Kimlik için Microsoft Defender mimarisi

  • Makale

Kimlik için Microsoft Defender, ağ trafiğini yakalayıp ayrıştırarak, doğrudan etki alanı denetleyicilerinizden Windows olaylarından yararlanarak etki alanı denetleyicilerinizi izler ve ardından saldırılar ve tehditler için verileri analiz eder.

Aşağıdaki görüntüde Kimlik için Defender'ın Microsoft Defender XDR'ye nasıl katmanlandığı ve etki alanı denetleyicilerinden ve Active Directory sunucularından gelen trafiği izlemek için diğer Microsoft hizmetleri ve üçüncü taraf kimlik sağlayıcılarıyla birlikte nasıl çalıştığı gösterilmektedir.

Diagram of the Defender for Identity architecture.

Doğrudan etki alanı denetleyicinize, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) veya Active Directory Sertifika Hizmetleri (AD CS) sunucularınıza yüklenen Kimlik için Defender algılayıcısı, gerektirdiği olay günlüklerine doğrudan sunuculardan erişir. Günlükler ve ağ trafiği algılayıcı tarafından ayrıştırıldıktan sonra, Kimlik için Defender yalnızca ayrıştırılan bilgileri Kimlik için Defender bulut hizmetine gönderir.

Kimlik için Defender bileşenleri

Kimlik için Defender aşağıdaki bileşenlerden oluşur:

  • Microsoft Defender portalı
    Microsoft Defender portalı Kimlik için Defender çalışma alanınızı oluşturur, Kimlik için Defender algılayıcılarından alınan verileri görüntüler ve ağ ortamınızdaki tehditleri izlemenize, yönetmenize ve araştırmanıza olanak tanır.

  • Kimlik için Defender algılayıcısı Kimlik için Defender algılayıcıları doğrudan aşağıdaki sunuculara yüklenebilir:

    • Etki alanı denetleyicileri: Algılayıcı, ayrılmış sunucuya veya bağlantı noktası yansıtma yapılandırmasına gerek kalmadan etki alanı denetleyicisi trafiğini doğrudan izler.
    • AD FS / AD CS: Algılayıcı, ağ trafiğini ve kimlik doğrulama olaylarını doğrudan izler.

  • Kimlik için Defender bulut hizmeti
    Kimlik için Defender bulut hizmeti Azure altyapısında çalışır ve şu anda ABD, Avrupa, Doğu Avustralya ve Asya'da dağıtılmaktadır. Kimlik için Defender bulut hizmeti, Microsoft'un akıllı güvenlik grafiğine bağlıdır.

Microsoft Defender portalı

Microsoft Defender portalını kullanarak:

  • Kimlik için Defender çalışma alanınızı oluşturun.
  • Diğer Microsoft güvenlik hizmetleriyle tümleştirme.
  • Kimlik için Defender algılayıcı yapılandırma ayarlarını yönetin.
  • Kimlik için Defender algılayıcılarından alınan verileri görüntüleyin.
  • Saldırı sonlandırma zinciri modeline göre algılanan şüpheli etkinlikleri ve şüpheli saldırıları izleyin.
  • İsteğe bağlı: Portal, güvenlik uyarıları veya sistem durumu sorunları algılandığında e-posta ve olay gönderecek şekilde de yapılandırılabilir.

Not

Kimlik için Defender çalışma alanınıza 60 gün içinde algılayıcı yüklenmezse çalışma alanı silinebilir ve yeniden oluşturmanız gerekir.

Kimlik için Defender algılayıcısı

Kimlik için Defender algılayıcısı aşağıdaki temel işlevlere sahiptir:

  • Etki alanı denetleyicisi ağ trafiğini yakalama ve inceleme (etki alanı denetleyicisinin yerel trafiği)
  • Windows Olaylarını doğrudan etki alanı denetleyicilerinden alma
  • VPN sağlayıcınızdan RADIUS muhasebe bilgilerini alma
  • Active Directory etki alanından kullanıcılar ve bilgisayarlar hakkındaki verileri alma
  • Ağ varlıklarının (kullanıcılar, gruplar ve bilgisayarlar) çözümlemesini gerçekleştirme
  • İlgili verileri Kimlik için Defender bulut hizmetine aktarma

Kimlik için Defender algılayıcısı ek donanım veya yapılandırma satın almak ve bakımını yapmak zorunda kalmadan olayları yerel olarak okur. Kimlik için Defender algılayıcısı, birden çok algılama için günlük bilgilerini sağlayan Windows için Olay İzleme'yi (ETW) de destekler. ETW tabanlı algılamalar, etki alanı denetleyicisi çoğaltma istekleri ve etki alanı denetleyicisi yükseltmesi kullanılarak denenen Şüpheli DCShadow saldırılarını içerir.

Etki alanı eşitleyici işlemi

Etki alanı eşitleyici işlemi, belirli bir Active Directory etki alanındaki tüm varlıkların proaktif olarak eşitlenmesinden sorumludur (çoğaltma için etki alanı denetleyicilerinin kendileri tarafından kullanılan mekanizmaya benzer). Bir algılayıcı, etki alanı eşitleyicisi olarak görev yapmak için tüm uygun algılayıcılarınızdan rastgele olarak otomatik olarak seçilir.

Etki alanı eşitleyicisi 30 dakikadan fazla çevrimdışıysa, bunun yerine otomatik olarak başka bir algılayıcı seçilir.

Kaynak sınırlamaları

Kimlik için Defender algılayıcısı, üzerinde çalıştığı sunucuda kullanılabilir işlem ve bellek kapasitesini değerlendiren bir izleme bileşeni içerir. İzleme işlemi 10 saniyede bir çalıştırılır ve Kimlik için Defender algılayıcısı işleminde CPU ve bellek kullanım kotasını dinamik olarak güncelleştirir. İzleme işlemi, sunucunun her zaman ücretsiz işlem ve bellek kaynaklarının en az %15'ine sahip olmasını sağlar.

Sunucuda ne olursa olsun izleme işlemi, sunucunun temel işlevselliğinin hiçbir zaman etkilenmediğinden emin olmak için kaynakları sürekli olarak boşaltıyor.

İzleme işlemi Kimlik için Defender algılayıcısının kaynaklarının tükenmiş olması durumunda yalnızca kısmi trafik izlenir ve Kimlik için Defender algılayıcısı sayfasında "Bağlantı noktası yansıtılmış ağ trafiği bırakıldı" sistem durumu uyarısı görüntülenir.

Windows Olayları

NTLM kimlik doğrulamaları, hassas gruplarda yapılan değişiklikler ve şüpheli hizmetlerin oluşturulmasıyla ilgili Kimlik için Defender algılama kapsamını geliştirmek için, Kimlik için Defender belirli Windows olaylarının günlüklerini analiz eder.

Günlüklerin okunmasını sağlamak için Kimlik için Defender algılayıcınızda gelişmiş denetim ilkesi ayarlarının doğru yapılandırıldığından emin olun. Windows Olay 8004'in hizmet tarafından gerektiği gibi denetlendiğinden emin olmak için NTLM denetim ayarlarınızı gözden geçirin

Sonraki adım

Microsoft Defender XDR ile Kimlik için Microsoft Defender dağıtma