Microsoft Defender for Identity arkitektur

  • Artikel
  • 3 minuter för att läsa

Microsoft Defender for Identity övervakar domänkontrollanterna genom att samla in och parsa nätverkstrafik och utnyttja Windows-händelser direkt från domänkontrollanterna och sedan analysera data för attacker och hot. Genom att använda profilering, deterministisk identifiering, maskininlärning och beteendealgoritmer lär sig Defender for Identity om ditt nätverk, möjliggör identifiering av avvikelser och varnar dig om misstänkta aktiviteter.

Defender för identitetsarkitektur:

Topologidiagram för Defender för identitetsarkitektur

Det här avsnittet beskriver hur flödet av Defender för identitetsnätverk och händelseinfångning fungerar och går nedåt för att beskriva funktionerna i huvudkomponenterna: Defender för identitetsportalen, Defender för identitetssensor och Defender för identitetsmolntjänst.

Defender for Identity-sensorn installeras direkt på domänkontrollanten eller AD FS-servrar och kommer åt händelseloggarna som krävs direkt från servrarna. När loggarna och nätverkstrafiken har parsats av sensorn skickar Defender for Identity endast den tolkade informationen till molntjänsten Defender for Identity (endast en procentandel av loggarna skickas).

Defender för identitetskomponenter

Defender for Identity består av följande komponenter:

  • Defender for Identity-portalen
    Med Defender for Identity-portalen kan du skapa din Defender for Identity-instans, visa data som tas emot från Defender för identitetssensorer och övervaka, hantera och undersöka hot i nätverksmiljön.

  • Defender för identitetssensor
    Defender för identitetssensorer kan installeras direkt på följande servrar:

    • Domänkontrollanter:Sensorn övervakar direkt domänkontrollanttrafik, utan behov av en dedikerad server eller konfiguration av portspegling.
    • AD FS:Sensorn övervakar nätverkstrafik och autentiseringshändelser direkt.

  • Defender för identitetsmolntjänst
    Defender for Identity-molntjänsten körs på Azure-infrastrukturen och är för närvarande distribuerad i USA, Europa och Asien. Defender for Identity-molntjänsten är ansluten till Microsofts intelligenta säkerhetsdiagram.

Defender for Identity-portalen

Använd Defender för identitetsportalen för att:

  • Skapa din Defender for Identity-instans
  • Integrera med andra Microsoft-säkerhetstjänster
  • Hantera konfigurationsinställningar för Defender för identitetssensorer
  • Visa data som tas emot från Defender för identitetssensorer
  • Övervaka identifierade misstänkta aktiviteter och misstänkta attacker baserat på attackkedjans modell
  • Valfritt:Portalen kan också konfigureras för att skicka e-postmeddelanden och händelser när säkerhetsaviseringar eller hälsoproblem identifieras

Anteckning

Om ingen sensor har installerats på din Defender for Identity-instans inom 60 dagar kan instansen tas bort och du måste återskapa den.

Defender för identitetssensor

Defender for Identity-sensorn har följande grundläggande funktioner:

  • Samla in och inspektera domänkontrollantens nätverkstrafik (lokal trafik för domänkontrollanten)
  • Ta Windows händelser direkt från domänkontrollanterna
  • Ta emot RADIUS-redovisningsinformation från VPN-providern
  • Hämta information om användare och datorer från Active Directory-domänen
  • Matcha nätverksentiteter (användare, grupper och datorer)
  • Överföra relevanta data till Defender for Identity-molntjänsten

Defender för identitetssensorfunktioner

Defender for Identity Sensor läser händelser lokalt, utan att du behöver köpa och underhålla ytterligare maskinvara eller konfigurationer. Defender for Identity-sensorn stöder även Event Tracing for Windows (ETW) som tillhandahåller logginformation för flera identifieringar. ETW-baserade identifieringar omfattar misstänkta DCShadow-attacker som försöker använda begäranden om domänkontrollantreplikering och befordran av domänkontrollanter.

Process för domänsynkronare

Domänsynkroniseringsprocessen ansvarar för att proaktivt synkronisera alla entiteter från en specifik Active Directory-domän (liknar den mekanism som används av själva domänkontrollanterna för replikering). En sensor väljs automatiskt slumpmässigt från alla dina berättigade sensorer för att fungera som domänsynkronisering.

Om domänsynkronkännaren är offline i mer än 30 minuter väljs en annan sensor automatiskt i stället.

Resursbegränsningar

Defender for Identity-sensorn innehåller en övervakningskomponent som utvärderar den tillgängliga beräknings- och minneskapaciteten på den domänkontrollant där den körs. Övervakningsprocessen körs var 10:e sekund och uppdaterar dynamiskt CPU- och minnesanvändningskvoten i defender för identitetssensorprocessen. Övervakningsprocessen ser till att domänkontrollanten alltid har minst 15 % lediga beräknings- och minnesresurser tillgängliga.

Oavsett vad som händer på domänkontrollanten frigör övervakningsprocessen kontinuerligt resurser för att säkerställa att domänkontrollantens kärnfunktioner aldrig påverkas.

Om övervakningsprocessen gör att Defender for Identity-sensorn får slut på resurser övervakas endast partiell trafik och hälsoaviseringen "Ignorerad portspeglingstrafik" visas på hälsosidan för Defender for Identity-portalen.

Windows-händelser

För att förbättra defender för identitetsidentifieringstäckning som rör NTLM-autentiseringar, ändringar av känsliga grupper och skapande av misstänkta tjänster måste Defender for Identity analysera loggarna för de Windows-händelsersom anges här. Dessa händelser läses automatiskt av Defender för identitetssensorer med rätt avancerade principinställningar för granskning. Kontrollera att Windows händelse 8004 granskas efter behov av tjänsten genom att granska NTLM-granskningsinställningarna.

Nästa steg