Integracja sieci VPN usługi Defender for Identity w usłudze Microsoft Defender XDR

  • Artykuł

Usługa Microsoft Defender for Identity może integrować się z rozwiązaniem sieci VPN, nasłuchując zdarzeń księgowych usługi RADIUS przekazywanych do czujników usługi Defender for Identity, takich jak adresy IP i lokalizacje, w których pochodzą połączenia. Dane ewidencjonowania aktywności sieci VPN mogą pomóc w badaniach, udostępniając więcej informacji na temat aktywności użytkowników, takich jak lokalizacje, w których komputery łączą się z siecią, oraz dodatkowe wykrywanie nietypowych połączeń sieci VPN.

Integracja sieci VPN usługi Defender for Identity jest oparta na standardowej księgowości usługi RADIUS (RFC 2866) i obsługuje następujących dostawców sieci VPN:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

Integracja sieci VPN nie jest obsługiwana w środowiskach przestrzegających federalnych standardów przetwarzania informacji (FIPS)

Integracja sieci VPN usługi Defender for Identity obsługuje zarówno podstawowe nazwy UPN, jak i alternatywne główne nazwy użytkowników. Wywołania umożliwiające rozpoznawanie zewnętrznych adresów IP do lokalizacji są anonimowe i w wywołaniu nie są wysyłane żadne identyfikatory osobiste.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące elementy:

  • Wdrożona usługa Microsoft Defender for Identity

  • Dostęp do obszaru Ustawienia w usłudze Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz Grupy ról usługi Microsoft Defender for Identity.

  • Możliwość konfigurowania usługi RADIUS w systemie sieci VPN.

    W tym artykule przedstawiono przykład konfigurowania usługi Microsoft Defender for Identity w celu zbierania informacji księgowych z rozwiązań sieci VPN przy użyciu usługi Microsoft Routing and Remote Access Server (RRAS). Jeśli używasz rozwiązania sieci VPN innej firmy, zapoznaj się z jego dokumentacją, aby uzyskać instrukcje dotyczące włączania ewidencjonowania aktywności usługi RADIUS.

Uwaga

Podczas konfigurowania integracji sieci VPN czujnik usługi Defender for Identity włącza wstępnie aprowizowane zasady zapory systemu Windows o nazwie Microsoft Defender for Identity Sensor. Te zasady umożliwiają przychodzące ewidencjonowanie aktywności usługi RADIUS na porcie UDP 1813.

Konfigurowanie ewidencjonowania aktywności usługi RADIUS w systemie sieci VPN

W tej procedurze opisano sposób konfigurowania ewidencjonowania aktywności usługi RADIUS na serwerze usługi RRAS na potrzeby integracji systemu sieci VPN z usługą Defender for Identity. Instrukcje systemu mogą się różnić.

Na serwerze usługi RRAS:

  1. Otwórz konsolę Routing i dostęp zdalny.

  2. Kliknij prawym przyciskiem myszy nazwę serwera i wybierz polecenie Właściwości.

  3. Na karcie Zabezpieczenia w obszarze Dostawca księgowości wybierz pozycję Konfiguracja ewidencjonowania aktywności>usługi RADIUS. Na przykład:

    Screenshot of the Security tab.

  4. W oknie dialogowym Dodawanie serwera RADIUS wprowadź nazwę serwera najbliższego czujnika usługi Defender for Identity z łącznością sieciową. Aby uzyskać wysoką dostępność, można dodać więcej czujników usługi Defender for Identity jako serwery RADIUS.

  5. W obszarze Port upewnij się, że skonfigurowano wartość domyślną 1813 .

  6. Wybierz pozycję Zmień i wprowadź nowy wspólny ciąg tajny znaków alfanumerycznych. Zanotuj nowy wspólny ciąg wpisu tajnego, ponieważ będzie on potrzebny później podczas konfigurowania integracji sieci VPN w usłudze Defender for Identity.

  7. Zaznacz pole Wyślij konto usługi RADIUS Włączone i Księgowość wył. i zaznacz przycisk OK we wszystkich otwartych oknach dialogowych. Na przykład:

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

Konfigurowanie sieci VPN w usłudze Defender for Identity

W tej procedurze opisano sposób konfigurowania integracji sieci VPN usługi Defender for Identity w usłudze Microsoft Defender XDR.

  1. Zaloguj się do usługi Microsoft Defender XDR i wybierz pozycję Ustawienia> Identities>VPN.

  2. Wybierz pozycję Włącz ewidencjonowanie aktywności radius i wprowadź wpis tajny udostępniony, który został wcześniej skonfigurowany na serwerze sieci VPN usługi RRAS. Na przykład:

    Screenshot of the Enable radius accounting option.

  3. Wybierz pozycję Zapisz , aby kontynuować.

Po zapisaniu zaznaczenia czujniki usługi Defender for Identity zaczynają nasłuchiwać na porcie 1813 dla zdarzeń księgowych usługi RADIUS, a konfiguracja sieci VPN została ukończona.

Gdy czujnik usługi Defender for Identity odbiera zdarzenia sieci VPN i wysyła je do usługi w chmurze Defender for Identity na potrzeby przetwarzania, profil jednostki wskazuje różne lokalizacje sieci VPN, do których uzyskiwano dostęp, a działania profilu wskazują lokalizacje.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania zdarzeń.