Defender for Identity VPN-Integration in Microsoft Defender XDR

  • Artikel

Microsoft Defender for Identity kann in Ihre VPN-Lösung integriert werden, indem RADIUS-Accounting-Ereignisse abgehört werden, die an Defender for Identity-Sensoren weitergeleitet werden, z. B. die IP-Adressen und Standorte, von denen Verbindungen ausgehen. VPN-Buchhaltungsdaten können Ihren Untersuchungen helfen, indem sie weitere Informationen zu Benutzeraktivitäten bereitstellen, z. B. die Standorte, von denen Computer eine Verbindung mit dem Netzwerk herstellen und eine zusätzliche Erkennung für ungewöhnliche VPN-Verbindungen.

Die VPN-Integration von Defender for Identity basiert auf Standard RADIUS Accounting (RFC 2866) und unterstützt die folgenden VPN-Anbieter:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

Die VPN-Integration wird in Umgebungen, die den Federal Information Processing Standards (FIPS) entsprechen, nicht unterstützt

Die VPN-Integration von Defender for Identity unterstützt sowohl primäre UPNs als auch alternative Benutzerprinzipalnamen. Anrufe zum Auflösen externer IP-Adressen an einen Standort sind anonym und es wird kein persönlicher Bezeichner im Anruf gesendet.

Voraussetzungen

Stellen Sie zunächst sicher, dass Sie über Folgendes verfügen:

  • Microsoft Defender for Identity bereitgestellt

  • Zugriff auf den Bereich Einstellungen in Microsoft Defender XDR. Weitere Informationen finden Sie unter Microsoft Defender for Identity-Rollengruppen.

  • Die Möglichkeit, RADIUS auf Ihrem VPN-System zu konfigurieren.

    Dieser Artikel enthält ein Beispiel zum Konfigurieren von Microsoft Defender for Identity zum Sammeln von Buchhaltungsinformationen aus VPN-Lösungen mithilfe von Microsoft Routing and RAS-Server (RRAS). Wenn Sie eine VPN-Lösung eines Drittanbieters verwenden, lesen Sie deren Dokumentation, um Anweisungen zum Aktivieren von RADIUS Accounting zu erhalten.

Hinweis

Wenn Sie die VPN-Integration konfigurieren, aktiviert der Defender for Identity-Sensor eine vorab bereitgestellte Windows-Firewallrichtlinie namens Microsoft Defender for Identity-Sensor. Diese Richtlinie ermöglicht eingehenden RADIUS Accounting am Port UDP 1813.

Konfigurieren von RADIUS Accounting auf Ihrem VPN-System

In diesem Verfahren wird beschrieben, wie Sie RADIUS Accounting auf einem RRAS-Server für die Integration eines VPN-Systems in Defender for Identity konfigurieren. Die Anweisungen Ihres Systems können unterschiedlich sein.

Auf Ihrem RRAS-Server:

  1. Öffnen Sie die Konsole Routing und Remotezugriff.

  2. Klicken Sie mit der rechten Maustaste auf den Servernamen und wählen Sie Eigenschaften.

  3. Wählen Sie auf dem Tab Sicherheit unter Kontoführungsanbieter die Option RADIUS Accounting>Konfigurieren aus. Beispiel:

    Screenshot of the Security tab.

  4. Geben Sie im Dialogfeld RADIUS-Server hinzufügen den Servernamen des nächstgelegenen Defender for Identity-Sensors mit Netzwerkkonnektivität ein. Für hohe Verfügbarkeit können Sie weitere Defender for Identity-Sensoren als RADIUS-Server hinzufügen.

  5. Stellen Sie unter Port sicher, dass der Standardwert 1813 konfiguriert ist.

  6. Wählen Sie Ändern aus und geben Sie eine neue freigegebene geheime Zeichenkette mit alphanumerischen Zeichen ein. Notieren Sie sich die neue freigegebene geheime Zeichenkette, da Sie sie später benötigen, wenn Sie die VPN-Integration in Defender for Identity konfigurieren.

  7. Aktivieren Sie das Kontrollkästchen Senden von RADIUS Account On- und Accounting Off-Nachrichten und aktivieren Sie OK in allen geöffneten Dialogfeldern. Beispiel:

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

Konfigurieren von VPN in Defender for Identity

In dieser Vorgehensweise wird beschrieben, wie Sie die VPN-Integration von Defender for Identity in Microsoft Defender XDR konfigurieren.

  1. Melden Sie sich bei Microsoft Defender XDR an und wählen Sie Einstellungen>Identities>VPN aus.

  2. Wählen Sie Radius-Buchhaltung aktivieren aus und geben Sie das freigegebene Geheimnis ein, das Sie zuvor auf Ihrem RRAS-VPN-Server konfiguriert haben. Beispiel:

    Screenshot of the Enable radius accounting option.

  3. Wählen Sie Speichern aus, um fortzufahren.

Nachdem Sie Ihre Auswahl gespeichert haben, lauschen Ihre Defender for Identity-Sensoren auf Port 1813 für RADIUS-Buchhaltungsereignisse und Ihr VPN-Setup ist abgeschlossen.

Wenn der Defender for Identity-Sensor VPN-Ereignisse empfängt und sie zur Verarbeitung an den Defender for Identity-Clouddienst sendet, gibt das Entitätsprofil unterschiedliche VPN-Speicherorte an, auf die zugegriffen wurde und Profilaktivitäten geben Speicherorte an.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter Konfigurieren der Eventsammlung.