Integración de VPN de Defender for Identity en XDR de Microsoft Defender

  • Artículo

Microsoft Defender for Identity puede integrarse con la solución VPN escuchando eventos de contabilidad RADIUS reenviados a sensores de Defender for Identity, como las direcciones IP y las ubicaciones donde se originaron las conexiones. Los datos de contabilidad de VPN pueden ayudar a las investigaciones proporcionando más información sobre la actividad del usuario, como las ubicaciones desde las que los equipos se conectan a la red y una detección adicional para las conexiones VPN anómalas.

La integración de VPN de Defender for Identity se basa en la contabilidad RADIUS estándar (RFC 2866) y admite los siguientes proveedores de VPN:

  • Microsoft
  • F5
  • Punto de comprobación
  • Cisco ASA

La integración de VPN no se admite en entornos que se adhieren a los estándares federales de procesamiento de información (FIPS)

La integración de VPN de Defender for Identity admite los UPN principales y los nombres principales de usuario alternativos. Las llamadas para resolver direcciones IP externas en una ubicación son anónimas y no se envía ningún identificador personal en la llamada.

Requisitos previos

Antes de empezar, asegúrese de que dispone de lo siguiente:

  • Microsoft Defender for Identity implementado

  • Acceso al área Configuración en XDR de Microsoft Defender. Para más información, consulte Grupos de roles de Microsoft Defender for Identity.

  • La capacidad de configurar RADIUS en el sistema VPN.

    En este artículo se proporciona un ejemplo de cómo configurar Microsoft Defender for Identity para recopilar información de contabilidad de soluciones vpn, mediante el enrutamiento de Microsoft y el servidor de acceso remoto (RRAS). Si usa una solución VPN de terceros, consulte su documentación para obtener instrucciones sobre cómo habilitar la contabilidad RADIUS.

Nota:

Al configurar la integración de VPN, el sensor de Defender for Identity habilita una directiva de firewall de Windows aprovisionada previamente denominada Sensor de Microsoft Defender for Identity. Esta directiva permite la contabilidad RADIUS entrante en el puerto UDP 1813.

Configuración de la contabilidad RADIUS en el sistema VPN

En este procedimiento se describe cómo configurar la contabilidad RADIUS en un servidor RRAS para integrar un sistema VPN con Defender for Identity. Las instrucciones del sistema pueden diferir.

En el servidor RRAS:

  1. Abra la consola de enrutamiento y acceso remoto.

  2. Haga clic con el botón derecho en el nombre del servidor y seleccione Propiedades.

  3. En la pestaña Seguridad, en Proveedor de contabilidad, seleccione Configuración de cuentas>RADIUS. Por ejemplo:

    Screenshot of the Security tab.

  4. En el cuadro de diálogo Agregar servidor RADIUS, escriba el nombre del servidor del sensor de Defender for Identity más cercano con conectividad de red. Para lograr una alta disponibilidad, puede agregar más sensores de Defender for Identity como servidores RADIUS.

  5. En Puerto, asegúrese de que el valor predeterminado de 1813 está configurado.

  6. Seleccione Cambiar y escriba una nueva cadena secreta compartida de caracteres alfanuméricos. Tome nota de la nueva cadena de secreto compartido, ya que la necesitará más adelante al configurar la integración de VPN en Defender for Identity.

  7. Active la casilla Enviar mensajes de cuenta RADIUS Activado y Contabilidad desactivada y seleccione Aceptar en todos los cuadros de diálogo abiertos. Por ejemplo:

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

Configurar VPN en Defender for Identity

En este procedimiento se describe cómo configurar la integración de VPN de Defender for Identity en XDR de Microsoft Defender.

  1. Inicie sesión en XDR de Microsoft Defender y seleccione Configuración> Identities>VPN.

  2. Seleccione Habilitar contabilidad de radio y escriba el secreto compartido que configuró anteriormente en el servidor VPN RRAS. Por ejemplo:

    Screenshot of the Enable radius accounting option.

  3. Seleccione Guardar para continuar.

Después de guardar la selección, los sensores de Defender for Identity comienzan a escuchar en el puerto 1813 para eventos de contabilidad RADIUS y se completa la configuración de VPN.

Cuando el sensor de Defender for Identity recibe eventos vpn y los envía al servicio en la nube de Defender for Identity para su procesamiento, el perfil de entidad indica distintas ubicaciones de VPN a las que se ha accedido y las actividades de perfil indican ubicaciones.

Contenido relacionado

Para obtener más información, consulte Configurar la recolección de evento.