適用於身分識別的 Microsoft Defender 中的網路名稱解析
網路名稱解析 (NNR) 是 適用於身分識別的 Microsoft Defender 功能的主要元件。 適用於身分識別的 Defender 會根據網路流量、Windows 事件和 ETW 來擷取活動 - 這些活動通常包含 IP 數據。
使用 NNR,適用於身分識別的 Defender 可以在包含 IP 位址) 的原始活動 (,以及涉及每個活動的相關電腦之間相互關聯。 根據原始活動,適用於身分識別的Defender會配置文件實體,包括計算機,併產生可疑活動的安全性警示。
若要將IP位址解析為計算機名稱,適用於身分識別的Defender感測器會使用下列方法來查閱IP位址:
主要方法:
- 透過 RPC (TCP 連接埠 135 的 NTLM)
- NetBIOS (UDP 連接埠 137)
- RDP (TCP 連接埠 3389) - 僅限 Client hello 的第一個封包
次要方法:
- 使用 UDP 53 (IP 位址的反向 DNS 查閱來查詢 DNS 伺服器)
為了獲得最佳結果,建議您至少使用其中一種主要方法。 只有在下列狀況下,才會執行IP位址的反向 DNS 查閱:
- 沒有任何主要方法的回應。
- 從兩個或多個主要方法收到的響應發生衝突。
注意事項
不會在任何埠上執行驗證。
適用於身分識別的 Defender 會根據網路流量來評估並判斷裝置操作系統。 擷取計算機名稱之後,適用於身分識別的 Defender 感測器會檢查 Active Directory,並使用 TCP 指紋來查看是否有具有相同電腦名稱的相互關聯計算機物件。 使用 TCP 指紋有助於識別未註冊和非 Windows 裝置,協助您進行調查程式。 當適用於身分識別的 Defender 感測器找到相互關聯時,感測器會將 IP 與計算機對象產生關聯。
如果未擷取任何名稱,則會使用IP和相關偵測到的活動來建立依IP解析的 計算機配置檔 。
NNR 數據對於偵測下列威脅非常重要:
- 可疑的身分識別竊取 (傳遞票證)
- 目錄服務的可疑DCSync攻擊 (複寫)
- DNS) (網路對應偵察
若要改善判斷警示是否為 確判為真 (TP) 或 FP (FP) 誤判的能力,適用於身分識別的 Defender 包含將計算機命名解析為每個安全性警示辨識項的確定性程度。
例如,當計算機名稱以 高確定性 解析時,會將產生的安全性警示的信賴度提升為 True Positive 或 TP。
辨識項包括解析IP的時間、IP 和電腦名稱。 當解析確定性 很低時,請使用此資訊來調查並確認目前哪個裝置是IP的實際來源。 確認裝置之後,您可以接著判斷警示是否為 誤 判或 FP,如下列範例所示:
可疑的身分識別竊取 (傳遞票證) – 同一部計算機已觸發警示。
可疑的DCSync攻擊 (複寫目錄服務) – 警示是從域控制器觸發。
網路對應偵察 (DNS) – 警示是從 DNS 伺服器觸發。
設定建議
透過 RPC 的 NTLM:
- 檢查 TCP 連接埠 135 是否已開啟,以便在環境中的所有電腦上,從適用於身分識別感測器的 Defender 進行輸入通訊。
- 檢查所有網路設定 (防火牆) ,因為這可能會防止與相關埠的通訊。
NetBIOS:
- 檢查環境中所有電腦上的 UDP 連接埠 137 是否已開啟,以便從適用於身分識別感測器的 Defender 進行輸入通訊。
- 檢查所有網路設定 (防火牆) ,因為這可能會防止與相關埠的通訊。
RDP:
- 檢查 TCP 連接埠 3389 是否已開啟,以便在環境中的所有電腦上,從適用於身分識別感測器的 Defender 進行輸入通訊。
- 檢查所有網路設定 (防火牆) ,因為這可能會防止與相關埠的通訊。
注意事項
- 只需要其中一個通訊協定,但建議您使用所有通訊協定。
- 不支援自定義的 RDP 連接埠。
反向 DNS:
- 檢查感測器是否可以連線到 DNS 伺服器,並已啟用反向對應區域。
健康情況問題
為了確保適用於身分識別的 Defender 運作正常且環境已正確設定,適用於身分識別的 Defender 會檢查每個感測器的解決狀態,並針對每個方法發出健康情況警示,並使用每個方法提供低成功率作用中名稱解析的 Defender 感測器清單。
注意事項
若要在適用於身分識別的 Defender 中停用選擇性的 NNR 方法,以符合您的環境需求,請開啟支援案例。
每個健康情況警示都會提供方法、感測器、有問題的原則以及設定建議的特定詳細數據。 如需健康情況問題的詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 感測器健康情況問題。