適用於身分識別的Defender VPN整合Microsoft Defender 全面偵測回應

  • 發行項

適用於身分識別的 Microsoft Defender 可以接聽轉送至適用於身分識別的Defender感測器的RADIUS帳戶事件,例如連線來源的IP位址和位置,來與您的 VPN 解決方案整合。 VPN 會計數據可協助您的調查,提供用戶活動的詳細資訊,例如計算機連線到網路的位置,以及異常 VPN 連線的額外偵測。

適用於身分識別的 Defender VPN 整合是以標準 RADIUS 會計(RFC 2866)為基礎,並支援下列 VPN 廠商:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

遵守聯邦資訊處理標準 (FIPS) 的環境中不支援 VPN 整合

適用於身分識別的 Defender VPN 整合同時支援主要 UPN 和替代用戶主體名稱。 將外部IP位址解析為位置的呼叫是匿名的,而且呼叫中不會傳送任何個人識別碼。

必要條件

開始之前,請確定您有:

  • 已部署 適用於身分識別的 Microsoft Defender

  • Microsoft Defender 全面偵測回應 中 設定 區域的存取權。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 角色群組

  • 在 VPN 系統上設定 RADIUS 的能力。

    本文提供如何使用 Microsoft 路由和遠端存取伺服器 (RRAS) 設定 適用於身分識別的 Microsoft Defender 從 VPN 解決方案收集會計資訊的範例。 如果您使用第三方 VPN 解決方案,請參閱其檔,以取得如何啟用 RADIUS 帳戶的指示。

注意

當您設定 VPN 整合時,適用於身分識別的 Defender 感測器會啟用預先布建的 Windows 防火牆原則,稱為 適用於身分識別的 Microsoft Defender Sensor。 此原則允許埠 UDP 1813 上的傳入 RADIUS 帳戶。

在您的 VPN 系統上設定 RADIUS 帳戶

此程式描述如何在 RRAS 伺服器上設定 RADIUS 帳戶,以整合 VPN 系統與適用於身分識別的 Defender。 您的系統指示可能會有所不同。

在您的 RRAS 伺服器上

  1. 開啟 [路由] 和 [ 遠端存取] 主控台。

  2. 以滑鼠右鍵按下伺服器名稱,然後選取 [ 屬性]。

  3. 在 [安全性] 索引標籤的 [會計提供者] 底下,選取 [RADIUS 帳戶設定>]。 例如:

    Screenshot of the Security tab.

  4. 在 [ 新增 RADIUS 伺服器 ] 對話框中,輸入 具有網路連線能力之最接近的適用於身分識別的 Defender 感測器的伺服器名稱 。 為了達到高可用性,您可以將更多適用於身分識別的 Defender 感測器新增為 RADIUS 伺服器。

  5. 在 [埠] 底下,確定 的預設值1813已設定。

  6. 選取 [變更 ],然後輸入新的英數位元共用秘密字串。 請記下新的共享密碼字串,因為稍後在適用於身分識別的 Defender 中設定 VPN 整合時會用到此字串。

  7. 核取 [ 傳送 RADIUS 帳戶開啟] 和 [會計關閉] 訊息 方塊,然後選取 [所有開啟] 對話方塊上的 [ 確定 ]。 例如:

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

在適用於身分識別的Defender中設定 VPN

此程式描述如何在 Microsoft Defender 全面偵測回應 中設定適用於身分識別的Defender VPN整合。

  1. 登入 Microsoft Defender 全面偵測回應,然後選取 [設定>][標識符>VPN]。

  2. 選取 [ 啟用半徑會計] ,然後輸入 您先前在 RRAS VPN 伺服器上設定的共享密碼 。 例如:

    Screenshot of the Enable radius accounting option.

  3. 選取 [儲存] 以繼續。

儲存選取項目之後,適用於身分識別的 Defender 感測器會開始接聽埠 1813 的 RADIUS 會計事件,且您的 VPN 設定已完成。

當適用於身分識別的 Defender 感測器收到 VPN 事件,並將其傳送至適用於身分識別的 Defender 雲端服務進行處理時,實體配置檔會指出已存取的不同 VPN 位置,而配置檔活動則表示位置。

相關內容

如需詳細資訊,請參閱 設定事件集合