architektura Microsoft Defender for Identity

Microsoft Defender for Identity monitoruje řadiče domény zachytáváním a analýzou síťového provozu a využíváním událostí Windows přímo z řadičů domény a pak analyzuje data pro útoky a hrozby. Použití profilace, deterministické detekce, strojového učení a behaviorálních algoritmů Defender for Identity se učí o vaší síti, umožňuje detekci anomálií a varuje vás před podezřelými aktivitami.

Architektura Defenderu for Identity:

Defender for Identity architecture topology diagram

Tato část popisuje, jak funguje tok zachytávání síťových a událostí v programu Defender for Identity, a popisuje funkce hlavních komponent: portál Defender for Identity, senzor služby Defender for Identity a cloudovou službu Defender for Identity.

Nainstalovaný přímo na řadiči domény nebo na serverech služby AD FS přistupuje senzor služby Defender for Identity k protokolům událostí, které vyžaduje přímo ze serverů. Po parsování protokolů a síťového provozu senzorem odesílá Defender for Identity do cloudové služby Defender for Identity jenom analyzované informace (odesílají se jenom procento protokolů).

Komponenty Defenderu for Identity

Defender for Identity se skládá z následujících komponent:

  • Portál služby Defender for Identity
    Portál Defender for Identity umožňuje vytvořit instanci defenderu for Identity, zobrazí data přijatá ze senzorů Defenderu for Identity a umožňuje monitorovat, spravovat a zkoumat hrozby ve vašem síťovém prostředí.

  • Senzor defenderu pro identitu
    Senzory Defenderu for Identity je možné nainstalovat přímo na následující servery:

    • Řadiče domény: Senzor přímo monitoruje provoz řadiče domény, aniž by potřeboval vyhrazený server nebo konfiguraci zrcadlení portů.
    • AD FS: Senzor přímo monitoruje síťový provoz a události ověřování.
  • Cloudová služba Defender for Identity
    Cloudová služba Defender for Identity běží na infrastruktuře Azure a aktuálně je nasazená v USA, Evropě a Asii. Cloudová služba Defender for Identity je připojená k grafu inteligentního zabezpečení Microsoftu.

Portál služby Defender for Identity

Pomocí portálu Defender for Identity portal můžete:

  • Vytvoření instance služby Defender for Identity
  • Integrace s dalšími službami zabezpečení Microsoftu
  • Správa nastavení konfigurace senzoru identity v programu Defender for Identity
  • Zobrazení dat přijatých ze senzorů Služby Defender for Identity
  • Monitorování detekovaných podezřelých aktivit a podezřelých útoků na základě modelu řetězu ukončení útoku
  • Volitelné: Portál je také možné nakonfigurovat tak, aby po zjištění výstrah zabezpečení nebo problémů se stavem odesílal e-maily a události.

Poznámka

Pokud v instanci Služby Defender for Identity do 60 dnů není nainstalovaný žádný senzor, může být instance odstraněna a budete ji muset znovu vytvořit.

Senzor defenderu pro identitu

Senzor Defenderu pro identitu má následující základní funkce:

  • Zachytávání a kontrola síťového provozu řadiče domény (místní provoz řadiče domény)
  • Příjem událostí Windows přímo z řadičů domény
  • Příjem informací o účtování protokolu RADIUS od poskytovatele sítě VPN
  • Získávají data o uživatelích a počítačích z domény Active Directory.
  • Provádějí rozpoznání síťových entit (uživatelů, skupin a počítačů).
  • Přenos relevantních dat do cloudové služby Defender for Identity

Funkce senzoru služby Defender for Identity

Senzor služby Defender for Identity čte události místně, aniž by bylo potřeba zakoupit a udržovat další hardware nebo konfigurace. Senzor Defenderu pro identitu podporuje také trasování událostí pro Windows (ETW), které poskytuje informace protokolu pro více detekcí. Detekce založené na trasách pro Windows zahrnují podezřelé útoky DCShadow, které se pokusily použít požadavky na replikaci řadiče domény a povýšení řadiče domény.

Proces synchronizátoru domény

Proces synchronizátoru domény zodpovídá za proaktivní synchronizaci všech entit z konkrétní domény služby Active Directory (podobně jako u samotného mechanismu používaného řadiči domény pro replikaci). Jeden senzor se automaticky vybere náhodně ze všech vašich způsobilých senzorů, aby sloužil jako synchronizátor domény.

Pokud je synchronizátor domény offline déle než 30 minut, vybere se místo toho jiný senzor.

Omezení prostředků

Senzor defenderu pro identitu obsahuje monitorovací komponentu, která vyhodnocuje dostupnou výpočetní kapacitu a kapacitu paměti na řadiči domény, na kterém je spuštěná. Proces monitorování se spouští každých 10 sekund a dynamicky aktualizuje kvótu využití procesoru a paměti v procesu senzoru identity v programu Defender for Identity. Proces monitorování zajišťuje, že řadič domény má k dispozici alespoň 15 % volných výpočetních prostředků a prostředků paměti.

Bez ohledu na to, co se děje na řadiči domény, proces monitorování průběžně uvolní prostředky, aby se zajistilo, že základní funkce řadiče domény nikdy neovlivní.

Pokud proces monitorování způsobí, že senzor služby Defender for Identity dojde k výpadku prostředků, bude monitorován pouze částečný provoz a na stránce Stav portálu Defender for Identity se zobrazí upozornění na stav stavu vyřazeného portu zrcadleného síťového provozu.

Události systému Windows

Pokud chcete vylepšit pokrytí detekce identity v programu Defender for Identity související s ověřováním NTLM, úpravy citlivých skupin a vytváření podezřelých služeb, musí Defender for Identity analyzovat protokoly událostí Windows uvedených tady. Tyto události automaticky čte senzory Defenderu for Identity se správnými pokročilými nastaveními zásad auditu. Pokud chcete zajistit, aby služba Windows událost 8004 auditovala podle potřeby, zkontrolujte nastavení auditu NTLM.

Další kroky