適用於身分識別的 Microsoft Defender架構

  • 發行項

適用於身分識別的 Microsoft Defender 藉由擷取和剖析網路流量來監視域控制器,並直接從您的域控制器利用 Windows 事件,然後分析攻擊和威脅的數據。

下圖顯示適用於身分識別的Defender如何分層 Microsoft Defender 全面偵測回應,並與其他 Microsoft 服務和第三方識別提供者合作,以監視來自域控制器和Active Directory 伺服器的流量。

Diagram of the Defender for Identity architecture.

直接安裝在域控制器、Active Directory 同盟服務 (AD FS) 或 Active Directory 憑證服務 (AD CS) 伺服器上,Defender for Identity 感測器會直接從伺服器存取所需的事件記錄檔。 感測器剖析記錄和網路流量之後,適用於身分識別的 Defender 只會將剖析的資訊傳送給適用於身分識別的 Defender 雲端服務。

適用於身分識別的Defender元件

適用於身分識別的 Defender 包含下列元件:

  • Microsoft Defender 入口網站
    Microsoft Defender 入口網站會建立適用於身分識別的 Defender 工作區、顯示從適用於身分識別的 Defender 感測器接收的數據,並可讓您監視、管理及調查網路環境中的威脅。

  • 適用於身分識別的 Defender 感測器 適用於身分識別的 Defender 感測器可以直接安裝在下列伺服器上:

    • 域控制器:感測器會直接監視域控制器流量,而不需要專用伺服器或埠鏡像的設定。
    • AD FS / AD CS:感測器會直接監視網路流量和驗證事件。

  • 適用於身分識別的Defender雲端服務
    適用於身分識別的Defender雲端服務會在 Azure 基礎結構上執行,目前部署在美國、歐洲、澳大利亞東部和亞洲。 適用於身分識別的 Defender 雲端服務會連線到 Microsoft 的 Intelligent Security Graph。

Microsoft Defender 入口網站

使用 Microsoft Defender 入口網站來:

  • 建立適用於身分識別的Defender工作區。
  • 與其他 Microsoft 安全性服務整合。
  • 管理適用於身分識別的Defender感測器組態設定。
  • 檢視從適用於身分識別的 Defender 感測器接收的數據。
  • 根據攻擊終止鏈模型監視偵測到可疑的活動和可疑攻擊。
  • 選擇性:您也可以將入口網站設定為在偵測到安全性警示或健康情況問題時傳送電子郵件和事件。

注意

如果在 60 天內未在適用於身分識別的 Defender 工作區上安裝任何感測器,可能會刪除工作區,而您必須重新建立該工作區。

適用於身分識別的Defender感測器

適用於身分識別的Defender感測器具有下列核心功能:

  • 擷取並檢查域控制器網路流量(域控制器的本機流量)
  • 直接從域控制器接收 Windows 事件
  • 從 VPN 提供者接收 RADIUS 會計資訊
  • 從 Active Directory 網域擷取使用者和計算機的相關數據
  • 執行網路實體解析(使用者、群組和電腦)
  • 將相關數據傳輸到適用於身分識別的Defender雲端服務

適用於身分識別的 Defender 感測器會在本機讀取事件,而不需要購買和維護額外的硬體或組態。 適用於身分識別的 Defender 感測器也支援 Windows 事件追蹤 (ETW),其提供多個偵測的記錄資訊。 以 ETW 為基礎的偵測包括使用域控制器複寫要求和域控制器升級嘗試的可疑 DCShadow 攻擊。

網域同步器進程

網域同步器程式負責主動同步處理特定 Active Directory 網域的所有實體(類似於域控制器本身用於複寫的機制)。 系統會自動從所有合格感測器隨機選擇一個感測器,以作為網域同步器。

如果網域同步器離線超過30分鐘,則會改為自動選擇另一個感測器。

資源限制

適用於身分識別的 Defender 感測器包含監視元件,可評估其執行所在的伺服器上可用的計算和記憶體容量。 監視程式每隔 10 秒執行一次,並在適用於身分識別的 Defender 感測器程式上動態更新 CPU 和記憶體使用率配額。 監視程式可確保伺服器一律至少有 15% 的可用可用計算和記憶體資源。

無論伺服器上發生什麼情況,監視程式都會持續釋放資源,以確保伺服器的核心功能永遠不會受到影響。

如果監視程式導致適用於身分識別的Defender感測器用盡資源,則只會監視部分流量,且健康情況警示「已卸除的埠鏡像網路流量」會出現在適用於身分識別的Defender感測器頁面中。

Windows 事件

為了增強與 NTLM 驗證、敏感性群組修改和建立可疑服務相關的適用於身分識別的 Defender 偵測涵蓋範圍,Defender for Identity 會分析特定 Windows 事件的記錄

若要確保已讀取記錄,請確定適用於身分識別的 Defender 感測器已正確設定進階審核策略設定。 若要確定 服務需要稽核 Windows 事件 8004,請檢閱您的 NTLM 稽核設定

後續步驟

使用 Microsoft Defender 全面偵測回應 部署 適用於身分識別的 Microsoft Defender