Microsoft Defender 全面偵測回應 中適用於身分識別的Defender VPN整合
適用於身分識別的 Microsoft Defender 可以接聽轉送到適用於身分識別的 Defender 感測器的 RADIUS 計量事件,例如 IP 位址和連線的來源位置,來與您的 VPN 解決方案整合。 VPN 計量數據可藉由提供用戶活動的詳細資訊,例如計算機連線到網路的位置,以及異常 VPN 連線的額外偵測,來協助您的調查。
適用於身分識別的 Defender VPN 整合是以標準 RADIUS Accounting (RFC 2866) 為基礎,並支援下列 VPN 廠商:
- Microsoft
- F5
- Check Point
- Cisco ASA
遵循美國聯邦資訊處理標準 (FIPS)
適用於身分識別的 Defender VPN 整合支援主要 UPN 和替代用戶主體名稱。 將外部IP位址解析到某個位置的呼叫是匿名的,而且呼叫中不會傳送任何個人識別碼。
必要條件
開始之前,請確定您有:
存取 Microsoft Defender 全面偵測回應 中的 [設定] 區域。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 角色群組。
在 VPN 系統上設定 RADIUS 的能力。
本文提供如何使用 Microsoft 路由和遠端存取伺服器 (RRAS) ,設定 適用於身分識別的 Microsoft Defender 以從 VPN 解決方案收集會計資訊的範例。 如果您使用第三方 VPN 解決方案,請參閱其檔,以取得如何啟用 RADIUS 計量的指示。
注意事項
當您設定 VPN 整合時,適用於身分識別的 Defender 感測器會啟用稱為 適用於身分識別的 Microsoft Defender Sensor 的預先布建 Windows 防火牆原則。 此原則允許埠 UDP 1813 上的傳入 RADIUS 計量。
在 VPN 系統上設定 RADIUS 計量
此程式描述如何在 RRAS 伺服器上設定 RADIUS 計量,以整合 VPN 系統與適用於身分識別的 Defender。 您的系統指示可能不同。
在 RRAS 伺服器上:
開啟 路由和遠端訪問 主控台。
以滑鼠右鍵按下伺服器名稱,然後選取 [ 屬性]。
在 [ 安全性] 索引 標籤的 [ 會計提供者] 下,選取 [ RADIUS 會計>設定]。 例如:
![[安全性] 索引標籤的螢幕快照。](media/radius-setup.png)
在 [ 新增 RADIUS 伺服器 ] 對話框中,輸入最接近的適用於身分識別的 Defender 感測器與網路連線的 伺服器名稱 。 若要獲得高可用性,您可以新增更多適用於身分識別的 Defender 感測器作為 RADIUS 伺服器。
在 [埠] 底下,確定已設定 的
1813預設值。選 取 [變更 ],然後輸入英數位元的新共用秘密字串。 記下新的共用秘密字串,因為您稍後在適用於身分識別的Defender中設定 VPN 整合時會需要它。
核取 [ 傳送 RADIUS 帳戶開啟和會計關閉訊息] 方 塊,然後在所有開啟的對話框上選取 [ 確定 ]。 例如:
![[傳送 RADIUS 帳戶開啟和會計關閉訊息] 按鈕的螢幕快照。](media/vpn-set-accounting.png)
在適用於身分識別的Defender中設定 VPN
此程式描述如何在 Microsoft Defender 全面偵測回應 中設定適用於身分識別的Defender VPN整合。
登入 Microsoft Defender 全面偵測回應],然後選取 [設定身>分識別>VPN]。
選 取 [啟用半徑計量 ],然後輸入您先前在 RRAS VPN 伺服器上設定的共享 密碼 。 例如:
![[啟用半徑計量] 選項的螢幕快照。](media/vpn-integration.png)
選 取 [儲存 ] 以繼續。
儲存選取項目之後,適用於身分識別的 Defender 感測器會開始接聽埠 1813 上的 RADIUS 會計事件,而且您的 VPN 設定已完成。
當適用於身分識別的 Defender 感測器收到 VPN 事件並將其傳送至適用於身分識別的 Defender 雲端服務進行處理時,實體配置檔會指出已存取的不同 VPN 位置,而配置檔活動則表示位置。
相關內容
如需詳細資訊, 請參閱設定事件收集。