通过

Microsoft Defender for Identity 的体系结构

  • 项目

Microsoft Defender for Identity通过捕获和分析网络流量、直接从域控制器利用 Windows 事件来监视域控制器,然后分析数据中的攻击和威胁。

下图显示了 Defender for Identity 如何分层Microsoft Defender XDR,并与其他Microsoft服务和第三方标识提供者一起工作,以监视来自域控制器和 Active Directory 服务器的流量。

Defender for Identity 体系结构的示意图。

Defender for Identity 传感器直接安装在域控制器、Active Directory 联合身份验证服务 (AD FS) 或 Active Directory 证书服务 (AD CS) 服务器上,可直接从服务器访问所需的事件日志。 传感器分析日志和网络流量后,Defender for Identity 仅将分析的信息发送到 Defender for Identity 云服务。

Defender for Identity 组件

Defender for Identity 包含以下组件:

  • Microsoft Defender 门户
    Microsoft Defender门户创建 Defender for Identity 工作区,显示从 Defender for Identity 传感器接收的数据,并使你能够监视、管理和调查网络环境中的威胁。

  • Defender for Identity 传感器 Defender for Identity 传感器可以直接安装在以下服务器上:

    • 域控制器:传感器直接监视域控制器流量,无需专用服务器或端口镜像配置。
    • AD FS/AD CS:传感器直接监视网络流量和身份验证事件。

  • Defender for Identity 云服务
    Defender for Identity 云服务在 Azure 基础结构上运行,目前部署在欧洲、英国、瑞士、北美/中美洲/加勒比、澳大利亚东部、亚洲和印度。 Defender for Identity 云服务连接到Microsoft的智能安全图。

Microsoft Defender 门户

使用Microsoft Defender门户:

  • 创建 Defender for Identity 工作区。
  • 与其他Microsoft安全服务集成。
  • 管理 Defender for Identity 传感器配置设置。
  • 查看从 Defender for Identity 传感器接收的数据。
  • 监视基于攻击终止链模型检测到的可疑活动和可疑攻击。
  • 可选:还可以将门户配置为在检测到安全警报或运行状况问题时发送电子邮件和事件。

注意

如果在 60 天内未在 Defender for Identity 工作区上安装传感器,则工作区可能会被删除,你需要重新创建它。

Defender for Identity 传感器

Defender for Identity 传感器具有以下核心功能:

  • 捕获并检查域控制器网络流量(域控制器的本地流量)
  • 直接从域控制器接收 Windows 事件
  • 从 VPN 提供商处接收 RADIUS 记帐信息
  • 从 Active Directory 域检索有关用户和计算机的数据
  • 执行网络实体(用户、组和计算机)的解析
  • 将相关数据传输到 Defender for Identity 云服务

Defender for Identity 传感器在本地读取事件,无需购买和维护其他硬件或配置。 Defender for Identity 传感器还支持 Windows (ETW) 事件跟踪,它为多个检测提供日志信息。 基于 ETW 的检测包括使用域控制器复制请求和域控制器升级尝试的可疑 DCShadow 攻击。

域同步器进程

域同步器进程负责主动同步特定 Active Directory 域中的所有实体, (类似于域控制器本身用于复制) 的机制。 自动从所有符合条件的传感器中随机选择一个传感器作为域同步器。

如果域同步器脱机超过 30 分钟,则会自动选择另一个传感器。

资源限制

Defender for Identity 传感器包括一个监视组件,用于评估运行它的服务器上的可用计算和内存容量。 监视进程每 10 秒运行一次,并动态更新 Defender for Identity 传感器进程中的 CPU 和内存利用率配额。 监视过程可确保服务器始终至少有 15% 的可用计算和内存资源可用。

无论在服务器上发生什么情况,监视过程都会持续释放资源,以确保服务器的核心功能永不受影响。

如果监视过程导致 Defender for Identity 传感器资源不足,则仅监视部分流量,并且 Defender for Identity 传感器页中会显示运行状况警报“已删除端口镜像网络流量”。

Windows 事件

为了增强与 NTLM 身份验证、对敏感组的修改和可疑服务的创建相关的 Defender for Identity 检测覆盖范围,Defender for Identity 会分析 特定 Windows 事件的日志。

若要确保读取日志,请确保 Defender for Identity 传感器已正确配置高级审核策略设置。 若要确保服务根据需要 审核 Windows 事件 8004 ,请查看 NTLM 审核设置

后续步骤

使用 Microsoft Defender XDR 部署Microsoft Defender for Identity