Integratie van Defender for Identity VPN in Microsoft Defender XDR
Microsoft Defender for Identity kan worden geïntegreerd met uw VPN-oplossing door te luisteren naar RADIUS-accountinggebeurtenissen die worden doorgestuurd naar Defender for Identity-sensoren, zoals de IP-adressen en locaties waar verbindingen afkomstig zijn. Vpn-accountinggegevens kunnen u helpen bij uw onderzoek door meer informatie te geven over gebruikersactiviteiten, zoals de locaties waar computers verbinding maken met het netwerk en een extra detectie voor abnormale VPN-verbindingen.
De VPN-integratie van Defender for Identity is gebaseerd op standaard RADIUS Accounting (RFC 2866) en ondersteunt de volgende VPN-leveranciers:
- Microsoft
- F5
- Check Point
- Cisco ASA
VPN-integratie wordt niet ondersteund in omgevingen die voldoen aan Federal Information Processing Standards (FIPS)
De VPN-integratie van Defender for Identity ondersteunt zowel primaire UPN's als alternatieve user principal names. Oproepen om externe IP-adressen naar een locatie op te lossen, zijn anoniem en er wordt geen persoonlijke id verzonden in de oproep.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u het volgende hebt:
Toegang tot het gebied Instellingen in Microsoft Defender XDR. Zie Microsoft Defender for Identity-rollengroepen voor meer informatie.
De mogelijkheid om RADIUS op uw VPN-systeem te configureren.
Dit artikel bevat een voorbeeld van het configureren van Microsoft Defender for Identity voor het verzamelen van boekhoudgegevens van VPN-oplossingen met behulp van Microsoft Routing and Remote Access Server (RRAS). Als u een VPN-oplossing van derden gebruikt, raadpleegt u de bijbehorende documentatie voor instructies over het inschakelen van RADIUS Accounting.
Notitie
Wanneer u de VPN-integratie configureert, schakelt de Defender for Identity-sensor een vooraf ingericht Windows Firewall-beleid in met de naam Microsoft Defender for Identity Sensor. Dit beleid staat binnenkomende RADIUS Accounting toe op poort UDP 1813.
RADIUS-accounting configureren op uw VPN-systeem
In deze procedure wordt beschreven hoe u RADIUS-accounting configureert op een RRAS-server voor het integreren van een VPN-systeem met Defender for Identity. De instructies van uw systeem kunnen verschillen.
Op uw RRAS-server:
Open de console Routering en Externe toegang .
Klik met de rechtermuisknop op de servernaam en selecteer Eigenschappen.
Selecteer op het tabblad Beveiliging, onder Boekhoudprovider, RADIUS Accounting>Configureren. Voorbeeld:
Voer in het dialoogvenster RADIUS-server toevoegen de servernaam in van de dichtstbijzijnde Defender for Identity-sensor met netwerkconnectiviteit. Voor hoge beschikbaarheid kunt u meer Defender for Identity-sensoren toevoegen als RADIUS-servers.
Controleer onder Poort of de standaardwaarde
1813
is geconfigureerd.Selecteer Wijzigen en voer een nieuwe tekenreeks voor gedeeld geheim met alfanumerieke tekens in. Noteer de nieuwe gedeelde geheime tekenreeks, omdat u deze later nodig hebt bij het configureren van de VPN-integratie in Defender for Identity.
Schakel het selectievakje RADIUS-account in en boekhouding uit en selecteer OK in alle geopende dialoogvensters. Voorbeeld:
VPN configureren in Defender for Identity
In deze procedure wordt beschreven hoe u de VPN-integratie van Defender for Identity configureert in Microsoft Defender XDR.
Meld u aan bij Microsoft Defender XDR en selecteer Instellingen> Identities>VPN.
Selecteer Radius accounting inschakelen en voer het gedeelde geheim in dat u eerder hebt geconfigureerd op uw RRAS VPN-server. Voorbeeld:
Selecteer Opslaan om door te gaan.
Nadat u uw selectie hebt opgeslagen, beginnen uw Defender for Identity-sensoren te luisteren op poort 1813 voor RADIUS-accounting-gebeurtenissen en is uw VPN-installatie voltooid.
Wanneer de Defender for Identity-sensor VPN-gebeurtenissen ontvangt en deze verzendt naar de Defender for Identity-cloudservice voor verwerking, geeft het entiteitsprofiel verschillende VPN-locaties aan die zijn geopend en profielactiviteiten wijzen op locaties.
Gerelateerde inhoud
Zie Gebeurtenisverzameling configureren voor meer informatie.