Kimlik için Microsoft Defender'da Ağ Adı Çözümlemesi

  • Makale

Ağ Adı Çözümlemesi (NNR), Kimlik için Microsoft Defender işlevselliğinin ana bileşenidir. Kimlik için Defender ağ trafiğine, Windows olaylarına ve ETW'ye göre etkinlikleri yakalar. Bu etkinlikler normalde IP verilerini içerir.

Kimlik için Defender, NNR kullanarak ham etkinlikler (IP adresleri içeren) ve her etkinlikte yer alan ilgili bilgisayarlar arasında bağıntı kurabilir. Ham etkinliklere bağlı olarak, Kimlik için Defender bilgisayarlar da dahil olmak üzere varlıkları profiller ve şüpheli etkinlikler için güvenlik uyarıları oluşturur.

IP adreslerini bilgisayar adlarına çözümlemek için Kimlik için Defender algılayıcıları aşağıdaki yöntemleri kullanarak IP adreslerini arar:

Birincil yöntemler:

  • RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
  • NetBIOS (UDP bağlantı noktası 137)
  • RDP (TCP bağlantı noktası 3389) - yalnızca İstemci hello'nun ilk paketi

İkincil yöntem:

  • IP adresinin ters DNS aramasını kullanarak DNS sunucusunu sorgular (UDP 53)

En iyi sonuçlar için birincil yöntemlerden en az birini kullanmanızı öneririz. IP adresinin TERS DNS araması yalnızca aşağıdaki durumlarda gerçekleştirilir:

  • Birincil yöntemlerin hiçbirinden yanıt yok.
  • İki veya daha fazla birincil yöntemden alınan yanıtta çakışma var.

Not

Bağlantı noktalarının hiçbirinde kimlik doğrulaması yapılmaz.

Kimlik için Defender, cihaz işletim sistemini ağ trafiğine göre değerlendirir ve belirler. Bilgisayar adını aldıktan sonra Kimlik için Defender algılayıcısı Active Directory'yi denetler ve aynı bilgisayar adına sahip bağıntılı bir bilgisayar nesnesi olup olmadığını görmek için TCP parmak izlerini kullanır. TCP parmak izlerinin kullanılması, kayıtlı olmayan ve Windows dışı cihazların tanımlanmasına yardımcı olur ve araştırma sürecinize yardımcı olur. Kimlik için Defender algılayıcısı bağıntıyı bulduğunda, algılayıcı IP'yi bilgisayar nesnesiyle ilişkilendirir.

Ad alınmadığı durumlarda, IP ve ilgili algılanan etkinlik ile IP tarafından çözümlenmemiş bir bilgisayar profili oluşturulur.

NNR verileri aşağıdaki tehditleri algılamak için çok önemlidir:

  • Şüpheli kimlik hırsızlığı (pass-the-ticket)
  • Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltılmışı)
  • Ağ eşleme keşfi (DNS)

Bir uyarının Gerçek Pozitif (TP) veya Hatalı Pozitif (FP) olup olmadığını belirleme yeteneğinizi geliştirmek için Kimlik için Defender, her güvenlik uyarısının kanıtına bilgisayar adlandırma çözümlemesinin kesinlik derecesini içerir.

Örneğin, bilgisayar adları yüksek bir kesinlikle çözümlendiğinde, gerçek pozitif veya TP olarak elde edilen güvenlik uyarısının güvenilirliği artar.

Kanıt, IP'nin çözümlendiği zamanı, IP'yi ve bilgisayar adını içerir. Çözüm kesinliği düşük olduğunda, şu anda hangi cihazın IP'nin gerçek kaynağı olduğunu araştırmak ve doğrulamak için bu bilgileri kullanın. Cihazı onayladıktan sonra uyarının aşağıdaki örneklere benzer şekilde Hatalı Pozitif mi yoksa FP mi olduğunu belirleyebilirsiniz:

  • Şüpheli kimlik hırsızlığı (anahtar geçişi) – uyarı aynı bilgisayar için tetiklendi.

  • Şüpheli DCSync saldırısı (dizin hizmetlerini çoğaltma) – uyarı bir etki alanı denetleyicisinden tetiklendi.

  • Ağ eşleme keşfi (DNS) – uyarı bir DNS Sunucusundan tetiklendi.

    Kesin kanıt.

Yapılandırma önerileri

  • RPC üzerinden NTLM:

    • Ortamdaki tüm bilgisayarlarda Kimlik Algılayıcıları için Defender'dan gelen iletişim için TCP Bağlantı Noktası 135'in açık olup olmadığını denetleyin.
    • Tüm ağ yapılandırmasını (güvenlik duvarlarını) denetleyin, bu da ilgili bağlantı noktalarıyla iletişimi engelleyebilir.

  • Netbıos:

    • UDP Bağlantı Noktası 137'nin ortamdaki tüm bilgisayarlarda Kimlik Algılayıcıları için Defender'dan gelen iletişim için açık olup olmadığını denetleyin.
    • Tüm ağ yapılandırmasını (güvenlik duvarlarını) denetleyin, bu da ilgili bağlantı noktalarıyla iletişimi engelleyebilir.

  • RDP:

    • Ortamdaki tüm bilgisayarlarda Kimlik Algılayıcıları için Defender'dan gelen iletişim için TCP Bağlantı Noktası 3389'un açık olup olmadığını denetleyin.
    • Tüm ağ yapılandırmasını (güvenlik duvarlarını) denetleyin, bu da ilgili bağlantı noktalarıyla iletişimi engelleyebilir.

    Not

    • Bu protokollerden yalnızca biri gereklidir, ancak bunların tümünü kullanmanızı öneririz.
    • Özelleştirilmiş RDP bağlantı noktaları desteklenmez.

  • Ters DNS:

    • Algılayıcı'nın DNS sunucusuna ulaşıp ulaşmadığını ve Geriye Doğru Arama Bölgelerinin etkinleştirilip etkinleştirilmediğini denetleyin.

Sistem durumu sorunları

Kimlik için Defender'ın ideal şekilde çalıştığından ve ortamın doğru yapılandırıldığından emin olmak için, Kimlik için Defender her algılayıcının çözümleme durumunu denetler ve yöntem başına bir sistem durumu uyarısı vererek her yöntemi kullanarak kimlik için Defender algılayıcılarının başarı oranı düşük olan etkin ad çözümlemesi listesini sağlar.

Not

Kimlik için Defender'da ortamınızın gereksinimlerine uyacak isteğe bağlı bir NNR yöntemini devre dışı bırakmak için bir destek olayı açın.

Her sistem durumu uyarısı yöntemin, algılayıcıların, sorunlu ilkenin ve yapılandırma önerilerinin belirli ayrıntılarını sağlar. Sistem durumu sorunları hakkında daha fazla bilgi için bkz. algılayıcı sistem durumu sorunları Kimlik için Microsoft Defender.

Ayrıca bkz: