архитектура Microsoft Defender для удостоверений
Microsoft Defender для удостоверений отслеживает контроллеры домена путем записи и анализа сетевого трафика, использования событий Windows непосредственно с контроллеров домена, а затем анализирует данные для атак и угроз.
На следующем рисунке показано, как Defender для удостоверений сложен по протоколу XDR в Microsoft Defender и работает вместе с другими поставщиками удостоверений службы Майкрософт и сторонних поставщиков удостоверений для мониторинга трафика, поступающего с контроллеров домена и серверов Active Directory.
Устанавливается непосредственно на контроллере домена, службы федерации Active Directory (AD FS) (AD FS) или серверах служб сертификатов Active Directory (AD CS), датчик Defender для удостоверений обращается к журналам событий, которые требуется непосредственно с серверов. После анализа журналов и сетевого трафика датчиком Defender для удостоверений отправляет только проанализированные сведения в облачную службу Defender для удостоверений.
Компоненты Defender для удостоверений
Defender для удостоверений включает в себя следующие компоненты:
Портал Microsoft Defender
Портал Microsoft Defender создает рабочую область Defender для удостоверений, отображает данные, полученные от датчиков Defender для удостоверений, и позволяет отслеживать, управлять и исследовать угрозы в сетевой среде.Датчики Defender для удостоверений Defender для удостоверений можно установить непосредственно на следующих серверах:
- Контроллеры домена: датчик непосредственно отслеживает трафик контроллера домена без необходимости выделенного сервера или настройки зеркального отображения портов.
- AD FS / AD CS: датчик напрямую отслеживает события сетевого трафика и проверки подлинности.
Облачная служба Defender для удостоверений
Облачная служба Defender для удостоверений работает в инфраструктуре Azure и в настоящее время развертывается в Европе, Великобритании, Швейцарии, Северная Америка/Центральной Америке/Карибском бассейне, Восточной Австралии, Азии и Индии. Облачная служба Defender для удостоверений подключена к Microsoft Intelligent Security Graph.
Портал Microsoft Defender.
Используйте портал Microsoft Defender, чтобы:
- Создайте рабочую область Defender для удостоверений.
- Интеграция с другими службами безопасности Майкрософт.
- Управление параметрами конфигурации датчика удостоверений Defender для удостоверений.
- Просмотр данных, полученных от датчиков Defender для удостоверений.
- Мониторинг обнаруженных подозрительных действий и предполагаемых атак на основе модели цепочки атак.
- Необязательно. Портал также можно настроить для отправки сообщений электронной почты и событий при обнаружении оповещений системы безопасности или проблем со работоспособностью.
Примечание.
Если датчик не установлен в рабочей области Defender для удостоверений в течение 60 дней, рабочая область может быть удалена, и ее потребуется повторно создать.
Датчик Defender для удостоверений
Датчик Defender для удостоверений обеспечивает следующие основные возможности:
- Захват и проверка сетевого трафика контроллера домена (локальный трафик контроллера домена)
- Получение событий Windows непосредственно от контроллеров домена
- Получение сведений об учете RADIUS от поставщика VPN
- Получение данных о пользователях и компьютерах из домена Active Directory
- Разрешение сетевых сущностей (пользователей, групп и компьютеров)
- передача соответствующих данных в облачную службу Defender для удостоверений.
Датчик Defender для удостоверений считывает события локально. Для этого не нужно приобретать и обслуживать дополнительное оборудование или производить настройку. Датчик Defender для удостоверений также поддерживает трассировку событий Windows (ETW), которая позволяет получить сведения журнала для нескольких обнаружений. Обнаружения на основе etw включают подозрительные атаки DCShadow, которые пытались использовать запросы на репликацию контроллера домена и повышение уровня контроллера домена.
Процесс синхронизатора домена
Процесс синхронизатора домена отвечает за синхронизацию всех сущностей из определенного домена Active Directory заранее (аналогично механизму, используемому самими контроллерами домена для репликации). Один датчик автоматически выбирается случайным образом со всех соответствующих датчиков, которые будут использоваться в качестве синхронизатора домена.
Если синхронизатор домена находится в автономном режиме более 30 минут, вместо этого выбирается другой датчик.
Ограничения ресурсов
Датчик Defender для удостоверений включает компонент мониторинга, который оценивает доступную емкость вычислительных ресурсов и памяти на сервере, на котором он работает. Мониторинг выполняется каждые 10 секунд. При этом также осуществляется динамическое обновление квоты использования ресурсов ЦП и памяти для датчика Defender для удостоверений. Процесс мониторинга гарантирует, что сервер всегда имеет не менее 15 % свободных вычислительных ресурсов и ресурсов памяти.
Независимо от того, что происходит на сервере, процесс мониторинга постоянно освобождает ресурсы, чтобы убедиться, что основные функциональные возможности сервера никогда не затрагиваются.
Если процесс мониторинга приводит к нехватке ресурсов датчика Defender для удостоверений, отслеживается только часть трафика, а на странице датчика Defender для удостоверений появляется оповещение о работоспособности "Сетевой трафик зеркально отображенных портов сброшен".
События Windows
Чтобы повысить охват обнаружения удостоверений Defender для идентификации, связанных с проверкой подлинности NTLM, изменения конфиденциальных групп и создание подозрительных служб, Defender для удостоверений анализирует журналы определенных событий Windows.
Чтобы убедиться, что журналы считываются, убедитесь, что датчик Защитника для удостоверений имеет расширенные параметры политики аудита, настроенные правильно. Чтобы убедиться, что событие Windows 8004 выполняется аудит по мере необходимости в службе, просмотрите параметры аудита NTLM.
Следующий шаг
Развертывание Microsoft Defender для удостоверений с помощью XDR в Microsoft Defender