Dela via

Arkitektur av Microsoft Defender for Identity

  • Artikel

Microsoft Defender for Identity övervakar domänkontrollanterna genom att samla in och parsa nätverkstrafik, utnyttja Windows-händelser direkt från domänkontrollanterna och sedan analysera data för attacker och hot.

Följande bild visar hur Defender for Identity är skiktat över Microsoft Defender XDR och fungerar tillsammans med andra Microsoft-tjänster och identitetsprovidrar från tredje part för att övervaka trafik som kommer in från domänkontrollanter och Active Directory-servrar.

Diagram över defender för identitetsarkitektur.

Defender for Identity-sensorn installeras direkt på domänkontrollanten, Active Directory Federation Services (AD FS) (AD FS) eller Active Directory Certificate Services-servrar (AD CS) och kommer åt de händelseloggar som krävs direkt från servrarna. När loggarna och nätverkstrafiken parsas av sensorn skickar Defender for Identity endast den parsade informationen till molntjänsten Defender för identitet.

Defender for Identity-komponenter

Defender for Identity består av följande komponenter:

  • Portalen för Microsoft Defender
    Microsoft Defender-portalen skapar din Defender for Identity-arbetsyta, visar de data som tas emot från Defender för identitetssensorer och gör att du kan övervaka, hantera och undersöka hot i nätverksmiljön.

  • Defender for Identity-sensor Defender for Identity-sensorer kan installeras direkt på följande servrar:

    • Domänkontrollanter: Sensorn övervakar direkt domänkontrollanttrafik, utan behov av en dedikerad server eller konfiguration av portspegling.
    • AD FS/AD CS: Sensorn övervakar direkt nätverkstrafik och autentiseringshändelser.

  • Molntjänst för Defender for Identity
    Defender for Identity-molntjänsten körs på Azure-infrastrukturen och distribueras för närvarande i Europa, Storbritannien, Schweiz, Nordamerika/Centralamerika/Karibien, Australien, östra, Asien och Indien. Molntjänsten Defender for Identity är ansluten till Microsofts intelligenta säkerhetsdiagram.

Portalen för Microsoft Defender

Använd Microsoft Defender-portalen för att:

  • Skapa din Defender for Identity-arbetsyta.
  • Integrera med andra Microsoft-säkerhetstjänster.
  • Hantera konfigurationsinställningar för Defender för identitetssensorer.
  • Visa data som tas emot från Defender för identitetssensorer.
  • Övervaka identifierade misstänkta aktiviteter och misstänkta attacker baserat på modellen för attackdödskedjan.
  • Valfritt: Portalen kan också konfigureras för att skicka e-postmeddelanden och händelser när säkerhetsaviseringar eller hälsoproblem identifieras.

Obs!

Om ingen sensor har installerats på din Defender for Identity-arbetsyta inom 60 dagar kan arbetsytan tas bort och du måste återskapa den.

Defender for Identity-sensor

Defender for Identity-sensorn har följande grundläggande funktioner:

  • Samla in och inspektera domänkontrollantens nätverkstrafik (domänkontrollantens lokala trafik)
  • Ta emot Windows-händelser direkt från domänkontrollanterna
  • Ta emot RADIUS-redovisningsinformation från VPN-providern
  • Hämta data om användare och datorer från Active Directory-domänen
  • Utföra upplösning av nätverksentiteter (användare, grupper och datorer)
  • Överföra relevanta data till molntjänsten Defender för identitet

Defender for Identity-sensorn läser händelser lokalt, utan att behöva köpa och underhålla ytterligare maskinvara eller konfigurationer. Defender for Identity-sensorn stöder även händelsespårning för Windows (ETW) som tillhandahåller logginformation för flera identifieringar. ETW-baserade identifieringar omfattar misstänkta DCShadow-attacker som försöker använda replikeringsbegäranden för domänkontrollanter och befordran av domänkontrollanter.

Process för domänsynkronisering

Domänsynkroniseringsprocessen ansvarar för att synkronisera alla entiteter från en specifik Active Directory-domän proaktivt (liknar den mekanism som används av domänkontrollanterna själva för replikering). En sensor väljs automatiskt slumpmässigt från alla dina berättigade sensorer för att fungera som domänsynkronisering.

Om domänsynkroniseringsenheten är offline i mer än 30 minuter väljs en annan sensor automatiskt i stället.

Resursbegränsningar

Defender for Identity-sensorn innehåller en övervakningskomponent som utvärderar den tillgängliga beräknings- och minneskapaciteten på den server där den körs. Övervakningsprocessen körs var 10:e sekund och uppdaterar kvoten för processor- och minnesanvändning dynamiskt på defender for Identity-sensorprocessen. Övervakningsprocessen ser till att servern alltid har minst 15 % av de kostnadsfria beräknings- och minnesresurserna tillgängliga.

Oavsett vad som händer på servern frigör övervakningsprocessen kontinuerligt resurser för att se till att serverns kärnfunktioner aldrig påverkas.

Om övervakningsprocessen gör att Defender for Identity-sensorn får slut på resurser övervakas endast partiell trafik och hälsoaviseringen "Ignorerad portspegling av nätverkstrafik" visas på sidan Defender för identitetssensor.

Windows-händelser

För att förbättra täckningen för identifiering av Defender för identiteter relaterade till NTLM-autentiseringar, ändringar av känsliga grupper och skapande av misstänkta tjänster analyserar Defender for Identity loggarna för specifika Windows-händelser.

Kontrollera att loggarna är lästa genom att kontrollera att defender for Identity-sensorn har avancerade inställningar för granskningsprinciper korrekt konfigurerade. Kontrollera att Windows Event 8004 granskas efter behov av tjänsten genom att granska NTLM-granskningsinställningarna

Nästa steg

Distribuera Microsoft Defender for Identity med Microsoft Defender XDR