Pertahanan Microsoft untuk arsitektur Identitas

  • Artikel

Microsoft Defender untuk Identitas memantau pengendali domain Anda dengan menangkap dan mengurai lalu lintas jaringan, memanfaatkan peristiwa Windows langsung dari pengendali domain Anda, lalu menganalisis data untuk serangan dan ancaman.

Gambar berikut menunjukkan bagaimana Defender for Identity berlapis di atas Microsoft Defender XDR, dan bekerja sama dengan penyedia identitas layanan Microsoft dan pihak ketiga lainnya untuk memantau lalu lintas yang masuk dari pengontrol domain dan server Direktori Aktif.

Diagram of the Defender for Identity architecture.

Diinstal langsung di pengontrol domain Anda, Active Directory Federation Services (AD FS), atau server Active Directory Certificate Services (AD CS), sensor Defender for Identity mengakses log peristiwa yang diperlukan langsung dari server. Setelah log dan lalu lintas jaringan diurai oleh sensor, Defender for Identity hanya mengirimkan informasi yang diurai ke layanan cloud Defender for Identity.

Komponen Pertahanan untuk Identitas

Pertahanan untuk Identitas terdiri dari komponen-komponen berikut:

  • Portal Pertahanan Microsoft
    Portal Pertahanan Microsoft membuat ruang kerja Pertahanan untuk Identitas Anda, menampilkan data yang diterima dari sensor Pertahanan untuk Identitas, dan memungkinkan Anda memantau, mengelola, dan menyelidiki ancaman di lingkungan jaringan Anda.

  • Sensor Defender for Identity Defender untuk sensor Identitas dapat langsung diinstal pada server berikut:

    • Pengontrol domain: Sensor secara langsung memantau lalu lintas pengendali domain, tanpa perlu server khusus, atau konfigurasi pencerminan port.
    • AD FS / AD CS: Sensor secara langsung memantau lalu lintas jaringan dan peristiwa autentikasi.

  • Layanan cloud Defender for Identity
    Layanan cloud Defender for Identity berjalan pada infrastruktur Azure dan saat ini disebarkan di AS, Eropa, Australia Timur, dan Asia. Layanan cloud Pertahanan untuk Identitas terhubung ke grafik keamanan cerdas Microsoft.

Portal Pertahanan Microsoft

Gunakan portal Pertahanan Microsoft untuk:

  • Buat ruang kerja Defender for Identity Anda.
  • Integrasikan dengan layanan keamanan Microsoft lainnya.
  • Mengelola pengaturan konfigurasi sensor Defender for Identity.
  • Lihat data yang diterima dari sensor Defender for Identity.
  • Memantau aktivitas mencurigakan yang terdeteksi dan serangan yang dicurigai berdasarkan model rantai pembunuhan serangan.
  • Opsional: Portal juga dapat dikonfigurasi untuk mengirim email dan peristiwa saat pemberitahuan keamanan atau masalah kesehatan terdeteksi.

Catatan

Jika tidak ada sensor yang diinstal pada ruang kerja Defender for Identity Anda dalam waktu 60 hari, ruang kerja dapat dihapus dan Anda harus membuatnya kembali.

Sensor Pertahanan untuk Identitas

Sensor Defender for Identity memiliki fungsionalitas inti berikut:

  • Menangkap dan memeriksa lalu lintas jaringan pengendali domain (lalu lintas lokal pengendali domain)
  • Menerima Peristiwa Windows langsung dari pengendali domain
  • Menerima informasi akuntansi RADIUS dari penyedia VPN Anda
  • Mengambil data tentang pengguna dan komputer dari domain Direktori Aktif
  • Melakukan resolusi entitas jaringan (pengguna, grup, dan komputer)
  • Mentransfer data yang relevan ke layanan cloud Defender for Identity

Sensor Defender for Identity membaca peristiwa secara lokal, tanpa perlu membeli dan memelihara perangkat keras atau konfigurasi tambahan. Sensor Defender for Identity juga mendukung Pelacakan Peristiwa untuk Windows (ETW) yang menyediakan informasi log untuk beberapa deteksi. Deteksi berbasis ETW termasuk serangan DCShadow yang dicurigai mencoba menggunakan permintaan replikasi pengendali domain dan promosi pengendali domain.

Proses penyinkron domain

Proses penyinkron domain bertanggung jawab untuk menyinkronkan semua entitas dari domain Direktori Aktif tertentu secara proaktif (mirip dengan mekanisme yang digunakan oleh pengendali domain itu sendiri untuk replikasi). Satu sensor secara otomatis dipilih secara acak dari semua sensor Anda yang memenuhi syarat untuk berfungsi sebagai penyinkron domain.

Jika penyinkron domain offline selama lebih dari 30 menit, sensor lain secara otomatis dipilih sebagai gantinya.

Batasan sumber daya

Sensor Defender for Identity mencakup komponen pemantauan yang mengevaluasi kapasitas komputasi dan memori yang tersedia di server tempatnya berjalan. Proses pemantauan berjalan setiap 10 detik dan secara dinamis memperbarui kuota pemanfaatan CPU dan memori pada proses sensor Defender for Identity. Proses pemantauan memastikan server selalu memiliki setidaknya 15% sumber daya komputasi dan memori gratis yang tersedia.

Apa pun yang terjadi di server, proses pemantauan terus membebaskan sumber daya untuk memastikan fungsionalitas inti server tidak pernah terpengaruh.

Jika proses pemantauan menyebabkan sensor Defender for Identity kehabisan sumber daya, hanya lalu lintas parsial yang dipantau dan peringatan kesehatan "Lalu lintas jaringan cermin port yang dihilangkan" muncul di halaman sensor Pertahanan untuk Identitas.

Windows Events

Untuk meningkatkan cakupan deteksi Defender for Identity yang terkait dengan autentikasi NTLM, modifikasi pada grup sensitif dan pembuatan layanan mencurigakan, Defender for Identity menganalisis log peristiwa Windows tertentu.

Untuk memastikan bahwa log dibaca, pastikan sensor Defender for Identity Anda memiliki pengaturan kebijakan audit tingkat lanjut yang dikonfigurasi dengan benar. Untuk memastikan bahwa Windows Event 8004 diaudit sesuai kebutuhan oleh layanan, tinjau pengaturan audit NTLM Anda

Langkah selanjutnya

Menyebarkan Microsoft Defender untuk Identitas dengan Microsoft Defender XDR