次の方法で共有

Microsoft Defender XDR への Defender for Identity VPN の統合

  • [アーティクル]

Microsoft Defender for Identity は、IP アドレスや接続が発生した場所など、Defender for Identity センサーに転送される RADIUS アカウンティング イベントをリッスンすることで、VPN ソリューションと統合できます。 VPN アカウンティング データは、コンピューターがネットワークに接続している場所や、異常な VPN 接続の追加検出など、ユーザー アクティビティに関する詳細情報を提供することで調査に役立ちます。

Defender for Identity の VPN 統合は、標準の RADIUS アカウンティング (RFC 2866) に基づいており、次の VPN ベンダーをサポートしています。

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

連邦情報処理標準 (FIPS) に準拠している環境では、VPN 統合はサポートされていません

Defender for Identity の VPN 統合では、プライマリ UPN と代替ユーザー プリンシパル名の両方がサポートされます。 外部 IP アドレスを特定の場所に解決するための呼び出しは匿名であり、呼び出しでは個人識別子は送信されません。

前提条件

開始する前に、以下を用意してください。

  • Microsoft Defender for Identity デプロイ済み

  • Microsoft Defender XDR の設定領域へのアクセス権。 詳細については、「Microsoft Defender for Identity ロール グループ」を参照してください。

  • VPN システムで RADIUS を構成する権限。

    この記事では、Microsoft ルーティングとリモート アクセス サーバー (RRAS) を使用して、VPN ソリューションからアカウンティング情報を収集するように Microsoft Defender for Identity を構成する方法の例を示します。 サードパーティの VPN ソリューションを使用している場合は、RADIUS アカウンティングを有効にする方法に関するドキュメントを参照してください。

Note

VPN 統合を構成すると、Defender for Identity センサーによって、Microsoft Defender for Identity センサーと呼ばれる事前プロビジョニング済みの Windows ファイアウォール ポリシーが有効になります。 このポリシーでは、ポート UDP 1813 での RADIUS アカウンティング受信が許可されます。

使用する VPN システムで RADIUS アカウンティングを設定する

この手順では、VPN システムと Defender for Identity を統合するために RRAS サーバーで RADIUS アカウンティングを構成する方法について説明します。 使用するシステムでは指示内容が異なる場合があります。

使用する RRAS サーバー上:

  1. ルーティングとリモート アクセス コンソールを開きます。

  2. サーバー名を右クリックし、 [プロパティ]をクリックします。

  3. セキュリティ タブのアカウンティング プロバイダーで、[RADIUS アカウンティング>] [構成] を選択します。 次に例を示します。

    Screenshot of the Security tab.

  4. [RADIUS サーバーの追加] ダイアログで、ネットワーク接続を使用して最も近い Defender for Identity センサーのサーバー名を入力します。 高可用性を実現するために、RADIUS サーバーとしてより多くの DEFENDER for Identity センサーを追加できます。

  5. ポートで、デフォルト値の 1813 が構成されていることを確認します。

  6. [変更] を選択し、英数字の新しい共有シークレット文字列を入力します。 Defender for Identity で VPN 統合を構成するときに後で必要になるため、新しい共有シークレット文字列を書き留めておきます。

  7. [RADIUS アカウント オンおよびアカウンティング オフ メッセージを送信する] チェックボックスをオンにして、すべての開いているダイアログボックスで[OK] を選択します。 次に例を示します。

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

Microsoft Defender for Identity で VPN を構成する

この手順では、Microsoft Defender XDR で Defender for Identity の VPN 統合を構成する方法について説明します。

  1. Microsoft Defender XDR にサインインし、[設定] > [ID] > [VPN] を選択します。

  2. [radius アカウンティングを有効にする] を選択し、RRAS VPN サーバーで前に構成した共有シークレットを入力します。 次に例を示します。

    Screenshot of the Enable radius accounting option.

  3. 保存を選択して続行します。

選択内容を保存すると、Defender for Identity センサーがポート 1813 で RADIUS アカウンティング イベントのリッスンを開始し、VPN のセットアップが完了します。

Defender for Identity センサーが VPN イベントを受信し、処理のために Defender for Identity クラウド サービスに送信すると、エンティティ プロファイルにはアクセスした個別の VPN の場所が示され、プロファイル内のアクティビティには場所が示されます。

関連するコンテンツ

詳細については、「イベント コレクションの構成」を参照してください。