Microsoft Defender för identitetsarkitektur

  • Artikel

Microsoft Defender for Identity övervakar dina domänkontrollanter genom att samla in och parsa nätverkstrafik, utnyttja Windows-händelser direkt från dina domänkontrollanter och sedan analysera data för attacker och hot.

Följande bild visar hur Defender för identitet läggs över Microsoft Defender XDR och fungerar tillsammans med andra Microsoft-tjänster- och tredjepartsidentitetsprovidrar för att övervaka trafik som kommer in från domänkontrollanter och Active Directory-servrar.

Diagram of the Defender for Identity architecture.

Defender for Identity-sensorn installeras direkt på domänkontrollanten, Active Directory Federation Services (AD FS) (AD FS) eller Active Directory Certificate Services-servrar (AD CS) och kommer åt händelseloggarna som krävs direkt från servrarna. När loggarna och nätverkstrafiken parsas av sensorn skickar Defender for Identity endast den parsade informationen till molntjänsten Defender för identitet.

Defender for Identity-komponenter

Defender for Identity består av följande komponenter:

  • Microsoft Defender-portalen
    Microsoft Defender-portalen skapar din Defender för identitet-arbetsyta, visar de data som tas emot från Defender för identitetssensorer och gör att du kan övervaka, hantera och undersöka hot i nätverksmiljön.

  • Defender for Identity-sensorn Defender för identitetssensorer kan installeras direkt på följande servrar:

    • Domänkontrollanter: Sensorn övervakar direkt domänkontrollanttrafik, utan behov av en dedikerad server eller konfiguration av portspegling.
    • AD FS/AD CS: Sensorn övervakar direkt nätverkstrafik och autentiseringshändelser.

  • Defender for Identity-molntjänst
    Defender for Identity-molntjänsten körs på Azure-infrastrukturen och distribueras för närvarande i USA, Europa, Australien, östra och Asien. Molntjänsten Defender for Identity är ansluten till Microsofts intelligenta säkerhetsdiagram.

Portalen för Microsoft Defender

Använd Microsoft Defender-portalen för att:

  • Skapa din Defender for Identity-arbetsyta.
  • Integrera med andra Microsoft-säkerhetstjänster.
  • Hantera konfigurationsinställningar för Defender för identitetssensorer.
  • Visa data som tas emot från Defender för identitetssensorer.
  • Övervaka upptäckta misstänkta aktiviteter och misstänkta attacker baserat på modellen för attackdödskedjan.
  • Valfritt: Portalen kan också konfigureras för att skicka e-postmeddelanden och händelser när säkerhetsaviseringar eller hälsoproblem identifieras.

Kommentar

Om ingen sensor har installerats på din Defender for Identity-arbetsyta inom 60 dagar kan arbetsytan tas bort och du måste återskapa den.

Defender för identitetssensor

Defender for Identity-sensorn har följande grundläggande funktioner:

  • Samla in och inspektera nätverkstrafik för domänkontrollanten (lokal trafik för domänkontrollanten)
  • Ta emot Windows-händelser direkt från domänkontrollanterna
  • Ta emot RADIUS-redovisningsinformation från VPN-providern
  • Hämta data om användare och datorer från Active Directory-domänen
  • Utföra en lösning för nätverksentiteter (användare, grupper och datorer)
  • Överföra relevanta data till molntjänsten Defender för identitet

Defender for Identity-sensorn läser händelser lokalt, utan att behöva köpa och underhålla ytterligare maskinvara eller konfigurationer. Defender for Identity-sensorn stöder även händelsespårning för Windows (ETW) som tillhandahåller logginformation för flera identifieringar. ETW-baserade identifieringar omfattar misstänkta DCShadow-attacker som försöker använda replikeringsbegäranden för domänkontrollanter och befordran av domänkontrollanter.

Domänsynkroniseringsprocess

Domänsynkroniseringsprocessen ansvarar för att synkronisera alla entiteter från en specifik Active Directory-domän proaktivt (liknar den mekanism som används av domänkontrollanterna själva för replikering). En sensor väljs automatiskt slumpmässigt från alla dina berättigade sensorer för att fungera som domänsynkronisering.

Om domänsynkronisering är offline i mer än 30 minuter väljs en annan sensor automatiskt i stället.

Resursbegränsningar

Defender for Identity-sensorn innehåller en övervakningskomponent som utvärderar den tillgängliga beräknings- och minneskapaciteten på den server där den körs. Övervakningsprocessen körs var 10:e sekund och uppdaterar kvoten för processor- och minnesanvändning dynamiskt på Defender for Identity-sensorprocessen. Övervakningsprocessen ser till att servern alltid har minst 15 % av de kostnadsfria beräknings- och minnesresurserna tillgängliga.

Oavsett vad som händer på servern frigör övervakningsprocessen kontinuerligt resurser för att se till att serverns kärnfunktioner aldrig påverkas.

Om övervakningsprocessen gör att Defender for Identity-sensorn får slut på resurser övervakas endast partiell trafik och hälsoaviseringen "Tappad port speglad nätverkstrafik" visas på sidan Defender för identitetssensor.

Windows-händelser

För att förbättra täckningen för Identifiering av Defender för identiteter relaterade till NTLM-autentiseringar, ändringar av känsliga grupper och skapande av misstänkta tjänster analyserar Defender for Identity loggarna för specifika Windows-händelser.

Kontrollera att loggarna är lästa genom att kontrollera att defender for Identity-sensorn har avancerade inställningar för granskningsprinciper korrekt konfigurerade. Kontrollera att Windows Event 8004 granskas efter behov av tjänsten genom att granska NTLM-granskningsinställningarna

Gå vidare

Distribuera Microsoft Defender för identitet med Microsoft Defender XDR