Arquitetura do Microsoft Defender para Identidade
O Microsoft Defender para Identidade monitora seus controladores de domínio capturando e analisando o tráfego de rede, aproveitando os eventos do Windows diretamente de seus controladores de domínio, em seguida, analisa os dados em busca de ataques e ameaças.
A imagem a seguir mostra como o Defender para Identidade é colocado em camadas sobre o Microsoft Defender XDR e funciona em conjunto com outros serviços Microsoft e provedores de identidade de terceiros para monitorar o tráfego proveniente de controladores de domínio e servidores do Active Directory.
Instalado diretamente em seu controlador de domínio, Serviços de Federação do Active Directory (AD FS) ou servidores dos Serviços de Certificado do Active Directory (AD CS), o sensor do Defender para Identidade acessa os logs de eventos necessários diretamente dos servidores. Depois que o tráfego de rede e os logs são analisados pelo sensor, o Defender para Identidade envia apenas as informações analisadas ao serviço de nuvem do Defender para Identidade.
Componentes do Defender para Identidade
O Defender para Identidade é composto pelos seguintes componentes:
Portal do Microsoft Defender
O portal do Microsoft Defender cria seu espaço de trabalho do Defender para Identidade, exibe os dados recebidos dos sensores do Defender para Identidade e permite monitorar, gerenciar e investigar ameaças em seu ambiente de rede.Sensor do Defender para Identidade Os sensores do Defender para Identidade podem ser instalados diretamente nos seguintes servidores:
- Controladores de domínio: O sensor monitora diretamente o tráfego do controlador de domínio sem a necessidade de um servidor dedicado ou configuração de espelhamento de porta.
- AD FS / AD CS: o sensor monitora diretamente eventos de autenticação e tráfego de rede.
Serviço de nuvem do Defender para Identidade
O serviço de nuvem do Defender para Identidade executado na infraestrutura do Azure e implantado no momento nos EUA, na Europa, no Leste da Austrália e na Ásia. O serviço de nuvem do Defender para Identidade está conectado ao grafo de segurança inteligente da Microsoft.
Portal do Microsoft Defender
Use o portal do Microsoft Defender para:
- Criar seu espaço de trabalho do Defender para Identidade.
- Integrar aos outros serviços de segurança da Microsoft.
- Gerenciar as configurações de sensor do Defender para Identidade.
- Exibir dados recebidos dos sensores do Defender para Identidade.
- O Monitor detectou atividades suspeitas e ataques suspeitos com base no modelo de cadeia de encerramento de ataque.
- Opcional: o portal também pode ser configurado para enviar e-mails e eventos quando alertas de segurança ou problemas de integridade são detectados.
Observação
Se nenhum sensor for instalado no seu espaço de trabalho do Defender para Identidade em até 60 dias, ele poderá ser excluído e você precisará recriá-lo.
Sensor do Defender para Identidade
O sensor do Defender para Identidade tem a seguinte funcionalidade principal:
- Capturar e inspecionar o tráfego de rede do controlador de domínio (tráfego local do controlador de domínio)
- Receber eventos do Windows diretamente dos controladores de domínio
- Receba informações contábeis RADIUS do seu provedor de VPN
- Recuperar dados sobre usuários e computadores do domínio do Active Directory
- Executar a resolução de entidades de rede (usuários, grupos e computadores)
- Transferir dados relevantes para o serviço de nuvem do Defender para Identidade
O sensor do Defender para Identidade lê eventos localmente, sem a necessidade de comprar e manter hardware ou configurações adicionais. O sensor do Defender para Identidade também dá suporte ao ETW (Rastreamento de Eventos para Windows), que fornece as informações de log para várias detecções. As detecções baseadas em ETW incluem ataques DCShadow suspeitos tentados usando solicitações de replicação de controlador de domínio e promoção de controlador de domínio.
Processo do sincronizador de domínio
O processo do sincronizador de domínio é responsável por sincronizar todas as entidades de um domínio específico do Active Directory proativamente (semelhante ao mecanismo usado pelos próprios controladores de domínio para replicação). Um sensor é escolhido automaticamente aleatoriamente de todos os seus sensores qualificados para servir como sincronizador de domínio.
Se o sincronizador de domínio ficar offline por mais de 30 minutos, outro sensor será escolhido automaticamente em seu lugar.
Limitações de recursos
O sensor do Defender para Identidade inclui um componente de monitoramento que avalia a capacidade de computação e de memória disponível no servidor no qual ele está sendo executado. O processo de monitoramento é executado a cada 10 segundos e atualiza dinamicamente a cota de utilização de CPU e memória no processo do sensor do Defender para Identidade. O processo de monitoramento garante que o servidor sempre tenha pelo menos 15% dos recursos de computação e memória livres disponíveis.
Não importa o que ocorra no servidor, o processo de monitoramento libera continuamente recursos para garantir que a funcionalidade principal do servidor nunca seja afetada.
Se o processo de monitoramento fizer o sensor do Defender para Identidade ficar sem recursos, apenas parte do tráfego será monitorado e o alerta de integridade "Tráfego de rede espelhado na porta removido" será exibido na página de sensor do Defender para Identidade.
Eventos do Windows
Para aprimorar a cobertura de detecção do Defender para Identidade relacionada a autenticações NTLM, modificações a grupos confidenciais e a criação de serviços suspeitos, o Defender para Identidade analisa os logs dos Eventos do Windows específicos.
Para garantir que os logs sejam lidos, verifique se o sensor do Defender para Identidade tem configurações de política de auditoria avançada configuradas corretamente. Para certificar-se de que o Evento 8004 do Windows é auditado conforme necessário pelo serviço, revise suas configurações de auditoria NTLM
Próxima etapa
Implantar o Microsoft Defender para Identidade com o Microsoft Defender XDR