Microsoft Defender for Identity-architectuur

Microsoft Defender for Identity bewaakt uw domeincontrollers door netwerkverkeer vast te leggen en te parseren, windows-gebeurtenissen rechtstreeks vanaf uw domeincontrollers te gebruiken en vervolgens de gegevens voor aanvallen en bedreigingen te analyseren.

In de volgende afbeelding ziet u hoe Defender for Identity gelaagd is via Microsoft Defender XDR en samen met andere Microsoft-services- en externe id-providers om verkeer te bewaken dat afkomstig is van domeincontrollers en Active Directory-servers.

Rechtstreeks op uw domeincontroller, Active Directory Federation Services (AD FS) of AD CS-servers (Active Directory Certificate Services) zijn geïnstalleerd, heeft de Defender for Identity-sensor toegang tot de gebeurtenislogboeken die het rechtstreeks vanaf de servers vereist. Nadat de logboeken en het netwerkverkeer door de sensor zijn geparseerd, verzendt Defender for Identity alleen de geparseerde informatie naar de cloudservice Defender for Identity.

Defender for Identity-onderdelen

Defender for Identity bestaat uit de volgende onderdelen:

• Microsoft Defender-portal
  In de Microsoft Defender-portal wordt uw Defender for Identity-werkruimte gemaakt, worden de gegevens weergegeven die zijn ontvangen van Defender for Identity-sensoren en kunt u bedreigingen in uw netwerkomgeving bewaken, beheren en onderzoeken.

• Defender for Identity-sensor Defender for Identity-sensoren kunnen rechtstreeks op de volgende servers worden geïnstalleerd:

  • Domeincontrollers: De sensor bewaakt het verkeer van de domeincontroller rechtstreeks, zonder dat hiervoor een toegewezen server of configuratie van poortspiegeling nodig is.
  • AD FS / AD CS: de sensor bewaakt netwerkverkeer en verificatie-gebeurtenissen rechtstreeks.

• Defender for Identity-cloudservice
  De Defender for Identity-cloudservice wordt uitgevoerd op de Azure-infrastructuur en wordt momenteel geïmplementeerd in de VS, Europa, Australië - oost en Azië. De Defender for Identity-cloudservice is verbonden met de intelligente beveiligingsgrafiek van Microsoft.

Microsoft Defender-portal

Gebruik de Microsoft Defender-portal voor het volgende:

• Maak uw Defender for Identity-werkruimte.
• Integreer met andere Microsoft-beveiligingsservices.
• Configuratie-instellingen voor Defender for Identity-sensor beheren.
• Gegevens weergeven die zijn ontvangen van Defender for Identity-sensoren.
• Controleer verdachte activiteiten en verdachte aanvallen op basis van het kill chain-model voor aanvallen.
• Optioneel: De portal kan ook worden geconfigureerd voor het verzenden van e-mailberichten en gebeurtenissen wanneer er beveiligingswaarschuwingen of statusproblemen worden gedetecteerd.

Notitie

Als er binnen 60 dagen geen sensor is geïnstalleerd in uw Defender for Identity-werkruimte, wordt de werkruimte mogelijk verwijderd en moet u deze opnieuw maken.

Defender for Identity-sensor

De Defender for Identity-sensor heeft de volgende kernfunctionaliteit:

• Netwerkverkeer van domeincontrollers vastleggen en inspecteren (lokaal verkeer van de domeincontroller)
• Windows-gebeurtenissen rechtstreeks ontvangen van de domeincontrollers
• RADIUS-accountinggegevens ontvangen van uw VPN-provider
• Gegevens over gebruikers en computers ophalen uit het Active Directory-domein
• Oplossing van netwerkentiteiten uitvoeren (gebruikers, groepen en computers)
• Relevante gegevens overdragen naar de Defender for Identity-cloudservice

Defender for Identity-sensor leest gebeurtenissen lokaal, zonder dat u extra hardware of configuraties hoeft aan te schaffen en te onderhouden. De Defender for Identity-sensor biedt ook ondersteuning voor Event Tracing voor Windows (ETW) die de logboekinformatie biedt voor meerdere detecties. Detecties op basis van ETW omvatten verdachte DCShadow-aanvallen die zijn geprobeerd met behulp van replicatieaanvragen van domeincontrollers en promotie van domeincontrollers.

Proces van domeinsynchronisatieroutine

Het proces van de domeinsynchronisatieroutine is verantwoordelijk voor het proactief synchroniseren van alle entiteiten uit een specifiek Active Directory-domein (vergelijkbaar met het mechanisme dat door de domeincontrollers zelf wordt gebruikt voor replicatie). Eén sensor wordt automatisch willekeurig gekozen van al uw in aanmerking komende sensoren om te fungeren als domeinsynchronisatieroutine.

Als de domeinsynchronisatieroutine langer dan 30 minuten offline is, wordt er automatisch een andere sensor gekozen.

Resourcebeperkingen

De Defender for Identity-sensor bevat een bewakingsonderdeel dat de beschikbare reken- en geheugencapaciteit evalueert op de server waarop deze wordt uitgevoerd. Het bewakingsproces wordt elke 10 seconden uitgevoerd en werkt het quotum voor CPU- en geheugengebruik dynamisch bij op het Defender for Identity-sensorproces. Het bewakingsproces zorgt ervoor dat de server altijd ten minste 15% van de beschikbare reken- en geheugenresources heeft.

Ongeacht wat er op de server gebeurt, maakt het bewakingsproces voortdurend resources vrij om ervoor te zorgen dat de kernfunctionaliteit van de server nooit wordt beïnvloed.

Als het bewakingsproces ervoor zorgt dat de Defender for Identity-sensor geen resources meer heeft, wordt alleen gedeeltelijk verkeer bewaakt en wordt de statuswaarschuwing 'Verbroken poort gespiegeld netwerkverkeer' weergegeven op de pagina Defender for Identity-sensor.

Windows-gebeurtenissen

Om de dekking van Defender for Identity-detectie met betrekking tot NTLM-verificaties te verbeteren, wijzigingen in gevoelige groepen en het maken van verdachte services, analyseert Defender for Identity de logboeken van specifieke Windows-gebeurtenissen.

Om ervoor te zorgen dat de logboeken worden gelezen, moet u ervoor zorgen dat uw Defender for Identity-sensor geavanceerde controlebeleidsinstellingen correct heeft geconfigureerd. Controleer uw NTLM-controle-instellingen om ervoor te zorgen dat Windows Event 8004 indien nodig door de service wordt gecontroleerd

Volgende stap

Microsoft Defender for Identity implementeren met Microsoft Defender XDR