Kimlik için Microsoft Defender mimarisi

Kimlik için Microsoft Defender, ağ trafiğini yakalayıp ayrıştırarak ve doğrudan etki alanı denetleyicilerinizden Windows olaylarından yararlanarak etki alanı denetleyicilerinizi izler, ardından saldırılar ve tehditler için verileri analiz eder. Kimlik için Defender profil oluşturma, belirleyici algılama, makine öğrenmesi ve davranış algoritmalarını kullanarak ağınız hakkında bilgi edinir, anomalilerin algılanmasını sağlar ve şüpheli etkinlikler konusunda sizi uyarır.

Kimlik için Defender mimarisi:

Kimlik için Defender mimarisi topoloji diyagramı

Bu bölümde Kimlik için Defender'ın ağ ve olay yakalama akışının nasıl çalıştığı açıklanır ve ana bileşenlerin işlevselliğini açıklamak için detaya gidin: Microsoft 365 Defender portalı, Kimlik için Defender algılayıcısı ve Kimlik için Defender bulut hizmeti.

Doğrudan etki alanı denetleyicinize veya AD FS sunucularınıza yüklenen Kimlik için Defender algılayıcısı, gerektirdiği olay günlüklerine doğrudan sunuculardan erişir. Günlükler ve ağ trafiği algılayıcı tarafından ayrıştırıldıktan sonra, Kimlik için Defender yalnızca ayrıştırılan bilgileri Kimlik için Defender bulut hizmetine gönderir (günlüklerin yalnızca bir yüzdesi gönderilir).

Kimlik için Defender bileşenleri

Kimlik için Defender aşağıdaki bileşenlerden oluşur:

  • Microsoft 365 Defender portalı
    Microsoft 365 Defender portalı Kimlik için Defender örneğinizi oluşturur, Kimlik için Defender algılayıcılarından alınan verileri görüntüler ve ağ ortamınızdaki tehditleri izlemenize, yönetmenize ve araştırmanıza olanak tanır.

  • Kimlik için Defender algılayıcısı
    Kimlik için Defender algılayıcıları doğrudan aşağıdaki sunuculara yüklenebilir:

    • Etki alanı denetleyicileri: Algılayıcı, ayrılmış sunucuya veya bağlantı noktası yansıtma yapılandırmasına gerek kalmadan etki alanı denetleyicisi trafiğini doğrudan izler.
    • AD FS: Algılayıcı ağ trafiğini ve kimlik doğrulama olaylarını doğrudan izler.
  • Kimlik için Defender bulut hizmeti
    Kimlik için Defender bulut hizmeti Azure altyapısında çalışır ve şu anda ABD, Avrupa ve Asya'da dağıtılır. Kimlik için Defender bulut hizmeti, Microsoft'un akıllı güvenlik grafı ile bağlantılıdır.

Microsoft 365 Defender portalı

Microsoft 365 Defender portalını kullanarak:

  • Kimlik için Defender örneğinizi oluşturma
  • Diğer Microsoft güvenlik hizmetleriyle tümleştirme
  • Kimlik için Defender algılayıcı yapılandırma ayarlarını yönetme
  • Kimlik için Defender algılayıcılarından alınan verileri görüntüleme
  • Saldırı sonlandırma zinciri modeline göre algılanan şüpheli etkinlikleri ve şüpheli saldırıları izleme
  • İsteğe bağlı: Portal, güvenlik uyarıları veya sistem durumu sorunları algılandığında e-posta ve olay gönderecek şekilde de yapılandırılabilir

Not

Kimlik için Defender örneğinizde 60 gün içinde hiçbir algılayıcı yüklü değilse örnek silinebilir ve yeniden oluşturmanız gerekir.

Kimlik için Defender algılayıcısı

Kimlik için Defender algılayıcısı aşağıdaki temel işlevlere sahiptir:

  • Etki alanı denetleyicisi ağ trafiğini yakalama ve denetleme (etki alanı denetleyicisinin yerel trafiği)
  • Windows Olaylarını doğrudan etki alanı denetleyicilerinden alma
  • VPN sağlayıcınızdan RADIUS muhasebe bilgilerini alma
  • Active Directory etki alanından kullanıcılar ve bilgisayarlar hakkındaki verileri alma
  • Ağ varlıklarının (kullanıcılar, gruplar ve bilgisayarlar) çözümlemesini yapma
  • İlgili verileri Kimlik için Defender bulut hizmetine aktarma

Kimlik için Defender algılayıcı özellikleri

Kimlik için Defender algılayıcısı, ek donanım veya yapılandırma satın almak ve bakımını yapmak zorunda kalmadan olayları yerel olarak okur. Kimlik için Defender algılayıcısı, birden çok algılama için günlük bilgilerini sağlayan Windows için Olay İzleme'yi (ETW) de destekler. ETW tabanlı algılamalar, etki alanı denetleyicisi çoğaltma istekleri ve etki alanı denetleyicisi yükseltmesi kullanılarak denenen şüpheli DCShadow saldırılarını içerir.

Etki alanı eşitleyici işlemi

Etki alanı eşitleyici işlemi, belirli bir Active Directory etki alanındaki tüm varlıkların proaktif olarak eşitlenmesinden sorumludur (çoğaltma için etki alanı denetleyicilerinin kendileri tarafından kullanılan mekanizmaya benzer). Bir algılayıcı, etki alanı eşitleyicisi olarak görev yapmak için tüm uygun algılayıcılarınızdan rastgele olarak seçilir.

Etki alanı eşitleyicisi 30 dakikadan uzun süre çevrimdışıysa, bunun yerine otomatik olarak başka bir algılayıcı seçilir.

Kaynak sınırlamaları

Kimlik için Defender algılayıcısı, üzerinde çalıştığı etki alanı denetleyicisinde kullanılabilir işlem ve bellek kapasitesini değerlendiren bir izleme bileşeni içerir. İzleme işlemi 10 saniyede bir çalıştırılır ve Kimlik için Defender algılayıcı işleminde CPU ve bellek kullanım kotasını dinamik olarak güncelleştirir. İzleme işlemi, etki alanı denetleyicisinin her zaman ücretsiz işlem ve bellek kaynaklarının en az %15'ine sahip olmasını sağlar.

Etki alanı denetleyicisinde ne olursa olsun, izleme işlemi etki alanı denetleyicisinin temel işlevselliğinin hiçbir zaman etkilenmediğinden emin olmak için kaynakları sürekli olarak boşaltıyor.

İzleme işlemi Kimlik için Defender algılayıcısının kaynak yetersizliğine neden oluyorsa, yalnızca kısmi trafik izlenir ve Kimlik için Defender algılayıcı sayfasında "Bağlantı noktası yansıtılmış ağ trafiği bırakıldı" sistem durumu uyarısı görüntülenir.

Windows Olayları

NTLM kimlik doğrulamaları, hassas gruplarda yapılan değişiklikler ve şüpheli hizmetlerin oluşturulmasıyla ilgili Kimlik için Defender algılama kapsamını geliştirmek için Kimlik için Defender'ın burada listelenen Windows Olaylarının günlüklerini analiz etmesi gerekir. Bu olaylar Kimlik için Defender algılayıcıları tarafından doğru gelişmiş denetim ilkesi ayarlarıyla otomatik olarak okunur. Windows Olay 8004'in hizmet tarafından gerektiği gibi denetlendiğinden emin olmak için NTLM denetim ayarlarınızı gözden geçirin.

Sonraki adımlar