.

2. Pilih Aktifkan akuntansi radius dan masukkan Rahasia Bersama yang sebelumnya telah Anda konfigurasi di server VPN RRAS Anda. Misalnya:

   

3. Pilih Simpan untuk melanjutkan.

Setelah menyimpan pilihan, sensor Pertahanan untuk Identitas Anda mulai mendengarkan di port 1813 untuk peristiwa akuntansi RADIUS, dan penyiapan VPN Anda selesai.

Ketika sensor Defender for Identity menerima peristiwa VPN dan mengirimkannya ke layanan cloud Defender for Identity untuk diproses, profil entitas menunjukkan lokasi VPN berbeda yang diakses, dan aktivitas profil menunjukkan lokasi.

Konten terkait

Untuk informasi selengkapnya, lihat Mengonfigurasi kumpulan peristiwa.