Архитектура Microsoft Defender для удостоверений

Microsoft Defender для удостоверений отслеживает контроллеры домена, фиксируя и анализируя сетевой трафик, используя события Windows непосредственно из контроллеров домена, а затем анализирует данные на предмет атак и угроз.

На следующем рисунке показано, как Defender для удостоверений наслоен на Microsoft Defender XDR и работает вместе с другими службами Майкрософт и сторонними поставщиками удостоверений для отслеживания трафика, поступающего с контроллеров домена и серверов Active Directory.

Установленный непосредственно на контроллере домена, службы федерации Active Directory (AD FS) (AD FS) или серверах служб сертификатов Active Directory (AD CS), датчик Defender для удостоверений обращается к журналам событий, которые ему требуются, непосредственно с серверов. После анализа журналов и сетевого трафика датчиком Defender для удостоверений отправляет только проанализированные сведения в облачную службу Defender для удостоверений.

Компоненты Defender для удостоверений

Defender для удостоверений состоит из следующих компонентов:

• Портал Microsoft Defender
  Портал Microsoft Defender создает рабочую область Defender для удостоверений, отображает данные, полученные от датчиков Defender для удостоверений, а также позволяет отслеживать, управлять и исследовать угрозы в сетевой среде.

• Датчик Defender для удостоверений Датчики Defender для удостоверений можно установить непосредственно на следующих серверах:

  • Контроллеры домена. Датчик напрямую отслеживает трафик контроллера домена без необходимости использования выделенного сервера или конфигурации зеркального отображения портов.
  • AD FS/ AD CS. Датчик напрямую отслеживает сетевой трафик и события проверки подлинности.

• Облачная служба Defender для удостоверений
  Облачная служба Defender для удостоверений работает в инфраструктуре Azure и в настоящее время развернута в Европе, Великобритании, Швейцарии, Северная Америка/Центральной Америке/Карибском бассейне, Восточной Австралии, Азии и Индии. Облачная служба Defender для удостоверений подключена к интеллектуальному графу безопасности Майкрософт.

Портал Microsoft Defender

Используйте портал Microsoft Defender, чтобы:

• Создайте рабочую область Defender для удостоверений.
• Интеграция с другими службами безопасности Майкрософт.
• Управление параметрами конфигурации датчика Defender для удостоверений.
• Просмотр данных, полученных от датчиков Defender для удостоверений.
• Отслеживайте обнаруженные подозрительные действия и предполагаемые атаки на основе модели цепочки уничтожения атак.
• Необязательно. Портал также можно настроить для отправки сообщений электронной почты и событий при обнаружении оповещений системы безопасности или проблем со работоспособностью.

Датчик Defender для удостоверений

Датчик Defender для удостоверений имеет следующие основные функции:

• Сбор и проверка сетевого трафика контроллера домена (локальный трафик контроллера домена)
• Получение событий Windows непосредственно от контроллеров домена
• Получение учетных данных RADIUS от поставщика услуг VPN
• Извлечение данных о пользователях и компьютерах из домена Active Directory
• Выполнение разрешения сетевых объектов (пользователей, групп и компьютеров)
• Передача соответствующих данных в облачную службу Defender для удостоверений

Датчик Defender для удостоверений считывает события локально без необходимости приобретения и обслуживания дополнительного оборудования или конфигураций. Датчик Defender для удостоверений также поддерживает трассировку событий Windows (ETW), которая предоставляет сведения журнала для нескольких обнаружений. Обнаружения на основе трассировки событий Windows включают в себя предполагаемые атаки DCShadow с использованием запросов на репликацию контроллера домена и повышения уровня контроллера домена.

Процесс синхронизации домена

Процесс синхронизации домена отвечает за упреждающую синхронизацию всех сущностей из определенного домена Active Directory (аналогично механизму, используемому самими контроллерами домена для репликации). Один датчик автоматически выбирается случайным образом из всех подходящих датчиков, чтобы служить синхронизатором домена.

Если синхронизатор домена находится в автономном режиме более 30 минут, вместо него автоматически выбирается другой датчик.

Ограничения ресурсов

Датчик Defender для удостоверений включает компонент мониторинга, который оценивает доступные вычислительные ресурсы и объем памяти на сервере, на котором он работает. Процесс мониторинга выполняется каждые 10 секунд и динамически обновляет квоту использования ЦП и памяти для процесса датчика Defender для удостоверений. Процесс мониторинга гарантирует, что сервер всегда имеет по крайней мере 15 % свободных ресурсов вычислений и памяти.

Независимо от того, что происходит на сервере, процесс мониторинга постоянно освобождает ресурсы, чтобы убедиться, что основные функции сервера никогда не затрагиваются.

Если процесс мониторинга приводит к тому, что на датчике Defender для удостоверений иссякнет ресурсы, отслеживается только частичный трафик, а на странице датчика Defender для удостоверений отображается оповещение о работоспособности "Удаленный трафик зеркального сетевого трафика порта".

События Windows

Чтобы расширить охват Defender для обнаружения удостоверений, связанных с проверкой подлинности NTLM, изменениями конфиденциальных групп и созданием подозрительных служб, Defender для удостоверений анализирует журналы определенных событий Windows.

Чтобы убедиться, что журналы считываются, убедитесь, что на датчике Defender для удостоверений настроены параметры расширенной политики аудита. Чтобы убедиться, что служба выполняет аудит события Windows 8004, просмотрите параметры аудита NTLM.

Следующее действие

Развертывание Microsoft Defender для удостоверений с помощью Microsoft Defender XDR