Aracılığıyla paylaş

Kimlik için Microsoft Defender'da Ağ Adı Çözümlemesi

  • Makale

Ağ Adı Çözümlemesi (NNR), Kimlik için Microsoft Defender işlevselliğin ana bileşenidir. Kimlik için Defender ağ trafiğine, Windows olaylarına ve ETW'ye göre etkinlikleri yakalar. Bu etkinlikler normalde IP verilerini içerir.

Kimlik için Defender, NNR kullanarak ham etkinlikler (IP adresleri içeren) ve her etkinlikte yer alan ilgili bilgisayarlar arasında bağıntı kurabilir. Ham etkinliklere bağlı olarak, Kimlik için Defender bilgisayarlar da dahil olmak üzere varlıkları profiller ve şüpheli etkinlikler için güvenlik uyarıları oluşturur.

IP adreslerini bilgisayar adlarına çözümlemek için, Kimlik için Defender algılayıcıları aşağıdaki yöntemleri kullanarak IP adreslerini arar:

Birincil yöntemler:

  • RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
  • NetBIOS (UDP bağlantı noktası 137)
  • RDP (TCP bağlantı noktası 3389) - yalnızca İstemci hello'nun ilk paketi

İkincil yöntem:

  • IP adresinin ters DNS aramasını kullanarak DNS sunucusunu sorgular (UDP 53)

En iyi sonuçlar için birincil yöntemlerden en az birini kullanmanızı öneririz. IP adresinin ters DNS araması yalnızca aşağıdaki durumlarda gerçekleştirilir:

  • Birincil yöntemlerden herhangi birinden yanıt alınmaz.
  • İki veya daha fazla birincil yöntemden alınan yanıtta bir çakışma var.

Not

Bağlantı noktalarının hiçbirinde kimlik doğrulaması gerçekleştirilmez.

Kimlik için Defender, ağ trafiğine göre cihaz işletim sistemini değerlendirir ve belirler. Bilgisayar adını aldıktan sonra, Kimlik için Defender algılayıcısı Active Directory'yi denetler ve aynı bilgisayar adına sahip bağıntılı bir bilgisayar nesnesi olup olmadığını görmek için TCP parmak izlerini kullanır. TCP parmak izlerinin kullanılması, kayıtsız ve Windows dışı cihazların tanımlanmasına yardımcı olur ve araştırma sürecinize yardımcı olur. Kimlik için Defender algılayıcısı bağıntıyı bulduğunda, algılayıcı IP'yi bilgisayar nesnesiyle ilişkilendirir.

Ad alınmadığı durumlarda, IP ve ilgili algılanan etkinlikle IP tarafından çözümlenmemiş bir bilgisayar profili oluşturulur.

NNR verileri aşağıdaki tehditleri algılamak için çok önemlidir:

  • Şüpheli kimlik hırsızlığı (pass-the-ticket)
  • Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltılmışı)
  • Ağ eşleme keşfi (DNS)

Bir uyarının Gerçek Pozitif (TP) veya Hatalı Pozitif (FP) olup olmadığını belirleme yeteneğinizi geliştirmek için, Kimlik için Defender her güvenlik uyarısının kanıtına çözümlenmesi için bilgisayar adlandırmasının kesinlik derecesini içerir.

Örneğin, bilgisayar adları yüksek kesinlikle çözümlendiğinde, sonuçta elde edilen güvenlik uyarısının Gerçek Pozitif veya TP olarak güvenilirliğini artırır.

Kanıt, IP'nin çözümlenme zamanını, IP'sini ve bilgisayar adını içerir. Çözüm kesinliği düşük olduğunda, şu anda IP'nin gerçek kaynağının hangi cihaz olduğunu araştırmak ve doğrulamak için bu bilgileri kullanın. Cihazı onayladıktan sonra, uyarının aşağıdaki örneklere benzer şekilde Hatalı Pozitif mi yoksa FP mi olduğunu belirleyebilirsiniz:

  • Şüpheli kimlik hırsızlığı (anahtar geçişi) – uyarı aynı bilgisayar için tetiklendi.

  • DcSync saldırısından şüphelenildi (dizin hizmetlerinin çoğaltıldığı) – uyarı bir etki alanı denetleyicisinden tetiklendi.

  • Ağ eşleme keşfi (DNS) – uyarı bir DNS Sunucusundan tetiklendi.

    Kanıt kesinliği.

Yapılandırma önerileri

  • RPC üzerinden NTLM:

    • Ortamdaki tüm bilgisayarlarda Kimlik Algılayıcıları için Defender'dan gelen iletişim için TCP Bağlantı Noktası 135'in açık olup olmadığını denetleyin.
    • Tüm ağ yapılandırmasını (güvenlik duvarları) denetleyin, bu da ilgili bağlantı noktalarıyla iletişimi engelleyebilir.

  • NetBIOS:

    • Udp Bağlantı Noktası 137'nin ortamdaki tüm bilgisayarlarda Kimlik Algılayıcıları için Defender'dan gelen iletişim için açık olup olmadığını denetleyin.
    • Tüm ağ yapılandırmasını (güvenlik duvarları) denetleyin, bu da ilgili bağlantı noktalarıyla iletişimi engelleyebilir.

  • RDP:

    • Ortamdaki tüm bilgisayarlarda Kimlik Algılayıcıları için Defender'dan gelen iletişim için TCP Bağlantı Noktası 3389'un açık olup olmadığını denetleyin.
    • Tüm ağ yapılandırmasını (güvenlik duvarları) denetleyin, bu da ilgili bağlantı noktalarıyla iletişimi engelleyebilir.

    Not

    • Bu protokollerden yalnızca biri gereklidir, ancak bunların tümünü kullanmanızı öneririz.
    • Özelleştirilmiş RDP bağlantı noktaları desteklenmez.

  • TERS DNS:

    • Algılayıcının DNS sunucusuna ulaşıp ulaşmadığını ve Geriye Doğru Arama Bölgeleri'nin etkinleştirilip etkinleştirilmediğini denetleyin.

Sistem durumu sorunları

Kimlik için Defender'ın ideal bir şekilde çalıştığından ve ortamın doğru yapılandırıldığından emin olmak için, Kimlik için Defender her algılayıcının çözümleme durumunu denetler ve yöntem başına bir sistem durumu uyarısı vererek her yöntemi kullanarak kimlik için Defender algılayıcılarının başarı oranı düşük olan etkin ad çözümlemesinin bir listesini sağlar.

Not

Kimlik için Defender'da ortamınızın gereksinimlerine uyacak şekilde isteğe bağlı bir NNR yöntemini devre dışı bırakmak için bir destek olayı açın.

Her sistem durumu uyarısı yöntemin, algılayıcıların, sorunlu ilkenin ve yapılandırma önerilerinin belirli ayrıntılarını sağlar. Sistem durumu sorunları hakkında daha fazla bilgi için bkz. algılayıcı sistem durumu sorunları Kimlik için Microsoft Defender.

Ayrıca Bkz