Delen via


Integratie van Defender for Identity VPN in Microsoft Defender XDR

Microsoft Defender for Identity kan worden geïntegreerd met uw VPN-oplossing door te luisteren naar RADIUS-accountinggebeurtenissen die worden doorgestuurd naar Defender for Identity-sensoren, zoals de IP-adressen en locaties waar verbindingen afkomstig zijn. Vpn-accountinggegevens kunnen u helpen bij uw onderzoek door meer informatie te geven over gebruikersactiviteiten, zoals de locaties waar computers verbinding maken met het netwerk en een extra detectie voor abnormale VPN-verbindingen.

De VPN-integratie van Defender for Identity is gebaseerd op standaard RADIUS Accounting (RFC 2866) en ondersteunt de volgende VPN-leveranciers:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

VPN-integratie wordt niet ondersteund in omgevingen die voldoen aan Federal Information Processing Standards (FIPS)

De VPN-integratie van Defender for Identity ondersteunt zowel primaire UPN's als alternatieve user principal names. Oproepen om externe IP-adressen naar een locatie op te lossen, zijn anoniem en er wordt geen persoonlijke id verzonden in de oproep.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u het volgende hebt:

  • Microsoft Defender for Identity geïmplementeerd

  • Toegang tot het gebied Instellingen in Microsoft Defender XDR. Zie Microsoft Defender for Identity-rollengroepen voor meer informatie.

  • De mogelijkheid om RADIUS op uw VPN-systeem te configureren.

    Dit artikel bevat een voorbeeld van het configureren van Microsoft Defender for Identity voor het verzamelen van boekhoudgegevens van VPN-oplossingen met behulp van Microsoft Routing and Remote Access Server (RRAS). Als u een VPN-oplossing van derden gebruikt, raadpleegt u de bijbehorende documentatie voor instructies over het inschakelen van RADIUS Accounting.

Notitie

Wanneer u de VPN-integratie configureert, schakelt de Defender for Identity-sensor een vooraf ingericht Windows Firewall-beleid in met de naam Microsoft Defender for Identity Sensor. Dit beleid staat binnenkomende RADIUS Accounting toe op poort UDP 1813.

RADIUS-accounting configureren op uw VPN-systeem

In deze procedure wordt beschreven hoe u RADIUS-accounting configureert op een RRAS-server voor het integreren van een VPN-systeem met Defender for Identity. De instructies van uw systeem kunnen verschillen.

Op uw RRAS-server:

  1. Open de console Routering en Externe toegang .

  2. Klik met de rechtermuisknop op de servernaam en selecteer Eigenschappen.

  3. Selecteer op het tabblad Beveiliging, onder Boekhoudprovider, RADIUS Accounting>Configureren. Voorbeeld:

    Screenshot of the Security tab.

  4. Voer in het dialoogvenster RADIUS-server toevoegen de servernaam in van de dichtstbijzijnde Defender for Identity-sensor met netwerkconnectiviteit. Voor hoge beschikbaarheid kunt u meer Defender for Identity-sensoren toevoegen als RADIUS-servers.

  5. Controleer onder Poort of de standaardwaarde 1813 is geconfigureerd.

  6. Selecteer Wijzigen en voer een nieuwe tekenreeks voor gedeeld geheim met alfanumerieke tekens in. Noteer de nieuwe gedeelde geheime tekenreeks, omdat u deze later nodig hebt bij het configureren van de VPN-integratie in Defender for Identity.

  7. Schakel het selectievakje RADIUS-account in en boekhouding uit en selecteer OK in alle geopende dialoogvensters. Voorbeeld:

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

VPN configureren in Defender for Identity

In deze procedure wordt beschreven hoe u de VPN-integratie van Defender for Identity configureert in Microsoft Defender XDR.

  1. Meld u aan bij Microsoft Defender XDR en selecteer Instellingen> Identities>VPN.

  2. Selecteer Radius accounting inschakelen en voer het gedeelde geheim in dat u eerder hebt geconfigureerd op uw RRAS VPN-server. Voorbeeld:

    Screenshot of the Enable radius accounting option.

  3. Selecteer Opslaan om door te gaan.

Nadat u uw selectie hebt opgeslagen, beginnen uw Defender for Identity-sensoren te luisteren op poort 1813 voor RADIUS-accounting-gebeurtenissen en is uw VPN-installatie voltooid.

Wanneer de Defender for Identity-sensor VPN-gebeurtenissen ontvangt en deze verzendt naar de Defender for Identity-cloudservice voor verwerking, geeft het entiteitsprofiel verschillende VPN-locaties aan die zijn geopend en profielactiviteiten wijzen op locaties.

Zie Gebeurtenisverzameling configureren voor meer informatie.