Megosztás a következőn keresztül:

Hálózati névfeloldás a Microsoft Defender for Identity

  • Cikk

A hálózati névfeloldás (NNR) a Microsoft Defender for Identity funkció fő összetevője. A Defender for Identity a hálózati forgalom, a Windows-események és az ETW alapján rögzíti a tevékenységeket – ezek a tevékenységek általában IP-adatokat tartalmaznak.

Az NNR használatával az identitáshoz készült Defender korrelálhat a nyers tevékenységek (IP-címeket tartalmazó) és az egyes tevékenységekben érintett megfelelő számítógépek között. A nyers tevékenységek alapján a Defender for Identity profilok entitásai, beleértve a számítógépeket is, és biztonsági riasztásokat hoznak létre a gyanús tevékenységekhez.

Az IP-címek számítógépnevekre való feloldásához a Defender for Identity érzékelői az alábbi módszerekkel keresik meg az IP-címeket:

Elsődleges metódusok:

  • NTLM RPC-n keresztül (135-ös TCP-port)
  • NetBIOS (137-ös UDP-port)
  • RDP (3389-ös TCP-port) – csak az ügyfél hello első csomagja

Másodlagos módszer:

  • Lekérdezi a DNS-kiszolgálót az IP-cím fordított DNS-keresésével (UDP 53)

A legjobb eredmény érdekében javasoljuk, hogy legalább az egyik elsődleges metódust használja. Az IP-cím fordított DNS-keresésére csak akkor kerül sor, ha:

  • Az elsődleges metódusok egyikéből sem érkezett válasz.
  • Ütközés van a két vagy több elsődleges metódustól kapott válaszban.

Megjegyzés:

Egyik porton sem történik hitelesítés.

A Defender for Identity kiértékeli és meghatározza az eszköz operációs rendszerét a hálózati forgalom alapján. A számítógép nevének lekérése után a Defender for Identity érzékelője ellenőrzi az Active Directoryt, és TCP-ujjlenyomatokkal ellenőrzi, hogy van-e azonos számítógépnévvel rendelkező korrelált számítógép-objektum. A TCP-ujjlenyomatok segítségével azonosíthatja a nem regisztrált és a nem Windows rendszerű eszközöket, ezzel elősegítve a vizsgálati folyamatot. Amikor a Defender for Identity érzékelője megtalálja a korrelációt, az érzékelő társítja az IP-címet a számítógép-objektumhoz.

Azokban az esetekben, amikor nem kér le nevet, az IP-cím alapján létrejön egy megoldatlan számítógépprofil az IP-címmel és a kapcsolódó észlelt tevékenységgel.

Az NNR-adatok kulcsfontosságúak a következő fenyegetések észleléséhez:

  • Személyazonosság-lopás gyanúja (pass-the-ticket)
  • DCSync-támadás gyanúja (címtárszolgáltatások replikálása)
  • Hálózatleképezési felderítés (DNS)

Annak érdekében, hogy jobban meg tudja állapítani, hogy egy riasztás valódi pozitív (TP) vagy hamis pozitív (FP)-e, a Defender for Identity magában foglalja a számítógép elnevezésének bizonyosságát az egyes biztonsági riasztások bizonyítékai között.

Ha például a számítógépnevek feloldása nagy bizonyossággal történik, az növeli az eredményül kapott biztonsági riasztás megbízhatóságát valódi pozitív vagy TP-ként.

A bizonyítékok közé tartozik az IP-cím feloldásának időpontja, IP-címe és számítógépneve. Ha a felbontás bizonyossága alacsony, ezen információk alapján vizsgálja meg és ellenőrizze, hogy jelenleg melyik eszköz volt az IP-cím valódi forrása. Az eszköz megerősítése után megállapíthatja, hogy a riasztás hamis pozitív vagy FP-e, az alábbi példákhoz hasonlóan:

  • Személyazonosság-lopás gyanúja (pass-the-ticket) – a riasztás ugyanarra a számítógépre lett aktiválva.

  • DCSync-támadás (címtárszolgáltatások replikálása) – a riasztást egy tartományvezérlő aktiválta.

  • Hálózatleképezési felderítés (DNS) – a riasztást egy DNS-kiszolgáló aktiválta.

    Bizonyíték bizonyosság.

Konfigurációs javaslatok

  • NTLM RPC-n keresztül:

    • Ellenőrizze, hogy a 135-ös TCP-port nyitva van-e a Defender for Identity-érzékelők bejövő kommunikációjához a környezet összes számítógépén.
    • Ellenőrizze az összes hálózati konfigurációt (tűzfalat), mert ez megakadályozhatja a megfelelő portokkal való kommunikációt.

  • NetBIOS:

    • Ellenőrizze, hogy a 137-ös UDP-port nyitva van-e a Defender for Identity-érzékelők bejövő kommunikációjához a környezet összes számítógépén.
    • Ellenőrizze az összes hálózati konfigurációt (tűzfalat), mert ez megakadályozhatja a megfelelő portokkal való kommunikációt.

  • RDP:

    • Ellenőrizze, hogy a 3389-ös TCP-port nyitva van-e a Defender for Identity-érzékelők bejövő kommunikációjához a környezet összes számítógépén.
    • Ellenőrizze az összes hálózati konfigurációt (tűzfalat), mert ez megakadályozhatja a megfelelő portokkal való kommunikációt.

    Megjegyzés:

    • Ezen protokollok közül csak az egyikre van szükség, de azt javasoljuk, hogy mindegyiket használja.
    • A testreszabott RDP-portok nem támogatottak.

  • Fordított DNS:

    • Ellenőrizze, hogy az érzékelő el tudja-e érni a DNS-kiszolgálót, és hogy a névkeresési zónák engedélyezve vannak-e.

Állapotproblémák

Annak érdekében, hogy a Defender for Identity ideálisan működjön, és a környezet megfelelően legyen konfigurálva, a Defender for Identity ellenőrzi az egyes érzékelők felbontási állapotát, és metódusonként állapotriasztást ad ki, és minden metódussal megjeleníti a Defender for Identity érzékelőinek listáját, amelyekben az aktív névfeloldás alacsony sikerességi arányú.

Megjegyzés:

Ha le szeretne tiltani egy választható NNR-metódust a Defender for Identityben a környezet igényeinek megfelelően, nyisson meg egy támogatási esetet.

Minden állapotriasztás részletesen ismerteti a metódust, az érzékelőket, a problémás szabályzatot, valamint a konfigurációs javaslatokat. További információ az állapotproblémákról: Microsoft Defender for Identity érzékelő állapotproblémái.

Lásd még