Kimlik mimarisi için Microsoft Defender

Kimlik için Microsoft Defender, ağ trafiğini yakalayıp ayrıştırırken, doğrudan etki alanı denetleyicilerinizden Windows olayları kullanarak etki alanı denetleyicileriniz izler, sonra da saldırıları ve tehditler için verileri analiz eder. Profil oluşturma, belirleyici algılama, makine öğrenimi ve davranış algoritmalarının kullanılmasıyla Kimlik için Defender ağınız hakkında bilgi ediniyor, anormalilerin algılanması ve şüpheli etkinlikler hakkında sizi uyarır.

Kimlik için Defender mimarisini

[! DAHIL etme [ürün kısa.] (içerir/ürün-Short. MD)] mimari topolojisi diyagramı

Bu bölümde, Kimlik için Defender Ağ ve olay yakalamanın akışının nasıl çalıştığı açıklanmakta ve ana bileşenlerin işlevleri açıklanmaktadır: Kimlik için Defender Portal, Kimlik için Defender algılayıcı ve Kimlik için Defender bulut hizmeti.

Doğrudan etki alanı denetleyicinize veya AD FS sunucularına yüklendiğinde, Kimlik için Defender algılayıcı doğrudan sunuculardan gereken olay günlüklerine erişir. Günlükler ve ağ trafiği algılayıcı tarafından ayrıştırıldıktan sonra Kimlik için Defender bulut hizmetine yalnızca ayrıştırılmış bilgileri gönderir Kimlik için Defender (yalnızca günlüklerin bir yüzdesi gönderilir).

Kimlik bileşenleri için Defender

Kimlik için Defender aşağıdaki bileşenlerden oluşur:

  • Kimlik için Defender Portal@@
    Kimlik için DefenderPortal, örneğinizin oluşturulmasına izin verir Kimlik için Defender , sensörlerden alınan verileri görüntüler Kimlik için Defender ve ağ ortamınızdaki tehditleri izlemenizi, yönetmenizi ve araştırmanızı sağlar.

  • Kimlik için Defender algılayıcısı
    Kimlik için Defender Algılayıcılar aşağıdaki sunuculara doğrudan yüklenebilir:

    • Etki alanı denetleyicileri: algılayıcı, özel bir sunucu veya bağlantı noktası yansıtma yapılandırmasına gerek kalmadan, etki alanı denetleyicisi trafiğini doğrudan izler.
    • AD FS: algılayıcı, ağ trafiğini ve kimlik doğrulama olaylarını doğrudan izler.
  • Kimlik için Defender bulut hizmeti
    Kimlik için Defender bulut hizmeti Azure altyapısında çalışır ve şu anda ABD, Avrupa ve Asya 'da dağıtılır. Kimlik için Defender bulut hizmeti Microsoft 'un akıllı güvenlik grafiğine bağlandı.

Kimlik için Defender portalı

Portalı kullanarak Kimlik için Defender şunları yapın:

  • Örneğinizi oluşturun Kimlik için Defender
  • Diğer Microsoft Güvenlik hizmetleriyle tümleştirin
  • Kimlik için DefenderAlgılayıcı yapılandırma ayarlarını yönetme
  • Kimlik için DefenderSensörlerden alınan verileri görüntüle
  • İzleyici, saldırı sonlandırma zinciri modeline göre şüpheli etkinlikler ve şüpheli saldırılar algıladı
  • Isteğe bağlı: Portal, güvenlik uyarıları veya sistem durumu sorunları algılandığında e-posta ve olay gönderecek şekilde de yapılandırılabilir

Not

Kimlik için DefenderÖrneğiniz üzerinde 60 gün içinde yüklü bir algılayıcı yoksa, örnek silinebilir ve yeniden oluşturmanız gerekir.

Kimlik algılayıcısı için Defender

Kimlik için DefenderAlgılayıcı aşağıdaki temel işlevlere sahiptir:

  • Etki alanı denetleyicisi ağ trafiğini yakalama ve İnceleme (etki alanı denetleyicisinin yerel trafiği)
  • etki alanı denetleyicilerinden doğrudan Windows olayları alma
  • VPN sağlayıcınızdan RADIUS hesap bilgileri alma
  • Active Directory etki alanından kullanıcılar ve bilgisayarlar hakkındaki verileri alma
  • Ağ varlıklarının (kullanıcılar, gruplar ve bilgisayarlar) çözümlemesini yapma
  • İlgili verileri Kimlik için Defender bulut hizmetine aktarma

Kimlik algılayıcısı için Defender özellikleri

Kimlik için Defender algılayıcı, ek donanım veya yapılandırmaların satın alınması ve saklanması gerekmeden olayları yerel olarak okur. Kimlik için Defenderalgılayıcı ayrıca birden çok algılama için günlük bilgilerini sağlayan Windows (ETW) için olay izlemeyi destekler. ETW tabanlı algılamalar, etki alanı denetleyicisi çoğaltma istekleri ve etki alanı denetleyicisi yükseltmesi kullanılarak denenen DCShadow saldırıları içerir.

Etki alanı Eşitleyici işlemi

Etki alanı Eşitleyici işlemi, belirli bir Active Directory etki alanındaki tüm varlıkların (etki alanı denetleyicileri tarafından çoğaltma için kullanılan mekanizmaya benzer şekilde), tüm varlıkları karşı eşitlemeden sorumludur. Bir algılayıcı otomatik olarak, tüm uygun sensörlerinizin etki alanı Eşitleyici olarak kullanılacak şekilde rastgele seçilir.

Etki alanı Eşitleyici 30 dakikadan uzun bir süre çevrimdışı kalırsa, bunun yerine başka bir algılayıcı otomatik olarak seçilir.

Kaynak sınırlamaları

Kimlik için DefenderAlgılayıcı, üzerinde çalıştığı etki alanı denetleyicisindeki kullanılabilir işlem ve bellek kapasitesini değerlendiren bir izleme bileşeni içerir. İzleme işlemi 10 saniyede bir çalışır ve algılayıcı işlemindeki CPU ve bellek kullanımı kotasını dinamik olarak güncelleştirir Kimlik için Defender . İzleme işlemi, etki alanı denetleyicisinin her zaman en az %15 boş işlem ve bellek kaynağı kullanılabilir olmasını sağlar.

Etki alanı denetleyicisinde ne olursa olsun, izleme işlemi, etki alanı denetleyicisinin temel işlevlerinin hiç etkilenmeyeceğinden emin olmak için kaynakları sürekli olarak boşaltır.

İzleme işlemi Kimlik için Defender algılayıcının kaynak tükenmesine neden oluyorsa, Kimlik için Defender Portal sistem durumu sayfasında yalnızca kısmi trafik izlenir ve "bağlantı noktası yansıtılmış ağ trafiği bırakıldı" sistem durumu uyarısı görüntülenir.

Windows Olayları

Kimlik için DefenderNTLM kimlik doğrulamaları, hassas gruplarda yapılan değişiklikler ve şüpheli hizmetlerin oluşturulması ile ilgili algılama kapsamını iyileştirmek için, Kimlik için Defender burada listelenen Windows olaylarınıngünlüklerini analiz etmek gerekir. Bu olaylar, Kimlik için Defender doğru Gelişmiş denetim ilkesi ayarlarıylaalgılayıcılar tarafından otomatik olarak okunabilir. Windows olay 8004 ' nin hizmet tarafından gerektiği şekilde denetlenmekte olduğundan emin olmak için, NTLM denetim ayarlarınızıgözden geçirin.

Sonraki adımlar