Intégration du VPN Defender pour Identity dans Microsoft Defender XDR

  • Article

Microsoft Defender pour Identity peut s’intégrer à votre solution VPN en écoutant les événements de gestion des comptes RADIUS transférés aux capteurs Defender pour Identity, comme les adresses IP et les emplacements d’où proviennent les connexions. Les données de gestion des comptes du VPN peuvent faciliter vos examens en vous fournissant plus d’informations sur l’activité des utilisateurs, comme les emplacements à partir desquels les ordinateurs se connectent au réseau, et une détection supplémentaire des connexions VPN anormales.

L’intégration du VPN de Defender pour Identity est basée sur la gestion des comptes RADIUS standard (RFC 2866) et prend en charge les fournisseurs de VPN suivants :

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

L’intégration du VPN n’est pas prise en charge dans les environnements respectant les normes FIPS (Federal Information Processing Standards).

L’intégration du VPN de Defender pour Identity prend en charge à la fois les UPN principaux et les autres noms d’utilisateurs principaux. Les appels pour résoudre les adresses IP externes vers un emplacement sont anonymes et aucun identifiant personnel n’est envoyé au cours de l’appel.

Prérequis

Avant de commencer, vérifiez que vous disposez des éléments suivants :

  • Déploiement de Microsoft Defender pour Identity.

  • Accès à la zone Paramètres de Microsoft Defender XDR. Pour plus d’informations, consultez Groupes de rôles Microsoft Defender pour Identity.

  • Possibilité de configurer RADIUS sur votre système VPN.

    Cet article fournit un exemple de configuration de Microsoft Defender pour Identity afin de collecter des informations de gestion des comptes à partir de solutions VPN, à l’aide du serveur de routage et d’accès à distance (RRAS) Microsoft. Si vous utilisez une solution VPN tierce, consultez la documentation correspondante pour obtenir des instructions sur l’activation de la gestion des comptes RADIUS.

Remarque

Lorsque vous configurez l’intégration du VPN, le capteur Defender pour Identity active une stratégie de pare-feu Windows préprovisionnée appelée Capteur Microsoft Defender pour Identity. Cette stratégie autorise la gestion des comptes RADIUS entrante sur le port UDP 1813.

Configurer la gestion des comptes RADIUS sur votre système VPN

Cette procédure explique comment configurer la gestion des comptes RADIUS sur un serveur RRAS pour l’intégration d’un système VPN à Defender pour Identity. Les instructions de votre système peuvent différer.

Sur votre serveur RRAS :

  1. Ouvrez la console de routage et d’accès à distance.

  2. Cliquez avec le bouton droit sur le nom du serveur, puis sélectionnez Propriétés.

  3. Sous l’onglet Sécurité, sous Fournisseur de gestion de comptes, sélectionnez Gestion des comptes RADIUS>Configure. Par exemple :

    Screenshot of the Security tab.

  4. Dans la boîte de dialogue Ajouter un serveur RADIUS, saisissez le Nom du serveur du capteur Defender pour Identity le plus proche de la connectivité réseau. Pour une haute disponibilité, vous pouvez ajouter d’autres capteurs Defender pour Identity comme serveurs RADIUS.

  5. Sous Port, vérifiez que la valeur par défaut de 1813 est configurée.

  6. Sélectionnez Changer et saisissez une nouvelle chaîne de secret partagé de caractères alphanumériques. Notez la nouvelle chaîne de secret partagé, car vous en aurez besoin ultérieurement lors de la configuration de l’intégration du VPN dans Defender pour Identity.

  7. Cochez la case Envoyer les messages Compte RADIUS activé et Gestion des comptes désactivée, puis sélectionnez OK dans toutes les boîtes de dialogue ouvertes. Par exemple :

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

Configurer un VPN dans Defender pour Identity

Cette procédure explique comment configurer l’intégration du VPN de Defender pour Identity dans Microsoft Defender XDR.

  1. Connectez-vous à Microsoft Defender XDR et sélectionnez Paramètres>Identités>VPN.

  2. Sélectionnez Activer la gestion des comptes radius et saisissez le Secret partagé que vous avez précédemment configuré sur votre serveur VPN RRAS. Par exemple :

    Screenshot of the Enable radius accounting option.

  3. Cliquez sur Enregistrer pour continuer.

Une fois que vous avez enregistré votre sélection, vos capteurs Defender pour Identity commencent à écouter les événements de gestion des comptes RADIUS sur le port 1813, et votre configuration VPN est terminée.

Lorsque le capteur Defender pour Identity reçoit des événements VPN et les envoie au service cloud Defender pour Identity à des fins de traitement, le profil d’entité indique des emplacements VPN distincts consultés, et les activités de profil indiquent les emplacements.

Contenu connexe

Pour plus d’informations, consultez Configurer la collection d’événements.