Microsoft Defender for Identity architectuur
Microsoft Defender for Identity uw domeincontrollers bewaakt door netwerkverkeer vast te leggen en te parseren en Windows-gebeurtenissen rechtstreeks vanaf uw domeincontrollers te gebruiken. Vervolgens worden de gegevens geanalyseerd op aanvallen en bedreigingen. Het gebruik van profilering, deterministische detectie, machine learning en gedragsalgoritmen Defender for Identity leert over uw netwerk, maakt detectie van afwijkingen mogelijk en waarschuwt u voor verdachte activiteiten.
Defender for Identity-architectuur:
In deze sectie wordt beschreven hoe de stroom van het netwerk en het vastleggen van gebeurtenissen van Defender for Identity werkt en wordt ingezoomd op de functionaliteit van de belangrijkste onderdelen: de Defender for Identity-portal, de Defender for Identity-sensor en de Defender for Identity-cloudservice.
De Defender for Identity-sensor is rechtstreeks geïnstalleerd op uw domeincontroller of AD FS servers en heeft rechtstreeks vanaf de servers toegang tot de gebeurtenislogboeken die nodig zijn. Nadat de logboeken en het netwerkverkeer door de sensor zijn geparseerd, verzendt Defender for Identity alleen de geparseerde gegevens naar de cloudservice Defender for Identity (er wordt slechts een percentage van de logboeken verzonden).
Defender voor identiteitsonderdelen
Defender for Identity bestaat uit de volgende onderdelen:
Defender for Identity-portal
In de Defender for Identity-portal kunt u uw Defender for Identity-exemplaar maken, worden de gegevens weergegeven die zijn ontvangen van Defender for Identity-sensoren en kunt u bedreigingen in uw netwerkomgeving bewaken, beheren en onderzoeken.Defender for Identity-sensor
Defender for Identity-sensoren kunnen rechtstreeks op de volgende servers worden geïnstalleerd:- Domeincontrollers:de sensor bewaakt het verkeer van de domeincontroller rechtstreeks, zonder dat er een dedicated server of configuratie van poortspiegeling nodig is.
- AD FS:de sensor bewaakt rechtstreeks netwerkverkeer en verificatiegebeurtenissen.
Defender for Identity-cloudservice
Defender for Identity-cloudservice wordt uitgevoerd in de Azure-infrastructuur en wordt momenteel geïmplementeerd in de VS, Europa en Azië. De defender for Identity-cloudservice is verbonden met de intelligente beveiligingsgrafiek van Microsoft.
Defender for Identity-portal
Gebruik de Defender for Identity-portal voor het volgende:
- Uw Defender for Identity-instantie maken
- Integreren met andere Microsoft-beveiligingsservices
- Configuratie-instellingen voor Defender for Identity-sensor beheren
- Gegevens weergeven die zijn ontvangen van Defender for Identity-sensoren
- Gedetecteerde verdachte activiteiten en verdachte aanvallen bewaken op basis van het kill chain-model voor aanvallen
- Optioneel:de portal kan ook worden geconfigureerd voor het verzenden van e-mailberichten en gebeurtenissen wanneer beveiligingswaarschuwingen of statusproblemen worden gedetecteerd
Notitie
Als er binnen 60 dagen geen sensor is geïnstalleerd op uw Exemplaar van Defender for Identity, wordt het exemplaar mogelijk verwijderd en moet u deze opnieuw maken.
Defender for Identity-sensor
De Defender for Identity-sensor heeft de volgende kernfunctionaliteit:
- Netwerkverkeer van domeincontrollers vastleggen en inspecteren (lokaal verkeer van de domeincontroller)
- Gebeurtenissen Windows ontvangen rechtstreeks van de domeincontrollers
- RADIUS-accountinggegevens ontvangen van uw VPN-provider
- Gegevens over gebruikers en computers uit het Active Directory-domein ophalen.
- Netwerkentiteiten omzetten (gebruikers, groepen en computers)
- Relevante gegevens overdragen naar de Defender for Identity-cloudservice
Sensorfuncties van Defender for Identity
De Defender for Identity-sensor leest gebeurtenissen lokaal, zonder extra hardware of configuraties te hoeven kopen en onderhouden. De Defender for Identity-sensor ondersteunt ook Event Tracing for Windows (ETW) die de logboekinformatie voor meerdere detecties biedt. Detecties op basis van ETW omvatten verdachte DCShadow-aanvallen die zijn uitgevoerd met replicatieaanvragen voor domeincontrollers en promotie van domeincontrollers.
Proces van domein synchronisatie
Het proces voor domeinsynchronisatie is verantwoordelijk voor het proactief synchroniseren van alle entiteiten uit een specifiek Active Directory-domein (vergelijkbaar met het mechanisme dat door de domeincontrollers zelf wordt gebruikt voor replicatie). Eén sensor wordt automatisch willekeurig gekozen uit al uw in aanmerking komende sensoren om te fungeren als de domein-synchronisatie.
Als de domein-synchronisatier langer dan 30 minuten offline is, wordt automatisch een andere sensor gekozen.
Resourcebeperkingen
De Defender for Identity-sensor bevat een bewakingsonderdeel dat de beschikbare reken- en geheugencapaciteit evalueert op de domeincontroller waarop deze wordt uitgevoerd. Het bewakingsproces wordt elke 10 seconden uitgevoerd en werkt het CPU- en geheugengebruikquotum voor het Defender for Identity-sensorproces dynamisch bij. Het bewakingsproces zorgt ervoor dat op de domeincontroller altijd ten minste 15% van de beschikbare reken- en geheugenbronnen beschikbaar is.
Ongeacht wat er op de domeincontroller gebeurt, maakt het bewakingsproces voortdurend resources vrij om ervoor te zorgen dat de kernfunctionaliteit van de domeincontroller nooit wordt beïnvloed.
Als het bewakingsproces ervoor zorgt dat de Defender for Identity-sensor geen resources meer heeft, wordt slechts gedeeltelijk verkeer bewaakt en wordt de statuswaarschuwing 'Poortgespiegeld netwerkverkeer is uitgevallen' weergegeven op de statuspagina van de Defender for Identity-portal.
Windows-gebeurtenissen
Voor het verbeteren van de dekking van Defender voor identiteitsdetectie met betrekking tot NTLM-verificaties, wijzigingen in gevoelige groepen en het maken van verdachte services, moet Defender for Identity de logboeken analyseren van de Windows-gebeurtenissendie hier worden vermeld. Deze gebeurtenissen worden automatisch gelezen door Defender for Identity-sensoren met de juiste geavanceerde controlebeleidsinstellingen. Als u wilt controleren Windows gebeurtenis 8004 wordt gecontroleerd door de service, controleert u uw NTLM-controle-instellingen.