Wat is netwerk naam omzetting?What is Network Name Resolution?

Network Name Resolution (NNR) is een belang rijke onderdeel van de Micro soft Defender voor identiteitMicrosoft Defender for Identity functionaliteit.Network Name Resolution (NNR) is a main component of Micro soft Defender voor identiteitMicrosoft Defender for Identity functionality. Defender voor identiteitDefender for Identity registreert activiteiten op basis van netwerk verkeer, Windows-gebeurtenissen en ETW-deze activiteiten bevatten normaal gesp roken IP-gegevens.Defender voor identiteitDefender for Identity captures activities based on network traffic, Windows events, and ETW - these activities normally contain IP data.

Het gebruik van NNR, Defender voor identiteitDefender for Identity kan correleren tussen onbewerkte activiteiten (met IP-adressen) en de relevante computers die bij elke activiteit betrokken zijn.Using NNR, Defender voor identiteitDefender for Identity can correlate between raw activities (containing IP addresses), and the relevant computers involved in each activity. Op basis van de onbewerkte activiteiten, Defender voor identiteitDefender for Identity profielen entiteiten, inclusief computers, en worden beveiligings waarschuwingen gegenereerd voor verdachte activiteiten.Based on the raw activities, Defender voor identiteitDefender for Identity profiles entities, including computers, and generates security alerts for suspicious activities.

Defender voor identiteitDefender for IdentitySens oren zoeken de IP-adressen aan de hand van de volgende methoden om IP-adressen om te zetten in computer namen:To resolve IP addresses to computer names, Defender voor identiteitDefender for Identity sensors look up the IP addresses using the following methods:

  • NTLM via RPC (TCP-poort 135)NTLM over RPC (TCP Port 135)
  • NetBIOS (UDP-poort 137)NetBIOS (UDP port 137)
  • RDP (TCP-poort 3389): alleen het eerste pakket van Client helloRDP (TCP port 3389) - only the first packet of Client hello
  • Query's uitvoeren op de DNS-server met reverse DNS-zoek opdracht van het IP-adres (UDP 53)Queries the DNS server using reverse DNS lookup of the IP address (UDP 53)

Voor de beste resultaten raden we u aan om alle methoden te gebruiken.For the best results, we recommend using all of the methods. Als dit niet mogelijk is, moet u de DNS-Zoek methode en ten minste een van de andere methoden gebruiken.If this is not possible, you should use the DNS lookup method and at least one of the other methods.

Notitie

Er wordt geen verificatie uitgevoerd op een van de poorten.No authentication is performed on any of the ports.

Defender voor identiteitDefender for Identity evalueert en bepaalt het besturings systeem van het apparaat op basis van netwerk verkeer.Defender voor identiteitDefender for Identity evaluates and determines the device operating system based on network traffic. Na het ophalen van de computer naam Defender voor identiteitDefender for Identity controleert de sensor Active Directory en maakt gebruik van TCP-vinger afdrukken om te zien of er een gecorreleerd computer object is met dezelfde computer naam.After retrieving the computer name, the Defender voor identiteitDefender for Identity sensor checks Active Directory and uses TCP fingerprints to see if there is a correlated computer object with the same computer name. Het gebruik van TCP-vinger afdrukken helpt bij het identificeren van niet-geregistreerde en niet-Windows-apparaten, waardoor het onderzoek proces wordt vergemakkelijkt.Using TCP fingerprints helps identify unregistered and non-Windows devices, aiding in your investigation process. Wanneer de Defender voor identiteitDefender for Identity sensor de correlatie vindt, koppelt de sensor het IP-adres aan het computer object.When the Defender voor identiteitDefender for Identity sensor finds the correlation, the sensor associates the IP to the computer object.

Als er geen naam wordt opgehaald, wordt een niet -omgezet computer profiel per IP- adres gemaakt met het IP-adres en de relevante gedetecteerde activiteit.In cases where no name is retrieved, an unresolved computer profile by IP is created with the IP and the relevant detected activity.

Niet-omgezet computer profiel

NNR-gegevens zijn essentieel voor het detecteren van de volgende bedreigingen:NNR data is crucial for detecting the following threats:

  • Verdachte identiteits diefstal (Pass-the-ticket)Suspected identity theft (pass-the-ticket)
  • Verdachte DCSync-aanval (replicatie van Directory Services)Suspected DCSync attack (replication of directory services)
  • Netwerk toewijzing Reconnaissance (DNS)Network mapping reconnaissance (DNS)

Voor het verbeteren van de mogelijkheid om te bepalen of een waarschuwing een True-positief (TP) of een onwaare positief (FP) is, Defender voor identiteitDefender for Identity geldt ook de mate van zekerheid van het oplossen van computer naam omzetting in het bewijs van elke beveiligings waarschuwing.To improve your ability to determine if an alert is a True Positive (TP) or False Positive (FP), Defender voor identiteitDefender for Identity includes the degree of certainty of computer naming resolving into the evidence of each security alert.

Als computer namen bijvoorbeeld worden omgezet met een hoge zekerheid , wordt het vertrouwen in de resulterende beveiligings waarschuwing als een True positief of tp verhoogd.For example, when computer names are resolved with high certainty it increases the confidence in the resulting security alert as a True Positive or TP.

Het bewijs bevat de tijd, het IP-adres en de computer naam waarmee het IP-adres is omgezet.The evidence includes the time, IP and computer name the IP was resolved to. Wanneer de resolutie van de oplossing laag is, gebruikt u deze informatie om te onderzoeken en te controleren welk apparaat op dit moment de werkelijke bron van het IP-adres is.When the resolution certainty is low, use this information to investigate and verify which device was the true source of the IP at this time. Nadat u het apparaat hebt bevestigd, kunt u nagaan of de waarschuwing een onjuist positief of FP is, vergelijkbaar met de volgende voor beelden:After confirming the device, you can then determine if the alert is a False Positive or FP, similar to the following examples:

  • Verdachte identiteits diefstal (Pass-the-ticket): de waarschuwing is geactiveerd voor dezelfde computer.Suspected identity theft (pass-the-ticket) – the alert was triggered for the same computer.

  • Verdachte DCSync-aanval (replicatie van Directory Services): de waarschuwing is geactiveerd vanaf een domein controller.Suspected DCSync attack (replication of directory services) – the alert was triggered from a domain controller.

  • Netwerk toewijzing Reconnaissance (DNS): de waarschuwing is geactiveerd van een DNS-server.Network mapping reconnaissance (DNS) – the alert was triggered from a DNS Server.

    Bewijs zekerheid

VereistenPrerequisites

ProtocolProtocol TransportTransport PoortPort ApparaatDevice RichtingDirection
NTLM via RPC *NTLM over RPC* TCPTCP 135135 Alle apparaten in het netwerkAll devices on the network InkomendInbound
NaamgevingNetBIOS* UDPUDP 137137 Alle apparaten in het netwerkAll devices on the network InkomendInbound
RDPRDP* TCPTCP 33893389 Alle apparaten in het netwerkAll devices on the network InkomendInbound
DNSDNS UDPUDP 5353 DomeincontrollersDomain controllers UitgaandOutbound

* Een van deze methoden is vereist, maar we raden u aan om deze te gebruiken.* One of these methods is required, but we recommend using all of them.

Om ervoor te zorgen dat Defender voor identiteitDefender for Identity het beste werkt en de omgeving correct is geconfigureerd, wordt Defender voor identiteitDefender for Identity de oplossings status van elke sensor gecontroleerd en wordt er een status waarschuwing per methode gegenereerd, waarbij een lijst met de Defender voor identiteitDefender for Identity Sens oren met een laag slagings percentage van de actieve naam omzetting met elke methode wordt verstrekt.To make sure Defender voor identiteitDefender for Identity is working ideally and the environment is configured correctly, Defender voor identiteitDefender for Identity checks the resolution status of each Sensor and issues a health alert per method, providing a list of the Defender voor identiteitDefender for Identity sensors with low success rate of active name resolution using each method.

Notitie

Als u een optionele NNR-methode Defender voor identiteitDefender for Identity wilt uitschakelen in de behoeften van uw omgeving, opent u een ondersteunings oproep.To disable an optional NNR method in Defender voor identiteitDefender for Identity to fit the needs of your environment, open a support call.

Elke status waarschuwing biedt specifieke details over de methode, Sens oren, het problematische beleid en aanbevelingen voor de configuratie.Each health alert provides specific details of the method, sensors, the problematic policy as well as configuration recommendations.

Lage frequentie van het aantal geslaagde netwerk naam omzetting (NNR)

Aanbevelingen voor configuratieConfiguration recommendations

  • NTLM via RPC:NTLM over RPC:

    • Controleer of TCP-poort 135 is geopend voor inkomend verkeer van Defender voor identiteitDefender for Identity Sens oren, op alle computers in de omgeving.Check that TCP Port 135 is open for inbound communication from Defender voor identiteitDefender for Identity Sensors, on all computers in the environment.
    • Controleer alle netwerk configuratie (firewalls), omdat dit kan leiden tot communicatie met de relevante poorten.Check all network configuration (firewalls), as this can prevent communication to the relevant ports.
  • NaamgevingNetBIOS:

    • Controleer of UDP-poort 137 is geopend voor inkomend verkeer van Defender voor identiteitDefender for Identity Sens oren, op alle computers in de omgeving.Check that UDP Port 137 is open for inbound communication from Defender voor identiteitDefender for Identity Sensors, on all computers in the environment.
    • Controleer alle netwerk configuratie (firewalls), omdat dit kan leiden tot communicatie met de relevante poorten.Check all network configuration (firewalls), as this can prevent communication to the relevant ports.
  • RDPRDP:

    • Controleer of TCP-poort 3389 is geopend voor inkomend verkeer van Defender voor identiteitDefender for Identity Sens oren, op alle computers in de omgeving.Check that TCP Port 3389 is open for inbound communication from Defender voor identiteitDefender for Identity Sensors, on all computers in the environment.
    • Controleer alle netwerk configuratie (firewalls), omdat dit kan leiden tot communicatie met de relevante poorten.Check all network configuration (firewalls), as this can prevent communication to the relevant ports.
  • Omgekeerde DNS:Reverse DNS:

    • Controleer of de sensor de DNS-server kan bereiken en of zones voor reverse lookup zijn ingeschakeld.Check that the Sensor can reach the DNS server and that Reverse Lookup Zones are enabled.

Zie ookSee Also