Разрешение имен сети в Microsoft Defender для удостоверений

Разрешение имен сети (NNR) является основным компонентом функций Microsoft Defender для удостоверений. Defender для удостоверений фиксирует действия на основе сетевого трафика, событий Windows и ETW— эти действия обычно содержат IP-данные.

Используя NNR, Defender для идентификации может сопоставлять необработанные действия (содержащие IP-адреса) и соответствующие компьютеры, участвующие в каждом действии. На основе необработанных действий сущности профилей Защитника для удостоверений, включая компьютеры, и создает оповещения системы безопасности для подозрительных действий.

Чтобы разрешить IP-адреса для имен компьютеров, датчики Defender для удостоверений запрашивают IP-адрес, используя один из следующих методов:

Основные методы:

• NTLM через RPC (TCP-порт 135)
• NetBIOS (порт UDP 137)
• RDP (TCP-порт 3389) — только первый пакет client hello

Вторичный метод:

• Запрашивает DNS-сервер с помощью обратного поиска DNS-адреса IP-адреса (UDP 53)

Для наилучших результатов рекомендуется использовать по крайней мере один из основных методов. Обратный поиск DNS IP-адреса выполняется только в следующих случаях:

• Нет ответа от любого из основных методов.
• Существует конфликт в ответе, полученном из двух или более основных методов.

Примечание.

Проверка подлинности не выполняется ни на одном из портов.

Defender для удостоверений оценивает и определяет операционную систему устройства на основе сетевого трафика. После получения имени компьютера датчик Defender для удостоверений проверка Active Directory и использует отпечатки TCP, чтобы узнать, есть ли сопоставленный объект компьютера с тем же именем компьютера. Использование отпечатков TCP помогает выявлять незарегистрированные и не windows-устройства, помогая в процессе исследования. Когда датчик Defender для удостоверений находит корреляцию, датчик связывает IP-адрес с объектом компьютера.

В случаях, когда имя не извлекается, неразрешенный профиль компьютера по IP-адресу создается с IP-адресом и соответствующим обнаруженным действием.

Данные NNR важны для обнаружения следующих угроз:

• Предполагаемое кражу удостоверений (pass-the-ticket)
• Подозреваемая атака DCSync (реплика tion служб каталогов)
• Рекогносцировка по сетевому сопоставлению (DNS)

Чтобы улучшить возможность определить, является ли оповещение истинным положительным (TP) или ложным положительным (FP), Defender for Identity включает степень определенности именования компьютера, разрешающего в доказательствах каждого оповещения системы безопасности.

Например, если имена компьютеров разрешаются с высокой уверенностью, это повышает уверенность в полученном оповещении системы безопасности в виде истинного положительного или TP.

Доказательства включают время, IP-адрес и имя компьютера, в который был разрешен IP-адрес. Если определенность разрешения низка, используйте эти сведения для изучения и проверки того, какое устройство было истинным источником IP-адреса в настоящее время. После подтверждения устройства можно определить, является ли оповещение ложным срабатыванием или FP, как показано в следующих примерах:

• Предполагаемое кражу удостоверений (pass-the-ticket) — оповещение было активировано для того же компьютера.

• Подозреваемая атака DCSync (реплика tion of directory services) — оповещение было активировано с контроллера домена.

• Рекогносцировка сетевого сопоставления (DNS) — оповещение было активировано с DNS-сервера.

  

Рекомендации по настройке

• NTLM по RPC:

  • Убедитесь, что TCP-порт 135 открыт для входящего подключения с датчиков Defender для удостоверений на всех компьютерах в среде.
  • Проверьте все сетевые конфигурации (брандмауэры), так как это может препятствовать обмену данными с соответствующими портами.

• Netbios:

  • Убедитесь, что порт UDP 137 открыт для входящего подключения от Defender для датчиков удостоверений на всех компьютерах в среде.
  • Проверьте все сетевые конфигурации (брандмауэры), так как это может препятствовать обмену данными с соответствующими портами.

• RDP:

  • Убедитесь, что TCP-порт 3389 открыт для входящего подключения от Defender для датчиков удостоверений на всех компьютерах в среде.
  • Проверьте все сетевые конфигурации (брандмауэры), так как это может препятствовать обмену данными с соответствующими портами.

  Примечание.

  • Требуется только один из этих протоколов, но мы рекомендуем использовать все из них.
  • Настраиваемые порты RDP не поддерживаются.

• Обратный DNS:

  • Убедитесь, что датчик может связаться с DNS-сервером и включены зоны обратного поиска.

Проблемы со работоспособностью

Чтобы убедиться, что Defender для удостоверений работает в идеале и среда настроена правильно, Defender для удостоверений проверка состояние разрешения каждого датчика и выдает оповещение о работоспособности для каждого метода, предоставляя список датчиков Defender для удостоверений с низкой скоростью успешного разрешения активных имен с помощью каждого метода.

Примечание.

Чтобы отключить необязательный метод NNR в Defender для удостоверений в соответствии с потребностями вашей среды, откройте вариант поддержки.

Каждое оповещение о работоспособности предоставляет конкретные сведения о методе, датчиках, проблемной политике, а также рекомендации по настройке. Дополнительные сведения о проблемах со работоспособностью см. в разделе Microsoft Defender для удостоверений проблемы с работоспособностью датчика.

См. также

• Предварительные требования Defender для удостоверений
• Настройка коллекции событий
• Ознакомьтесь с форумом по Defender для удостоверений.