Compartilhar via

Resolução de Nomes de Rede no Microsoft Defender para Identidade

  • Artigo

A NNR (Resolução de Nomes de Rede) é um componente essencial da funcionalidade do Microsoft Defender para Identidade. O Defender para Identidade captura atividades com base no tráfego de rede, em eventos do Windows e ETW; essas atividades normalmente contêm dados de IP.

Usando a NNR, o Defender para Identidade executa uma correlação entre atividades brutas (que contêm endereços IP) e os computadores relevantes envolvidos em cada atividade. Com base nas atividades brutas, o Defender para Identidade traça perfis de entidades, incluindo computadores, e gera alertas de segurança para atividades suspeitas.

Para resolver os endereços IP para nomes do computador, os sensores do Defender para Identidade pesquisam os endereços IP usando os seguintes métodos:

Métodos primários:

  • NTLM por RPC (porta TCP 135)
  • NetBIOS (porta UDP 137)
  • RDP (porta TCP 3389): somente o primeiro pacote de Client hello

Método secundário:

  • Consulta o servidor DNS usando a pesquisa de DNS reverso do endereço IP (UDP 53)

Para obter os melhores resultados, recomendamos o uso de pelo menos um dos métodos primários. A pesquisa de DNS reverso do endereço IP só é executada quando:

  • Não há resposta de nenhum dos métodos primários.
  • Há um conflito na resposta recebida de dois ou mais métodos primários.

Observação

Nenhuma autenticação é executada em nenhuma das portas.

O Defender para Identidade avalia e determina o sistema operacional do dispositivo com base no tráfego de rede. Depois de recuperar o nome do computador, o sensor do Defender para Identidade verifica o Active Directory e usa impressões digitais TCP para ver se há um objeto de computador correlacionado com o mesmo nome de computador. O uso de impressões digitais TCP ajuda a identificar dispositivos não registrados e que não sejam Windows, ajudando no processo de investigação. Quando o sensor do Defender para Identidade encontra a correlação, ele associa o IP ao objeto de computador.

Nos casos em que nenhum nome é recuperado, um perfil de computador não resolvido por IP é criado com o IP e a atividade detectada relevante.

Os dados da NNR são cruciais para detectar as seguintes ameaças:

  • Suspeita de roubo de identidade (Pass-the-Ticket)
  • Suspeita de ataque DCSync (replicação de serviços de diretório)
  • Reconhecimento de mapeamento de rede (DNS)

Para melhorar sua capacidade de determinar se um alerta é um TP (Verdadeiro Positivo) ou FP (Falso Positivo), o Defender para Identidade inclui o nível de certeza da resolução de nomes de computador nas evidências de cada alerta de segurança.

Por exemplo, quando os nomes de computador são resolvidos com um nível alto de certeza, a confiança no alerta de segurança resultante é maior, como um Verdadeiro Positivo, ou TP.

A evidência inclui a hora, o IP e o nome do computador para o qual o IP foi resolvido. Quando o nível de certeza da resolução for baixo, use essas informações para investigar e verificar qual dispositivo era a verdadeira origem do IP no momento. Depois de confirmar o dispositivo, você pode determinar se o alerta é um Falso Positivo, ou FP, como nos seguintes exemplos:

  • Suspeita de roubo de identidade (Pass-the-Ticket): o alerta foi disparado para o mesmo computador.

  • Suspeita de ataque DCSync (replicação de serviços de diretório): o alerta foi disparado por um controlador de domínio.

  • Reconhecimento de mapeamento de rede (DNS): o alerta foi disparado de um servidor DNS.

    Certeza de evidência.

Recomendações de configuração

  • NTLM por RPC:

    • Verifique se a porta TCP 135 está aberta para comunicação de entrada dos sensores do Defender para Identidade em todos os computadores do ambiente.
    • Verifique todas as configurações da rede (firewalls), pois isso pode impedir a comunicação com as portas relevantes.

  • NetBIOS:

    • Verifique se a porta UDP 137 está aberta para comunicação de entrada dos sensores do Defender para Identidade em todos os computadores do ambiente.
    • Verifique todas as configurações da rede (firewalls), pois isso pode impedir a comunicação com as portas relevantes.

  • RDP:

    • Verifique se a porta TCP 3389 está aberta para comunicação de entrada dos sensores do Defender para Identidade em todos os computadores do ambiente.
    • Verifique todas as configurações da rede (firewalls), pois isso pode impedir a comunicação com as portas relevantes.

    Observação

    • Apenas um desses protocolos é necessário, mas recomendamos o uso de todos eles.
    • Não há suporte para portas RDP personalizadas.

  • DNS reverso:

    • Verifique se o sensor pode acessar o servidor DNS e se as Zonas de Pesquisa Inversa estão habilitadas.

Problemas de integridade

Para garantir que o Defender para Identidade esteja funcionando de forma ideal e que o ambiente esteja configurado corretamente, o Defender para Identidade verifica o status da resolução de cada sensor e emite um alerta de integridade por método, fornecendo uma lista dos sensores do Defender para Identidade com baixa taxa de sucesso da resolução de nomes ativos usando cada método.

Observação

Para desabilitar um método NNR opcional no Defender para Identidade a fim de atender às necessidades do seu ambiente, abra um caso de suporte.

Cada alerta de integridade fornece detalhes específicos do método, dos sensores, da política problemática, bem como das recomendações de configuração. Para obter mais informações sobre problemas de integridade, consulte Problemas de integridade do sensor do Microsoft Defender para Identidade.

Confira também