Micro soft Defender voor identiteits architectuurMicrosoft Defender for Identity architecture

Micro soft Defender voor identiteitMicrosoft Defender for Identity bewaakt uw domein controllers door netwerk verkeer te vastleggen en te parseren en Windows-gebeurtenissen rechtstreeks vanaf uw domein controllers te gebruiken. Vervolgens analyseert u de gegevens voor aanvallen en bedreigingen.Micro soft Defender voor identiteitMicrosoft Defender for Identity monitors your domain controllers by capturing and parsing network traffic and leveraging Windows events directly from your domain controllers, then analyzes the data for attacks and threats. Het gebruik van profile ring, deterministische detectie, machine learning en gedrags algoritmen Defender voor identiteitDefender for Identity leert over uw netwerk, de detectie van afwijkingen mogelijk maken en waarschuwt u voor verdachte activiteiten.Utilizing profiling, deterministic detection, machine learning, and behavioral algorithms Defender voor identiteitDefender for Identity learns about your network, enables detection of anomalies, and warns you of suspicious activities.

Defender voor identiteitDefender for Identity opstellingDefender voor identiteitDefender for Identity architecture:

[! INCLUSIEF [product short] (inclusief/product-short. MD)] architectuur topologie diagram

In deze sectie wordt beschreven hoe de stroom van het Defender voor identiteitDefender for Identity netwerk en het vastleggen van gebeurtenissen werkt en zoomt u uit om de functionaliteit van de belangrijkste onderdelen te beschrijven: de Defender voor identiteitDefender for Identity Portal, de Defender voor identiteitDefender for Identity sensor en de Defender voor identiteitDefender for Identity Cloud service.This section describes how the flow of Defender voor identiteitDefender for Identity's network and event capturing works, and drills down to describe the functionality of the main components: the Defender voor identiteitDefender for Identity portal, Defender voor identiteitDefender for Identity sensor, and Defender voor identiteitDefender for Identity cloud service.

De sensor heeft rechtstreeks op uw domein controller of AD FS servers Defender voor identiteitDefender for Identity toegang tot de gebeurtenis logboeken die rechtstreeks van de-servers nodig is.Installed directly on your domain controller or AD FS servers, the Defender voor identiteitDefender for Identity sensor accesses the event logs it requires directly from the servers. Nadat de logboeken en het netwerk verkeer door de sensor zijn geparseerd, Defender voor identiteitDefender for Identity stuurt alleen de geparseerde gegevens naar de Defender voor identiteitDefender for Identity Cloud service (alleen een percentage van de logboeken worden verzonden).After the logs and network traffic are parsed by the sensor, Defender voor identiteitDefender for Identity sends only the parsed information to the Defender voor identiteitDefender for Identity cloud service (only a percentage of the logs are sent).

Defender voor identiteits componentenDefender for Identity components

Defender voor identiteitDefender for Identity bestaat uit de volgende onderdelen:Defender voor identiteitDefender for Identity consists of the following components:

  • Defender voor identiteitDefender for Identity PortalDefender voor identiteitDefender for Identity portal
    Met de Defender voor identiteitDefender for Identity Portal kunt Defender voor identiteitDefender for Identity u uw exemplaar maken, de ontvangen gegevens van Defender voor identiteitDefender for Identity Sens oren en u kunt bedreigingen in uw netwerk omgeving bewaken, beheren en onderzoeken.The Defender voor identiteitDefender for Identity portal allows the creation of your Defender voor identiteitDefender for Identity instance, displays the data received from Defender voor identiteitDefender for Identity sensors, and enables you to monitor, manage, and investigate threats in your network environment.

