Microsoft Defender for Identity 网络名称解析
网络名称解析 (NNR) 是 Microsoft Defender for Identity 功能的主要组件。 Defender for Identity 可以捕获基于网络流量、Windows 事件和 ETW 的活动 - 这些活动通常包含 IP 数据。
使用 NNR,Defender for Identity 可以在原始活动(包含 IP 地址)和每个活动中涉及的相关计算机之间进行关联。 Defender for Identity 能够根据原始活动对实体(包含计算机)进行配置并为可疑活动生成安全警报。
若要将 IP 地址解析为计算机名,Defender for Identity 传感器使用以下方法查找 IP 地址:
主要方法:
- NTLM over RPC(TCP 端口 135)
- NetBIOS(UDP 端口 137)
- RDP(TCP 端口 3389)- 仅客户端 hello 的第一个数据包
次要方法:
- 使用 IP 地址的反向 DNS 查找查询 DNS 服务器 (UDP 53)
为获得最佳结果,我们建议至少使用一种主要方法。 只有在以下情况下,才能对 IP 地址进行反向 DNS 查找:
- 任何主要方法都没有响应。
- 从两个或更多主要方法收到的响应存在冲突。
注意
请勿对任何端口执行身份验证。
Defender for Identity 会根据网络流量评估并确定设备操作系统。 检索计算机名称后,Defender for Identity 传感器会检查 Active Directory 并使用 TCP 指纹来查看是否存在具有相同计算机名称的相关计算机对象。 使用 TCP 指纹可帮助识别未注册和非 Windows 设备,有助于你的调查流程。 当 Defender for Identity 传感器找到相关性时,传感器会将 IP 与计算机对象相关联。
如果未检索到名称,将使用 IP 和相关检测到的活动创建未解析的 IP 计算机配置文件。
NNR 数据对于检测以下威胁至关重要:
- 可疑的身份盗用 (pass-the-ticket)
- 可疑的 DCSync 攻击(目录服务复制)
- 网络映射侦查 (DNS)
为了提高你确定警报是真阳性 (TP) 还是假阳性 (FP) 的能力,Defender for Identity 会将计算机命名解析的确定程度包含在每个安全警报的证据中。
例如,当计算机名称的解析确定性较高时,就会增加生成的安全警报为真阳性或 TP 的置信度。
证据包含时间、IP 和 IP 解析到的计算机名称。 当解析确定性较低时,请使用此信息来调查并验证此时哪个设备是 IP 的真正来源。 确认设备后,你可以确定警报是假阳性或 FP,类似于以下示例:
可疑的身份盗用 (pass-the-ticket) - 针对同一台计算机触发警报。
可疑的 DCSync 攻击(目录服务复制)- 警报由域控制器触发。
网络映射侦查 (DNS) - 警报由 DNS 服务器触发。
配置建议
基于 RPC 的 NTLM:
- 检查 TCP 端口 135 是否打开,以便通过环境中所有计算机上的 Defender for Identity 传感器进行入站通信。
- 检查所有网络配置(防火墙),因为这可能会阻止与相关端口的通信。
NetBIOS:
- 检查 UDP 端口 137 是否打开,以便通过环境中所有计算机上的 Defender for Identity 传感器进行入站通信。
- 检查所有网络配置(防火墙),因为这可能会阻止与相关端口的通信。
RDP:
- 检查 TCP 端口 3389 是否打开,以便通过环境中所有计算机上的 Defender for Identity 传感器进行入站通信。
- 检查所有网络配置(防火墙),因为这可能会阻止与相关端口的通信。
注意
- 其中一种协议是必需的,但我们建议使用所有协议。
- 不支持自定义的 RDP 端口。
反向 DNS:
- 检查传感器是否可以到达 DNS 服务器并启用“反向查找区域”。
运行状况问题
为了确保 Defender for Identity 工作正常且环境配置正确,Defender for Identity 会检查每个传感器的解析状态,并按每种方法发出运行状况警报,提供使用每种方法解析活动名称成功率较低的 Defender for Identity 传感器的列表。
注意
要停用 Defender for Identity 中可选的 NNR 方法以满足你的环境需要,请开立支持案例。
每个运行状况警报都提供了方法、传感器、有问题的策略以及配置建议的具体详细信息。 有关运行状况问题的详细信息,请参阅 Microsoft Defender for Identity 传感器运行状况问题。