Integração do Defender for Identity VPN no Microsoft Defender XDR
O Microsoft Defender for Identity pode se integrar à sua solução VPN ouvindo eventos de contabilização RADIUS encaminhados para sensores do Defender for Identity, como os endereços IP e locais de origem das conexões. Os dados de contabilidade VPN podem ajudar suas investigações, fornecendo mais informações sobre a atividade do usuário, como os locais de onde os computadores estão se conectando à rede, e uma deteção extra para conexões VPN anormais.
A integração VPN do Defender for Identity é baseada na contabilidade RADIUS padrão (RFC 2866) e suporta os seguintes fornecedores de VPN:
- Microsoft
- F5
- Check Point
- Cisco ASA
A integração VPN não é suportada em ambientes que aderem aos Padrões Federais de Processamento de Informações (FIPS)
A integração VPN do Defender for Identity suporta UPNs primários e nomes principais de usuário alternativos. As chamadas para resolver endereços IP externos para um local são anônimas e nenhum identificador pessoal é enviado na chamada.
Pré-requisitos
Antes de começar, certifique-se de que tem:
Acesso à área Configurações no Microsoft Defender XDR. Para obter mais informações, consulte Microsoft Defender for Identity role groups.
A capacidade de configurar o RADIUS no seu sistema VPN.
Este artigo fornece um exemplo de como configurar o Microsoft Defender for Identity para coletar informações contábeis de soluções VPN, usando o Microsoft Routing and Remote Access Server (RRAS). Se você estiver usando uma solução VPN de terceiros, consulte a documentação deles para obter instruções sobre como habilitar a Contabilidade RADIUS.
Nota
Quando você configura a integração VPN, o sensor Defender for Identity habilita uma política de firewall do Windows pré-provisionada chamada Microsoft Defender for Identity Sensor. Esta política permite a entrada da Contabilidade RADIUS na porta UDP 1813.
Configurar a contabilização RADIUS no seu sistema VPN
Este procedimento descreve como configurar a contabilização RADIUS em um servidor RRAS para integrar um sistema VPN com o Defender for Identity. As instruções do seu sistema podem ser diferentes.
No servidor RRAS:
Abra o console Roteamento e Acesso Remoto.
Clique com o botão direito do mouse no nome do servidor e selecione Propriedades.
Na guia Segurança, em Provedor de contabilidade, selecione Configuração de contabilidade>RADIUS. Por exemplo:
Na caixa de diálogo Adicionar Servidor RADIUS, insira o Nome do servidor do sensor Defender for Identity mais próximo com conectividade de rede. Para alta disponibilidade, você pode adicionar mais sensores do Defender for Identity como servidores RADIUS.
Em Porta, verifique se o valor padrão de
1813está configurado.Selecione Alterar e insira uma nova cadeia de caracteres alfanuméricos de segredo compartilhado. Anote a nova cadeia de caracteres de segredo compartilhado, pois você precisará dela mais tarde ao configurar a integração VPN no Defender for Identity.
Marque a caixa Enviar mensagens RADIUS Account On e Accounting Off e selecione OK em todas as caixas de diálogo abertas. Por exemplo:
Configurar VPN no Defender for Identity
Este procedimento descreve como configurar a integração VPN do Defender for Identity no Microsoft Defender XDR.
Entre no Microsoft Defender XDR e selecione Configurações>Identidades>VPN.
Selecione Ativar contabilização de raio e insira o Segredo Compartilhado que você configurou anteriormente em seu servidor VPN RRAS. Por exemplo:
Selecione Salvar para continuar.
Depois de salvar sua seleção, os sensores do Defender for Identity começam a escutar eventos de contabilidade RADIUS na porta 1813 e a configuração da VPN é concluída.
Quando o sensor do Defender for Identity recebe eventos VPN e os envia para o serviço de nuvem do Defender for Identity para processamento, o perfil da entidade indica locais VPN distintos que foram acessados e as atividades do perfil indicam locais.
Conteúdos relacionados
Para obter mais informações, consulte Configurar coleta de eventos.