  • Defender voor identiteitDefender for Identity sensorenDefender voor identiteitDefender for Identity sensor
    Defender voor identiteitDefender for Identity Sens oren kunnen rechtstreeks op de volgende servers worden geïnstalleerd:Defender voor identiteitDefender for Identity sensors can be directly installed on the following servers:

    • Domein controllers: de sensor bewaakt het verkeer van de domein controller rechtstreeks, zonder dat hiervoor een dedicated server is vereist of configuratie van poort spiegeling.Domain controllers: The sensor directly monitors domain controller traffic, without the need for a dedicated server, or configuration of port mirroring.
    • AD FS: de sensor controleert direct het netwerk verkeer en de verificatie gebeurtenissen.AD FS: The sensor directly monitors network traffic and authentication events.
  • Defender voor identiteitDefender for Identity Cloud serviceDefender voor identiteitDefender for Identity cloud service
    Defender voor identiteitDefender for Identity Cloud service wordt uitgevoerd op de Azure-infra structuur en wordt momenteel geïmplementeerd in de Verenigde Staten, Europa en Azië.Defender voor identiteitDefender for Identity cloud service runs on Azure infrastructure and is currently deployed in the US, Europe, and Asia. Defender voor identiteitDefender for Identity Cloud service is verbonden met de intelligente beveiligings grafiek van micro soft.Defender voor identiteitDefender for Identity cloud service is connected to Microsoft's intelligent security graph.

Defender for Identity-portalDefender for Identity portal

Gebruik de Defender voor identiteitDefender for Identity Portal om het volgende te doen:Use the Defender voor identiteitDefender for Identity portal to:

  • Uw Defender voor identiteitDefender for Identity exemplaar makenCreate your Defender voor identiteitDefender for Identity instance
  • Integreren met andere micro soft-beveiligings ServicesIntegrate with other Microsoft security services
  • Defender voor identiteitDefender for IdentityConfiguratie-instellingen van sensor beherenManage Defender voor identiteitDefender for Identity sensor configuration settings
  • Gegevens weer geven die zijn ontvangen van Defender voor identiteitDefender for Identity Sens orenView data received from Defender voor identiteitDefender for Identity sensors
  • Gedetecteerde verdachte activiteiten en verdachte aanvallen controleren op basis van het model voor het afbreken van de aanvals ketenMonitor detected suspicious activities and suspected attacks based on the attack kill chain model
  • Optioneel: de portal kan ook worden geconfigureerd voor het verzenden van e-mail berichten en gebeurtenissen wanneer beveiligings waarschuwingen of status problemen worden gedetecteerdOptional: the portal can also be configured to send emails and events when security alerts or health issues are detected

Notitie

Als er binnen 60 dagen geen sensor is geïnstalleerd op uw Defender voor identiteitDefender for Identity exemplaar, kan de instantie worden verwijderd en moet u deze opnieuw maken.If no sensor is installed on your Defender voor identiteitDefender for Identity instance within 60 days, the instance may be deleted and you'll need to recreate it.

Defender voor identiteits sensorDefender for Identity sensor

De Defender voor identiteitDefender for Identity sensor heeft de volgende kern functionaliteit:The Defender voor identiteitDefender for Identity sensor has the following core functionality:

  • Het netwerk verkeer van de domein controller vastleggen en inspecteren (lokaal verkeer van de domein controller)Capture and inspect domain controller network traffic (local traffic of the domain controller)
  • Windows-gebeurtenissen rechtstreeks van de domein controllers ontvangenReceive Windows Events directly from the domain controllers
  • RADIUS-accounting gegevens van uw VPN-provider ontvangenReceive RADIUS accounting information from your VPN provider
  • Gegevens over gebruikers en computers uit het Active Directory-domein ophalen.Retrieve data about users and computers from the Active Directory domain
  • Netwerkentiteiten omzetten (gebruikers, groepen en computers)Perform resolution of network entities (users, groups, and computers)
  • Relevante gegevens overdragen naar de Defender voor identiteitDefender for Identity Cloud serviceTransfer relevant data to the Defender voor identiteitDefender for Identity cloud service

Defender voor de functies van de identiteits sensorDefender for Identity sensor features

Defender voor identiteitDefender for Identity sensor leest gebeurtenissen lokaal, zonder dat er extra hardware of configuraties hoeven te worden gekocht en onderhouden.Defender voor identiteitDefender for Identity sensor reads events locally, without the need to purchase and maintain additional hardware or configurations. De Defender voor identiteitDefender for Identity sensor ondersteunt ook Event Tracing for Windows (etw), waarmee de logboek gegevens voor meerdere detecties worden verstrekt.The Defender voor identiteitDefender for Identity sensor also supports Event Tracing for Windows (ETW) which provides the log information for multiple detections. Detecties op basis van ETW omvatten mogelijk verdachte DCShadow-aanvallen die gebruikmaken van de replicatie aanvragen van domein controllers en de promotie van een domein controller.ETW-based detections include Suspected DCShadow attacks attempted using domain controller replication requests and domain controller promotion.

