Microsoft Defender for Identity 体系结构

Microsoft Defender for Identity 通过直接从域控制器捕获和分析网络流量及利用 Windows 事件来监控域控制器,然后分析数据是否受到攻击和威胁。 Defender for Identity 利用分析、确定性检测、机器学习和行为算法,可了解你的网络,启用异常检测,并在出现可疑活动时发出警告。

Defender for Identity 体系结构:

Defender for Identity 体系结构拓扑示意图

本节介绍 Defender for Identity 的网络和事件捕获流的工作方式,并深化介绍主要组件的功能:Defender for Identity 门户、Defender for Identity 传感器和 Defender for Identity 云服务。

直接安装在域控制器或 AD FS 服务器上,Defender for Identity 传感器直接从服务器访问所需的事件日志。 在传感器对这些日志和网络流量进行分析后,Defender for Identity 仅将此分析信息发送到 Defender for Identity 云服务(只发送一部分日志)。

Defender for Identity 组件

Defender for Identity 包括以下组件:

  • Defender for Identity 门户
    借助 Defender for Identity 门户,可创建 Defender for Identity 实例,显示从 Defender for Identity 传感器接收的数据,还可监视、管理和调查网络环境中的威胁。

  • Defender for Identity 传感器
    Defender for Identity 传感器可以直接安装在以下服务器上:

    • 域控制器:传感器直接监控域控制器流量,无需专用服务器或端口镜像配置。
    • AD FS:传感器直接监视网络流量和身份验证事件。
  • Defender for Identity 云服务
    Defender for Identity 云服务在 Azure 基础结构上运行,目前在美国、欧洲和亚洲进行部署。 Defender for Identity 云服务已连接到 Microsoft 的 Intelligent Security Graph。

Defender for Identity 门户

使用 Defender for Identity 门户执行以下操作:

  • 创建 Defender for Identity 实例
  • 与其他 Microsoft 安全服务集成
  • 管理 Defender for Identity 传感器配置设置
  • 查看从 Defender for Identity 传感器接收的数据
  • 根据攻击杀伤链模型,监视检测到的可疑活动和可疑攻击
  • 可选:门户网站还可配置为在检测到安全警报或运行状况问题时发送电子邮件和事件

备注

如果 60 天内未在 Defender for Identity 实例中安装传感器,此实例可能会遭删除,需要重新创建。

Defender for Identity 传感器

Defender for Identity 传感器具有以下核心功能:

  • 捕获并检查域控制器网络流量(域控制器的本地流量)
  • 直接从域控制器接收 Windows 事件
  • 从 VPN 提供商接收 RADIUS 记帐信息
  • 从 Active Directory 域检索有关用户和计算机的数据
  • 执行网络实体(用户、组和计算机)解析
  • 将相关数据传输到 Defender for Identity 云服务

Defender for Identity 传感器功能

Defender for Identity 传感器在本地读取事件,无需购买和维护额外的硬件或配置。 Defender for Identity 传感器还支持 Windows 事件跟踪 (ETW),它提供多个检测的日志信息。 基于 ETW 的检测包括使用域控制器复制请求和域控制器提升尝试的可疑 DCShadow 攻击。

域同步器过程

域同步器过程负责主动同步特定 Active Directory 域中的所有实体(类似于域控制器自身复制时使用的机制)。 从所有符合条件的传感器中随机自动选择一个传感器用作域同步器。

如果域同步器脱机超过 30 分钟,则自动改选其他传感器。

资源限制

Defender for Identity 传感器包括一个监视组件,该组件可计算运行它的域控制器上的可用计算和内存容量。 监视过程每 10 秒运行一次,并动态更新 Defender for Identity 传感器进程上的 CPU 和内存利用率配额。 监视过程可确保域控制器始终至少具有 15% 的可用计算和内存资源。

无论域控制器上发生什么情况,此监视过程始终会释放资源,以确保域控制器的核心功能决不受影响。

如果此监视过程导致 Defender for Identity 传感器用尽所有资源,则仅监视部分流量,且 Defender for Identity 门户“运行状况”页上将显示运行状况警报“已删除端口镜像的网络流量”。

Windows 事件

为了增大 Defender for Identity 关于 NTLM 身份验证、对敏感组的修改以及可疑服务创建的检测范围,Defender for Identity 需要分析此处列出的 Windows 事件的日志。 使用正确的高级审核策略设置,Defender for Identity 传感器会自动读取这些事件。 请查看 NTLM 审核设置,以确保按照服务需求审核 Windows 事件 8004

后续步骤