Netwerknaamomzetting in Microsoft Defender for Identity

Network Name Resolution (NNR) is een belangrijk onderdeel van microsoft Defender for Identity-functionaliteit. Defender for Identity legt activiteiten vast op basis van netwerkverkeer, Windows-gebeurtenissen en ETW. Deze activiteiten bevatten normaal gesproken IP-gegevens.

Met NNR kan Defender for Identity correleren tussen onbewerkte activiteiten (met IP-adressen) en de relevante computers die bij elke activiteit betrokken zijn. Op basis van de onbewerkte activiteiten worden entiteiten van Defender for Identity-profielen, inclusief computers, gegenereerd en beveiligingswaarschuwingen gegenereerd voor verdachte activiteiten.

Als u IP-adressen wilt omzetten in computernamen, zoeken Defender for Identity-sensoren de IP-adressen op met behulp van de volgende methoden:

Primaire methoden:

• NTLM via RPC (TCP-poort 135)
• NetBIOS (UDP-poort 137)
• RDP (TCP-poort 3389) - alleen het eerste pakket client hello

Secundaire methode:

• Query's uitvoeren op de DNS-server met behulp van omgekeerde DNS-zoekactie van het IP-adres (UDP 53)

Voor de beste resultaten raden we u aan ten minste één van de primaire methoden te gebruiken. Omgekeerde DNS-zoekactie van het IP-adres wordt alleen uitgevoerd wanneer:

• Er is geen reactie van een van de primaire methoden.
• Er is een conflict in het antwoord dat is ontvangen van twee of meer primaire methoden.

Notitie

Er wordt geen verificatie uitgevoerd op een van de poorten.

Defender for Identity evalueert en bepaalt het besturingssysteem van het apparaat op basis van netwerkverkeer. Na het ophalen van de computernaam controleert de Defender for Identity-sensor Active Directory en gebruikt tcp-vingerafdrukken om te zien of er een gecorreleerd computerobject met dezelfde computernaam is. Door TCP-vingerafdrukken te gebruiken, kunt u niet-geregistreerde en niet-Windows-apparaten identificeren, die u helpen bij uw onderzoeksproces. Wanneer de Defender for Identity-sensor de correlatie vindt, koppelt de sensor het IP-adres aan het computerobject.

In gevallen waarin geen naam wordt opgehaald, wordt er een onopgeloste computerprofiel per IP gemaakt met het IP-adres en de relevante gedetecteerde activiteit.

NNR-gegevens zijn van cruciaal belang voor het detecteren van de volgende bedreigingen:

• Vermoedelijke identiteitsdiefstal (pass-the-ticket)
• Verdachte DCSync-aanval (replicatie van adreslijstservices)
• Reconnaissance voor netwerktoewijzing (DNS)

Om uw vermogen te verbeteren om te bepalen of een waarschuwing een terecht-positief (TP) of fout-positief (FP) is, bevat Defender for Identity de mate van zekerheid van computernamen die worden omgezet in het bewijs van elke beveiligingswaarschuwing.

Wanneer computernamen bijvoorbeeld met hoge zekerheid worden opgelost, wordt het vertrouwen in de resulterende beveiligingswaarschuwing verhoogd als terecht-positief of TP.

Het bewijs bevat de tijd, het IP-adres en de computernaam waarop het IP-adres is omgezet. Wanneer de resolutiezekerheid laag is, gebruikt u deze informatie om te onderzoeken en te controleren welk apparaat de werkelijke bron van het IP-adres was op dit moment. Nadat u het apparaat hebt bevestigd, kunt u vervolgens bepalen of de waarschuwing een fout-positief of FP is, vergelijkbaar met de volgende voorbeelden:

• Vermoedelijke identiteitsdiefstal (pass-the-ticket): de waarschuwing is geactiveerd voor dezelfde computer.

• Verdachte DCSync-aanval (replicatie van adreslijstservices): de waarschuwing is geactiveerd vanaf een domeincontroller.

• Reconnaissance (DNS) voor netwerktoewijzing: de waarschuwing is geactiveerd vanaf een DNS-server.

  

Aanbevelingen voor configuratie

• NTLM via RPC:

  • Controleer of TCP-poort 135 is geopend voor binnenkomende communicatie van Defender for Identity Sensors op alle computers in de omgeving.
  • Controleer alle netwerkconfiguraties (firewalls), omdat dit communicatie met de relevante poorten kan voorkomen.

• Netbios:

  • Controleer of UDP-poort 137 is geopend voor binnenkomende communicatie van Defender for Identity Sensors op alle computers in de omgeving.
  • Controleer alle netwerkconfiguraties (firewalls), omdat dit communicatie met de relevante poorten kan voorkomen.

• RDP:

  • Controleer of TCP-poort 3389 is geopend voor binnenkomende communicatie van Defender for Identity Sensors op alle computers in de omgeving.
  • Controleer alle netwerkconfiguraties (firewalls), omdat dit communicatie met de relevante poorten kan voorkomen.

  Notitie

  • Er is slechts één van deze protocollen vereist, maar we raden u aan om ze allemaal te gebruiken.
  • Aangepaste RDP-poorten worden niet ondersteund.

• Omgekeerde DNS:

  • Controleer of de sensor de DNS-server kan bereiken en of Reverse Lookup Zones zijn ingeschakeld.

Statusproblemen

Om ervoor te zorgen dat Defender for Identity ideaal werkt en de omgeving correct is geconfigureerd, controleert Defender for Identity de oplossingsstatus van elke sensor en geeft een statuswaarschuwing per methode op, waarbij een lijst wordt weergegeven met de Defender for Identity-sensoren met een laag slagingspercentage voor actieve naamomzetting met elke methode.

Notitie

Als u een optionele NNR-methode in Defender for Identity wilt uitschakelen om aan de behoeften van uw omgeving te voldoen, opent u een ondersteuningsaanvraag.

Elke statuswaarschuwing biedt specifieke details van de methode, sensoren, het problematische beleid en configuratieaan aanbevelingen. Zie Microsoft Defender voor Identiteitssensorstatusproblemen voor meer informatie over statusproblemen.

Zie ook

• Vereisten voor Defender for Identity
• Gebeurtenisverzameling configureren
• Bekijk het Defender for Identity-forum.