Integrazione vpn di Defender per identità in Microsoft Defender XDR

  • Articolo

Microsoft Defender per identità possibile eseguire l'integrazione con la soluzione VPN ascoltando gli eventi contabili RADIUS inoltrati ai sensori defender per identità, ad esempio gli indirizzi IP e le posizioni in cui hanno avuto origine le connessioni. I dati di contabilità VPN possono aiutare le indagini fornendo altre informazioni sulle attività degli utenti, ad esempio i percorsi da cui i computer si connettono alla rete e un rilevamento aggiuntivo per le connessioni VPN anomale.

L'integrazione VPN di Defender per identità si basa sull'accounting RADIUS standard (RFC 2866) e supporta i fornitori VPN seguenti:

  • Microsoft
  • F5
  • Punto di controllo
  • Cisco ASA

L'integrazione VPN non è supportata negli ambienti che adorano fips (Federal Information Processing Standards)

L'integrazione VPN di Defender per identità supporta sia upn primari che nomi di entità utente alternativi. Le chiamate per risolvere gli indirizzi IP esterni in una posizione sono anonime e non viene inviato alcun identificatore personale nella chiamata.

Prerequisiti

Prima di iniziare, assicurarsi di avere:

  • Microsoft Defender per identità distribuita

  • Accesso all'area Impostazioni in Microsoft Defender XDR. Per altre informazioni, vedere Microsoft Defender per identità gruppi di ruoli.

  • Possibilità di configurare RADIUS nel sistema VPN.

    Questo articolo fornisce un esempio di come configurare Microsoft Defender per identità per raccogliere informazioni contabili dalle soluzioni VPN, usando Microsoft Routing e Remote Access Server (RRAS). Se si usa una soluzione VPN di terze parti, consultare la relativa documentazione per istruzioni su come abilitare l'accounting RADIUS.

Nota

Quando si configura l'integrazione VPN, il sensore Defender per identità abilita un criterio di Windows Firewall con provisioning preliminare denominato sensore Microsoft Defender per identità. Questo criterio consente la contabilità RADIUS in ingresso sulla porta UDP 1813.

Configurare l'accounting RADIUS nel sistema VPN

Questa procedura descrive come configurare l'accounting RADIUS in un server RRAS per l'integrazione di un sistema VPN con Defender per identità. Le istruzioni del sistema possono variare.

Nel server RRAS:

  1. Aprire la console Routing e Accesso remoto.

  2. Fare clic con il pulsante destro del mouse sul nome del server e scegliere Proprietà.

  3. Nella scheda Sicurezza, in Provider accounting, selezionare RADIUS Accounting Configure (Configurazione contabilità> RADIUS). Ad esempio:

    Screenshot of the Security tab.

  4. Nella finestra di dialogo Aggiungi server RADIUS immettere il nome del server più vicino defender per identità con connettività di rete. Per la disponibilità elevata, è possibile aggiungere altri sensori defender per identità come server RADIUS.

  5. In Porta verificare che il valore predefinito di 1813 sia configurato.

  6. Selezionare Cambia e immettere una nuova stringa privata condivisa di caratteri alfanumerici. Prendere nota della nuova stringa di segreto condiviso, perché sarà necessaria in un secondo momento durante la configurazione dell'integrazione VPN in Defender per identità.

  7. Selezionare la casella Send RADIUS Account On and Accounting Off messages (Invia account RADIUS on and Accounting Off messages ) e selezionare OK in tutte le finestre di dialogo aperte. Ad esempio:

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

Configurare la VPN in Defender per identità

Questa procedura descrive come configurare l'integrazione VPN di Defender per identità in Microsoft Defender XDR.

  1. Accedere a Microsoft Defender XDR e selezionare Impostazioni> VPN di identità.>

  2. Selezionare Abilita accounting radius e immettere il segreto condiviso configurato in precedenza nel server VPN RRAS. Ad esempio:

    Screenshot of the Enable radius accounting option.

  3. Selezionare Salva per continuare.

Dopo aver salvato la selezione, i sensori defender per identità iniziano ad ascoltare la porta 1813 per gli eventi di accounting RADIUS e la configurazione VPN è completata.

Quando il sensore Defender per identità riceve gli eventi VPN e li invia al servizio cloud Defender per identità per l'elaborazione, il profilo di entità indica posizioni VPN distinte a cui è stato eseguito l'accesso e le attività del profilo indicano le posizioni.

Contenuto correlato

Per altre informazioni, vedere Configurare la raccolta di eventi.