Pertahanan Microsoft untuk arsitektur Identitas
Pertahanan Microsoft untuk Identitas memantau pengendali domain Anda dengan menangkap dan mengurai lalu lintas jaringan dan memanfaatkan peristiwa Windows langsung dari pengendali domain Anda, lalu menganalisis data untuk serangan dan ancaman. Memanfaatkan pembuatan profil, deteksi deterministik, pembelajaran mesin, dan algoritma perilaku yang dipelajari Defender for Identity tentang jaringan Anda, memungkinkan deteksi anomali, dan memperingatkan Anda tentang aktivitas yang mencurigakan.
Arsitektur Defender for Identity:
Bagian ini menjelaskan cara kerja alur penangkapan jaringan dan peristiwa Defender for Identity, dan menelusuri paling detail untuk menjelaskan fungsionalitas komponen utama: portal Defender for Identity, sensor Defender for Identity, dan layanan cloud Defender for Identity.
Diinstal langsung di pengontrol domain atau server AD FS Anda, sensor Defender for Identity mengakses log peristiwa yang diperlukannya langsung dari server. Setelah log dan lalu lintas jaringan diurai oleh sensor, Defender for Identity hanya mengirim informasi yang diurai ke layanan cloud Defender for Identity (hanya persentase log yang dikirim).
Komponen Defender for Identity
Defender for Identity terdiri dari komponen-komponen berikut:
Portal Pertahanan untuk Identitas
Portal Defender for Identity memungkinkan pembuatan instans Defender for Identity Anda, menampilkan data yang diterima dari sensor Defender for Identity, dan memungkinkan Anda memantau, mengelola, dan menyelidiki ancaman di lingkungan jaringan Anda.Sensor Defender for Identity
Sensor Defender for Identity dapat langsung diinstal pada server berikut:- Pengendali domain: Sensor secara langsung memantau lalu lintas pengendali domain, tanpa perlu server khusus, atau konfigurasi pencerminan port.
- Layanan Federasi Direktori Aktif: Sensor secara langsung memantau lalu lintas jaringan dan peristiwa autentikasi.
Layanan cloud Defender for Identity
Layanan cloud Defender for Identity berjalan pada infrastruktur Azure dan saat ini disebarkan di AS, Eropa, dan Asia. Layanan cloud Defender for Identity terhubung ke grafik keamanan cerdas Microsoft.
Portal Pertahanan untuk Identitas
Gunakan portal Defender for Identity untuk:
- Membuat instans Defender for Identity Anda
- Mengintegrasikan dengan layanan keamanan Microsoft lainnya
- Mengelola pengaturan konfigurasi sensor Defender for Identity
- Melihat data yang diterima dari sensor Defender for Identity
- Memantau aktivitas mencurigakan yang terdeteksi dan serangan yang dicurigai berdasarkan model rantai pembunuhan serangan
- Opsional: portal juga dapat dikonfigurasi untuk mengirim email dan peristiwa saat pemberitahuan keamanan atau masalah kesehatan terdeteksi
Catatan
Jika tidak ada sensor yang diinstal pada instans Defender for Identity Anda dalam waktu 60 hari, instans dapat dihapus dan Anda harus membuatnya kembali.
Sensor Defender for Identity
Sensor Defender for Identity memiliki fungsi inti berikut:
- Menangkap dan memeriksa lalu lintas jaringan pengendali domain (lalu lintas lokal pengendali domain)
- Menerima Peristiwa Windows langsung dari pengontrol domain
- Menerima informasi akuntansi RADIUS dari penyedia VPN Anda
- Mengambil data tentang pengguna dan komputer dari domain Direktori Aktif
- Melakukan resolusi entitas jaringan (pengguna, grup, dan komputer)
- Mentransfer data yang relevan ke layanan cloud Defender for Identity
Fitur sensor Defender for Identity
Sensor Defender for Identity membaca peristiwa secara lokal, tanpa perlu membeli dan memelihara perangkat keras atau konfigurasi tambahan. Sensor Defender for Identity juga mendukung Pelacakan Peristiwa untuk Windows (ETW) yang menyediakan informasi log untuk beberapa deteksi. Deteksi berbasis ETW termasuk Dugaan serangan DCShadow yang dicoba menggunakan permintaan replikasi pengendali domain dan promosi pengendali domain.
Proses penyinkron domain
Proses penyinkron domain bertanggung jawab untuk menyinkronkan semua entitas dari domain Direktori Aktif tertentu secara proaktif (mirip dengan mekanisme yang digunakan oleh pengendali domain itu sendiri untuk replikasi). Satu sensor secara otomatis dipilih secara acak dari semua sensor Anda yang memenuhi syarat untuk berfungsi sebagai penyinkron domain.
Jika penyinkron domain offline selama lebih dari 30 menit, sensor lain secara otomatis dipilih sebagai gantinya.
Batasan sumber daya
Sensor Defender for Identity mencakup komponen pemantauan yang mengevaluasi kapasitas komputasi dan memori yang tersedia pada pengontrol domain tempatnya berjalan. Proses pemantauan berjalan setiap 10 detik dan secara dinamis memperbarui kuota pemanfaatan CPU dan memori pada proses sensor Defender for Identity. Proses pemantauan memastikan pengendali domain selalu memiliki setidaknya 15% sumber daya komputasi dan memori gratis yang tersedia.
Apa pun yang terjadi pada pengendali domain, proses pemantauan terus membebaskan sumber daya untuk memastikan fungsionalitas inti pengendali domain tidak pernah terpengaruh.
Jika proses pemantauan menyebabkan sensor Defender for Identity kehabisan sumber daya, hanya lalu lintas parsial yang dipantau dan peringatan kesehatan "Port yang dihilangkan mencerminkan lalu lintas jaringan" muncul di halaman Kesehatan portal Defender for Identity.
Windows Events
Untuk meningkatkan cakupan deteksi Defender for Identity yang terkait dengan autentikasi NTLM, modifikasi pada grup sensitif dan pembuatan layanan yang mencurigakan, Defender for Identity perlu menganalisis log peristiwa Windows yang tercantum di sini. Peristiwa ini dibaca secara otomatis oleh sensor Defender for Identity dengan pengaturan kebijakan audit tingkat lanjut yang benar. Untuk memastikan Windows Peristiwa 8004 diaudit sesuai kebutuhan layanan, tinjau pengaturan audit NTLM Anda.