Domein synchronisatie procesDomain synchronizer process

Het domein synchronisatie proces is verantwoordelijk voor het proactief synchroniseren van alle entiteiten van een specifiek Active Directory domein (vergelijkbaar met het mechanisme dat door de domein controllers zelf voor replicatie wordt gebruikt).The domain synchronizer process is responsible for synchronizing all entities from a specific Active Directory domain proactively (similar to the mechanism used by the domain controllers themselves for replication). Een sensor wordt automatisch wille keurig gekozen uit alle in aanmerking komende Sens oren die fungeren als de domein synchronisatie routine.One sensor is automatically chosen at random from all of your eligible sensors to serve as the domain synchronizer.

Als de domein synchronisatie routine meer dan 30 minuten offline is, wordt er in plaats daarvan automatisch een andere sensor gekozen.If the domain synchronizer is offline for more than 30 minutes, another sensor is automatically chosen instead.

ResourcebeperkingenResource limitations

De Defender voor identiteitDefender for Identity sensor bevat een bewakings onderdeel dat de beschik bare reken-en geheugen capaciteit evalueert op de domein controller waarop het wordt uitgevoerd.The Defender voor identiteitDefender for Identity sensor includes a monitoring component that evaluates the available compute and memory capacity on the domain controller on which it's running. Het bewakings proces wordt elke 10 seconden uitgevoerd en het CPU-en geheugen gebruik voor het proces van de sensor wordt dynamisch bijgewerkt Defender voor identiteitDefender for Identity .The monitoring process runs every 10 seconds and dynamically updates the CPU and memory utilization quota on the Defender voor identiteitDefender for Identity sensor process. Het bewakings proces zorgt ervoor dat de domein controller altijd ten minste 15% van de gratis reken-en geheugen resources beschikbaar heeft.The monitoring process makes sure the domain controller always has at least 15% of free compute and memory resources available.

Ongeacht wat er op de domein controller gebeurt, het bewakings proces doorlopend meer bronnen vrijmaakt om ervoor te zorgen dat de kern functionaliteit van de domein controller nooit wordt beïnvloed.No matter what occurs on the domain controller, the monitoring process continually frees up resources to make sure the domain controller's core functionality is never affected.

Als het bewakings proces ertoe leidt dat de Defender voor identiteitDefender for Identity sensor te weinig bronnen heeft, wordt alleen gedeeltelijk verkeer gecontroleerd en wordt de status waarschuwing "gespiegeld netwerk verkeer van verwijderde poort" weer gegeven op de Defender voor identiteitDefender for Identity pagina status van de portal.If the monitoring process causes the Defender voor identiteitDefender for Identity sensor to run out of resources, only partial traffic is monitored and the health alert "Dropped port mirrored network traffic" appears in the Defender voor identiteitDefender for Identity portal Health page.

Windows-gebeurtenissenWindows Events

Om Defender voor identiteitDefender for Identity de detectie dekking te verbeteren met betrekking tot NTLM-verificaties, wijzigingen aan gevoelige groepen en het maken van verdachte Services, Defender voor identiteitDefender for Identity moet de logboeken van de volgende Windows-gebeurtenissen worden geanalyseerd: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045 en 8004.To enhance Defender voor identiteitDefender for Identity detection coverage related to NTLM authentications, modifications to sensitive groups and creation of suspicious services, Defender voor identiteitDefender for Identity needs to analyze the logs of the following Windows events: 4776,4732,4733,4728,4729,4756,4757,7045 and 8004. Deze gebeurtenissen worden automatisch gelezen door Defender voor identiteitDefender for Identity Sens oren met de juiste Geavanceerde instellingen voor het controle beleid.These events are read automatically by Defender voor identiteitDefender for Identity sensors with correct advanced audit policy settings. Controleer uw NTLM-controle-instellingenom ervoor te zorgen dat Windows-gebeurtenis 8004 wordt gecontroleerd als dat nodig is voor de service.To make sure Windows Event 8004 is audited as needed by the service, review your NTLM audit settings.

Volgende stappenNext steps