Partager via

Architecture de Microsoft Defender pour Identity

  • Article

Microsoft Defender pour Identity surveille vos contrôleurs de domaine en capturant et en analysant le trafic réseau, en tirant parti des événements Windows directement à partir de vos contrôleurs de domaine, puis analyse les données à la recherche d’attaques et de menaces.

L’image suivante montre comment Defender pour Identity est superposé sur Microsoft Defender XDR et fonctionne avec d’autres services Microsoft et fournisseurs d’identité tiers pour surveiller le trafic provenant des contrôleurs de domaine et des serveurs Active Directory.

Diagramme de l’architecture Defender pour Identity.

Installé directement sur votre contrôleur de domaine, Services ADFS (AD FS) ou les serveurs des services de certificats Active Directory (AD CS), le capteur Defender pour Identity accède directement aux journaux d’événements dont il a besoin directement à partir des serveurs. Une fois les journaux et le trafic réseau analysés par le capteur, Defender pour Identity envoie uniquement les informations analysées au service cloud Defender pour Identity.

Composants Defender pour Identity

Defender pour Identity se compose des composants suivants :

  • Portail Microsoft Defender
    Le portail Microsoft Defender crée votre espace de travail Defender pour Identity, affiche les données reçues des capteurs Defender pour Identity et vous permet de surveiller, de gérer et d’examiner les menaces dans votre environnement réseau.

  • Capteur Defender pour Identity Les capteurs Defender pour Identity peuvent être installés directement sur les serveurs suivants :

    • Contrôleurs de domaine : le capteur surveille directement le trafic du contrôleur de domaine, sans avoir besoin d’un serveur dédié ou d’une configuration de mise en miroir de ports.
    • AD FS/AD CS : le capteur surveille directement le trafic réseau et les événements d’authentification.

  • Service cloud Defender pour Identity
    Le service cloud Defender pour Identity s’exécute sur l’infrastructure Azure et est actuellement déployé en Europe, au Royaume-Uni, en Suisse, Amérique du Nord/Amérique centrale/Caraïbes, Australie Est, Asie et Inde. Le service cloud Defender pour Identity est connecté au graphe de sécurité intelligent de Microsoft.

Portail Microsoft Defender

Utilisez le portail Microsoft Defender pour :

  • Créez votre espace de travail Defender pour Identity.
  • Intégrer à d’autres services de sécurité Microsoft.
  • Gérer les paramètres de configuration du capteur Defender pour Identity.
  • Afficher les données reçues des capteurs Defender pour Identity.
  • Surveillez les activités suspectes détectées et les attaques suspectes en fonction du modèle de chaîne de destruction des attaques.
  • Facultatif : le portail peut également être configuré pour envoyer des e-mails et des événements lorsque des alertes de sécurité ou des problèmes d’intégrité sont détectés.

Remarque

Si aucun capteur n’est installé sur votre espace de travail Defender pour Identity dans les 60 jours, l’espace de travail peut être supprimé et vous devrez le recréer.

Capteur Defender pour Identity

Le capteur Defender pour Identity dispose des fonctionnalités de base suivantes :

  • Capturer et inspecter le trafic réseau du contrôleur de domaine (trafic local du contrôleur de domaine)
  • Recevoir des événements Windows directement à partir des contrôleurs de domaine
  • Recevoir des informations de gestion de comptes RADIUS de votre fournisseur VPN
  • Récupérer des données sur les utilisateurs et les ordinateurs à partir du domaine Active Directory
  • Effectuer la résolution des entités réseau (utilisateurs, groupes et ordinateurs)
  • Transférer les données pertinentes vers le service cloud Defender pour Identity

Le capteur Defender pour Identity lit les événements localement, sans qu’il soit nécessaire d’acheter et de gérer du matériel ou des configurations supplémentaires. Le capteur Defender pour Identity prend également en charge le suivi d’événements pour Windows (ETW), qui fournit les informations de journal pour plusieurs détections. Les détections basées sur ETW incluent les attaques DCShadow suspectes tentées à l’aide de demandes de réplication de contrôleur de domaine et de la promotion du contrôleur de domaine.

Processus du synchronisateur de domaine

Le processus du synchronisateur de domaine est chargé de synchroniser de manière proactive toutes les entités d’un domaine Active Directory spécifique (comme le mécanisme utilisé par les contrôleurs de domaine eux-mêmes pour la réplication). Un capteur est automatiquement choisi au hasard parmi tous vos capteurs éligibles pour servir de synchronisateur de domaine.

Si le synchronisateur de domaine est hors connexion pendant plus de 30 minutes, un autre capteur est automatiquement choisi à la place.

Limitations des ressources

Le capteur Defender pour Identity inclut un composant de surveillance qui évalue la capacité de calcul et de mémoire disponibles sur le serveur sur lequel il s’exécute. Le processus de surveillance s’exécute toutes les 10 secondes et met à jour dynamiquement le quota d’utilisation du processeur et de la mémoire sur le processus de capteur Defender pour Identity. Le processus de surveillance garantit que le serveur dispose toujours d’au moins 15 % des ressources de calcul et de mémoire disponibles.

Peu importe ce qui se produit sur le serveur, le processus de surveillance libère continuellement des ressources pour s’assurer que les fonctionnalités de base du serveur ne sont jamais affectées.

Si le processus de surveillance entraîne l’épuisement des ressources du capteur Defender pour Identity, seul le trafic partiel est surveillé et l’alerte d’intégrité « Trafic réseau mis en miroir des ports supprimés » s’affiche dans la page du capteur Defender pour Identity.

Windows Events

Pour améliorer la couverture de la détection defender pour Identity liée aux authentifications NTLM, aux modifications apportées aux groupes sensibles et à la création de services suspects, Defender pour Identity analyse les journaux d’événements Windows spécifiques.

Pour vous assurer que les journaux sont lus, vérifiez que les paramètres de stratégie d’audit avancés de votre capteur Defender pour Identity sont correctement configurés. Pour vous assurer que l’événement Windows 8004 est audité en fonction des besoins du service, passez en revue vos paramètres d’audit NTLM

Étape suivante

Déployer Microsoft Defender pour Identity avec Microsoft Defender XDR