Разрешение имен сети в Microsoft Defender для удостоверений
Разрешение имен сети (NNR) является основным компонентом функций Microsoft Defender для удостоверений. Defender для удостоверений фиксирует действия на основе сетевого трафика, событий Windows и ETW— эти действия обычно содержат IP-данные.
Используя NNR, Defender для идентификации может сопоставлять необработанные действия (содержащие IP-адреса) и соответствующие компьютеры, участвующие в каждом действии. На основе необработанных действий сущности профилей Защитника для удостоверений, включая компьютеры, и создает оповещения системы безопасности для подозрительных действий.
Чтобы разрешить IP-адреса для имен компьютеров, датчики Defender для удостоверений запрашивают IP-адрес, используя один из следующих методов:
Основные методы:
- NTLM через RPC (TCP-порт 135)
- NetBIOS (порт UDP 137)
- RDP (TCP-порт 3389) — только первый пакет client hello
Вторичный метод:
- Запрашивает DNS-сервер с помощью обратного поиска DNS-адреса IP-адреса (UDP 53)
Для наилучших результатов рекомендуется использовать по крайней мере один из основных методов. Обратный поиск DNS IP-адреса выполняется только в следующих случаях:
- Нет ответа от любого из основных методов.
- Существует конфликт в ответе, полученном из двух или более основных методов.
Примечание.
Проверка подлинности не выполняется ни на одном из портов.
Defender для удостоверений оценивает и определяет операционную систему устройства на основе сетевого трафика. После получения имени компьютера датчик Defender для удостоверений проверка Active Directory и использует отпечатки TCP, чтобы узнать, есть ли сопоставленный объект компьютера с тем же именем компьютера. Использование отпечатков TCP помогает выявлять незарегистрированные и не windows-устройства, помогая в процессе исследования. Когда датчик Defender для удостоверений находит корреляцию, датчик связывает IP-адрес с объектом компьютера.
В случаях, когда имя не извлекается, неразрешенный профиль компьютера по IP-адресу создается с IP-адресом и соответствующим обнаруженным действием.
Данные NNR важны для обнаружения следующих угроз:
- Предполагаемое кражу удостоверений (pass-the-ticket)
- Подозреваемая атака DCSync (реплика tion служб каталогов)
- Рекогносцировка по сетевому сопоставлению (DNS)
Чтобы улучшить возможность определить, является ли оповещение истинным положительным (TP) или ложным положительным (FP), Defender for Identity включает степень определенности именования компьютера, разрешающего в доказательствах каждого оповещения системы безопасности.
Например, если имена компьютеров разрешаются с высокой уверенностью, это повышает уверенность в полученном оповещении системы безопасности в виде истинного положительного или TP.
Доказательства включают время, IP-адрес и имя компьютера, в который был разрешен IP-адрес. Если определенность разрешения низка, используйте эти сведения для изучения и проверки того, какое устройство было истинным источником IP-адреса в настоящее время. После подтверждения устройства можно определить, является ли оповещение ложным срабатыванием или FP, как показано в следующих примерах:
Предполагаемое кражу удостоверений (pass-the-ticket) — оповещение было активировано для того же компьютера.
Подозреваемая атака DCSync (реплика tion of directory services) — оповещение было активировано с контроллера домена.
Рекогносцировка сетевого сопоставления (DNS) — оповещение было активировано с DNS-сервера.
Рекомендации по настройке
NTLM по RPC:
- Убедитесь, что TCP-порт 135 открыт для входящего подключения с датчиков Defender для удостоверений на всех компьютерах в среде.
- Проверьте все сетевые конфигурации (брандмауэры), так как это может препятствовать обмену данными с соответствующими портами.
Netbios:
- Убедитесь, что порт UDP 137 открыт для входящего подключения от Defender для датчиков удостоверений на всех компьютерах в среде.
- Проверьте все сетевые конфигурации (брандмауэры), так как это может препятствовать обмену данными с соответствующими портами.
RDP:
- Убедитесь, что TCP-порт 3389 открыт для входящего подключения от Defender для датчиков удостоверений на всех компьютерах в среде.
- Проверьте все сетевые конфигурации (брандмауэры), так как это может препятствовать обмену данными с соответствующими портами.
Примечание.
- Требуется только один из этих протоколов, но мы рекомендуем использовать все из них.
- Настраиваемые порты RDP не поддерживаются.
Обратный DNS:
- Убедитесь, что датчик может связаться с DNS-сервером и включены зоны обратного поиска.
Проблемы со работоспособностью
Чтобы убедиться, что Defender для удостоверений работает в идеале и среда настроена правильно, Defender для удостоверений проверка состояние разрешения каждого датчика и выдает оповещение о работоспособности для каждого метода, предоставляя список датчиков Defender для удостоверений с низкой скоростью успешного разрешения активных имен с помощью каждого метода.
Примечание.
Чтобы отключить необязательный метод NNR в Defender для удостоверений в соответствии с потребностями вашей среды, откройте вариант поддержки.
Каждое оповещение о работоспособности предоставляет конкретные сведения о методе, датчиках, проблемной политике, а также рекомендации по настройке. Дополнительные сведения о проблемах со работоспособностью см. в разделе Microsoft Defender для удостоверений проблемы с работоспособностью датчика.