Defender for Identity VPN-integrering i Microsoft Defender XDR

Microsoft Defender för identitet kan integreras med din VPN-lösning genom att lyssna på RADIUS-redovisningshändelser som vidarebefordras till Defender för identitetssensorer, till exempel IP-adresser och platser där anslutningarna har sitt ursprung. VPN-redovisningsdata kan hjälpa dina undersökningar genom att ge mer information om användaraktivitet, till exempel varifrån datorer ansluter till nätverket och en extra identifiering för onormala VPN-anslutningar.

Defender for Identitys VPN-integrering baseras på STANDARD RADIUS Accounting (RFC 2866) och stöder följande VPN-leverantörer:

• Microsoft
• F5
• Check Point
• Cisco ASA

VPN-integrering stöds inte i miljöer som följer FIPS (Federal Information Processing Standards)

Defender for Identitys VPN-integrering stöder både primära UPN:er och alternativa namn på användarens huvudnamn. Samtal för att matcha externa IP-adresser till en plats är anonyma och ingen personlig identifierare skickas i samtalet.

Förutsättningar

Kontrollera att du har:

• Microsoft Defender för identitet distribuerad

• Åtkomst till Inställningar området i Microsoft Defender XDR. Mer information finns i Rollgrupper för Microsoft Defender för identitet.

• Möjligheten att konfigurera RADIUS i VPN-systemet.

  Den här artikeln innehåller ett exempel på hur du konfigurerar Microsoft Defender för identitet för att samla in redovisningsinformation från VPN-lösningar med hjälp av Microsoft Routing och Remote Access Server (RRAS). Om du använder en VPN-lösning från tredje part kan du läsa deras dokumentation om hur du aktiverar RADIUS-redovisning.

Kommentar

När du konfigurerar VPN-integreringen aktiverar Defender for Identity-sensorn en fördefinierad Windows-brandväggsprincip med namnet Microsoft Defender för identitetssensor. Den här principen tillåter inkommande RADIUS-redovisning på port UDP 1813.

Konfigurera RADIUS-redovisning i DITT VPN-system

Den här proceduren beskriver hur du konfigurerar RADIUS-redovisning på en RRAS-server för integrering av ett VPN-system med Defender för identitet. Systemets instruktioner kan skilja sig åt.

På RRAS-servern:

1. Öppna routnings- och fjärråtkomstkonsolen.

2. Högerklicka på servernamnet och välj Egenskaper.

3. På fliken Säkerhet under Redovisningsprovider väljer du RADIUS-redovisning>Konfigurera. Till exempel:

   

4. I dialogrutan Lägg till RADIUS-server anger du servernamnet för närmaste Defender för identitetssensor med nätverksanslutning. För hög tillgänglighet kan du lägga till fler Defender för identitetssensorer som RADIUS-servrar.

5. Under Port kontrollerar du att standardvärdet 1813 för är konfigurerat.

6. Välj Ändra och ange en ny delad hemlighetssträng med alfanumeriska tecken. Anteckna den nya delade hemlighetssträngen eftersom du behöver den senare när du konfigurerar VPN-integreringen i Defender för identitet.

7. Markera rutan Skicka RADIUS-konto på- och redovisningsmeddelanden och välj OK i alla öppna dialogrutor. Till exempel:

   

Konfigurera VPN i Defender för identitet

Den här proceduren beskriver hur du konfigurerar Defender for Identitys VPN-integrering i Microsoft Defender XDR.

1. Logga in på Microsoft Defender XDR och välj Inställningar> Identiteter>VPN.

2. Välj Aktivera radieredovisning och ange den delade hemlighet som du tidigare konfigurerat på RRAS VPN-servern. Till exempel:

   

3. Välj Spara för att fortsätta.

När du har sparat ditt val börjar dina Defender for Identity-sensorer lyssna på port 1813 för RADIUS-redovisningshändelser och VPN-konfigurationen är klar.

När Defender for Identity-sensorn tar emot VPN-händelser och skickar dem till Defender for Identity-molntjänsten för bearbetning anger entitetsprofilen distinkta VPN-platser som har använts och profilaktiviteter anger platser.

Relaterat innehåll

Mer information finns i Konfigurera händelsesamling.