Defender för identity VPN-integrering i Microsoft 365 Defender
Gäller för:
- Microsoft 365 Defender
- Defender för identitet
I den här artikeln förklaras hur du integrerar en VPN med Microsoft Defender för identitet i Microsoft 365 Defender.
Viktigt
Som en del av de Microsoft 365 Defenderhar vissa alternativ och information ändrats från sin plats i Defender för identitetsportalen. Läs informationen nedan för att ta reda på var du hittar både de välbekanta och nya funktionerna.
Microsoft Defender for Identity kan samla in redovisningsinformation från VPN-lösningar. När den konfigurerats innehåller användarens profilsida information från VPN-anslutningarna, till exempel IP-adresser och platser varifrån anslutningar kom. Det kompletterar undersökningsprocessen genom att tillhandahålla ytterligare information om användaraktivitet samt en ny identifiering för onormala VPN-anslutningar. Samtalet för att lösa en extern IP-adress till en plats är anonym. Ingen personlig identifierare skickas i det här samtalet.
Defender för identitet integreras med din VPN-lösning genom att lyssna på RADIE-redovisningshändelser som vidarebefordras till Defender för identitet sensorn. Den här mekanismen är baserad på STANDARDRADIE Accounting(RFC 2866)och följande VPN-leverantörer stöds:
- Microsoft
- F5
- Kontrollpunkt
- Cisco ASA
Förhandskrav
För att aktivera VPN-integrering ska du se till att ange följande parametrar:
- Öppna port UDP 1813 för dina Defender för identitet sensorer Defender för identitet och/eller fristående sensorer.
Anteckning
- Genom att aktivera Radieredovisning aktiverar sensorn en företablerad Windows-brandväggsprincip som kallas Sensor för att tillåta inkommande RADIE-redovisning på Defender för identitet porten Microsoft Defender for Identity UDP 1813.
- VPN-integrering stöds inte i miljöer som finns vid Federal Information Processing Standards (FIPS)
I exemplet nedan används Microsoft Routing och Remote Access Server (RRAS) för att beskriva VPN-konfigurationsprocessen.
Om du använder en VPN-lösning från tredje part hittar du anvisningar i dokumentationen för hur DU aktiverar RADIUS Accounting.
Konfigurera RADIUS Accounting på VPN-systemet
Utför följande steg på RRAS-servern.
Öppna routnings- och fjärråtkomstkonsolen.
Högerklicka på servernamnet och välj Egenskaper.
På fliken Säkerhet, under Redovisningsleverantör, väljer du RADIE Redovisning och väljer Konfigurera.

I fönstret Lägg till RADIE-server skriver du servernamnet på den närmaste Defender för identitet sensorn (som har nätverksanslutning). För hög tillgänglighet kan du lägga till ytterligare Defender för identitet sensorer som RADIE-servrar. Kontrollera att standardinställningen för 1813 är konfigurerad under Port. Välj Ändra och skriv en ny delad hemlig sträng med alfanumeriska tecken. Notera den nya delade hemliga strängen eftersom du behöver fylla i den senare under Defender för identitet konfigurationen. Markera meddelanderutan Skicka RADIE-konto på och redovisning av och välj OK för alla öppna dialogrutor.

Konfigurera VPN i Defender för identitet
Defender för identitet samlar in VPN-data som hjälper till att profilera de platser från vilka datorer ansluter till nätverket och kan identifiera misstänkta VPN-anslutningar.
Så här konfigurerar du Defender för identitet VPN-data i Microsoft 365 Defender:
I Microsoft 365 Defendergår du till Inställningar sedan Identiteter.

Välj VPN.
Välj Aktivera radieredovisning och skriv den Delade hemliga som du konfigurerade tidigare på RRAS VPN-servern. Välj sedan Spara.

När det här är aktiverat lyssnar alla Defender för Identity-sensorer på port 1813 efter RADIE-redovisningshändelser och VPN-konfigurationen är klar.
När Defender för identitets sensor tar emot VPN-händelserna och skickar dem till Defender för identitetsmolntjänsten för bearbetning, anger entitetsprofilen distinkta VPN-platser och aktiviteter i profilen anger platser.