Partilhar via

Resolução de Nomes de Rede no Microsoft Defender para Identidade

  • Artigo

A Resolução de Nomes de Rede (NNR) é um componente principal da funcionalidade Microsoft Defender para Identidade. O Defender para Identidade captura atividades com base no tráfego de rede, eventos do Windows e ETW . Normalmente, estas atividades contêm dados IP.

Com o NNR, o Defender para Identidade pode correlacionar-se entre as atividades não processadas (que contêm endereços IP) e os computadores relevantes envolvidos em cada atividade. Com base nas atividades não processadas, o Defender para Identidade cria perfis de entidades, incluindo computadores, e gera alertas de segurança para atividades suspeitas.

Para resolver endereços IP para nomes de computadores, os sensores do Defender para Identidade procuram os endereços IP com os seguintes métodos:

Métodos principais:

  • NTLM através de RPC (Porta TCP 135)
  • NetBIOS (porta UDP 137)
  • RDP (porta TCP 3389) – apenas o primeiro pacote do Client hello

Método secundário:

  • Consulta o servidor DNS com a pesquisa de DNS inversa do endereço IP (UDP 53)

Para obter os melhores resultados, recomendamos a utilização de, pelo menos, um dos métodos principais. A pesquisa de DNS inversa do endereço IP só é efetuada quando:

  • Não há resposta de nenhum dos métodos principais.
  • Existe um conflito na resposta recebida de dois ou mais métodos primários.

Nota

Não é efetuada qualquer autenticação em nenhuma das portas.

O Defender para Identidade avalia e determina o sistema operativo do dispositivo com base no tráfego de rede. Depois de obter o nome do computador, o sensor do Defender para Identidade verifica o Active Directory e utiliza impressões digitais TCP para ver se existe um objeto de computador correlacionado com o mesmo nome de computador. A utilização de impressões digitais TCP ajuda a identificar dispositivos não registados e não Windows, ajudando no processo de investigação. Quando o sensor do Defender para Identidade encontra a correlação, o sensor associa o IP ao objeto do computador.

Nos casos em que não é obtido nenhum nome, é criado um perfil de computador não resolvido por IP com o IP e a atividade detetada relevante.

Os dados NNR são cruciais para detetar as seguintes ameaças:

  • Suspeita de roubo de identidade (passagem da permissão)
  • Ataque DCSync suspeito (replicação de serviços de diretório)
  • Reconhecimento de mapeamento de rede (DNS)

Para melhorar a sua capacidade de determinar se um alerta é um Verdadeiro Positivo (TP) ou Falso Positivo (FP), o Defender para Identidade inclui o grau de certeza de que a nomenclatura do computador é resolvida na prova de cada alerta de segurança.

Por exemplo, quando os nomes dos computadores são resolvidos com elevada certeza , aumenta a confiança no alerta de segurança resultante como Um Verdadeiro Positivo ou TP.

As provas incluem a hora, o IP e o nome do computador para o qual o IP foi resolvido. Quando a certeza de resolução for baixa, utilize estas informações para investigar e verificar qual era a verdadeira origem do IP neste momento. Depois de confirmar o dispositivo, pode determinar se o alerta é um Falso Positivo ou FP, semelhante aos seguintes exemplos:

  • Suspeita de roubo de identidade (passagem da permissão) – o alerta foi acionado para o mesmo computador.

  • Ataque DCSync suspeito (replicação de serviços de diretório) – o alerta foi acionado a partir de um controlador de domínio.

  • Reconhecimento de mapeamento de rede (DNS) – o alerta foi acionado a partir de um Servidor DNS.

    Prova de certeza.

Recomendações de configuração

  • NTLM através de RPC:

    • Verifique se a Porta TCP 135 está aberta para comunicação de entrada a partir dos Sensores do Defender para Identidade, em todos os computadores no ambiente.
    • Verifique todas as configurações de rede (firewalls), uma vez que isto pode impedir a comunicação com as portas relevantes.

  • NetBIOS:

    • Verifique se a Porta UDP 137 está aberta para comunicação de entrada a partir dos Sensores do Defender para Identidade, em todos os computadores no ambiente.
    • Verifique todas as configurações de rede (firewalls), uma vez que isto pode impedir a comunicação com as portas relevantes.

  • RDP:

    • Verifique se a Porta TCP 3389 está aberta para comunicação de entrada a partir dos Sensores do Defender para Identidade, em todos os computadores no ambiente.
    • Verifique todas as configurações de rede (firewalls), uma vez que isto pode impedir a comunicação com as portas relevantes.

    Nota

    • Só é necessário um destes protocolos, mas recomendamos a utilização de todos.
    • As portas RDP personalizadas não são suportadas.

  • DNS Inverso:

    • Verifique se o Sensor consegue aceder ao servidor DNS e se as Zonas de Pesquisa Inversa estão ativadas.

Problemas de estado de funcionamento

Para garantir que o Defender para Identidade está a funcionar idealmente e que o ambiente está configurado corretamente, o Defender para Identidade verifica o estado de resolução de cada sensor e emite um alerta de estado de funcionamento por método, fornecendo uma lista dos sensores do Defender para Identidade com baixa taxa de êxito de resolução de nomes ativos através de cada método.

Nota

Para desativar um método NNR opcional no Defender para Identidade para se adequar às necessidades do seu ambiente, abra um pedido de suporte.

Cada alerta de estado de funcionamento fornece detalhes específicos do método, sensores, a política problemática, bem como recomendações de configuração. Para obter mais informações sobre problemas de estado de funcionamento, veja Microsoft Defender para Identidade problemas de estado de funcionamento do sensor.

See Also