Integração de VPN do Defender para Identidade no Microsoft Defender XDR

O Microsoft Defender para Identidade pode se integrar à sua solução VPN ouvindo eventos de contabilidade RADIUS encaminhados aos sensores do Defender para Identidade, como endereços IP e locais de origem das conexões. Os dados de contabilização da VPN podem ajudar em suas investigações, fornecendo mais informações sobre atividades de usuários, como os locais de onde os computadores estão se conectando à rede e uma detecção extra de conexões anormais da VPN.

A integração de VPN do Defender para Identidade é baseada na Contabilização RADIUS padrão (RFC 2866) e oferece suporte aos seguintes fornecedores de VPN:

  • Microsoft
  • F5
  • Ponto de Verificação
  • Cisco ASA

A integração de VPN não é suportada nos ambientes que seguem os padrões FIPS (Federal Information Processing Standards)

A integração de VPN do Defender para Identidade oferece suporte a UPNs primários e nomes principais de segurança alternativos. As chamadas para resolver endereços IP externos para um local são anônimas e nenhum identificador pessoal é enviado na chamada.

Pré-requisitos

Antes de começar, verifique se você tem estes itens:

  • Microsoft Defender para Identidade implantado

  • Acesso à área Configurações no Microsoft Defender XDR. Para obter mais informações, veja Grupos de funções do Microsoft Defender para Identidade.

  • A capacidade de configurar o RADIUS no sistema de VPN.

    Este artigo fornece um exemplo de como configurar o Microsoft Defender para Identidade para coletar informações de contabilização das soluções de VPN, usando o RRAS (Routing and Remote Access Server) da Microsoft. Se você estiver usando uma solução de VPN de terceiros, consulte a documentação para obter instruções sobre como habilitar a Contabilização RADIUS.

Observação

Quando você configura a integração de VPN, o sensor do Defender para Identidade habilita uma diretiva de firewall do Windows pré-provisionada chamada Sensor do Microsoft Defender para Identidade. Essa política permite a Contabilização RADIUS de entrada na porta UDP 1813.

Configurar a Contabilização RADIUS no sistema de VPN

Este procedimento descreve como configurar a contabilização RADIUS em um servidor RRAS para integração de um sistema VPN com o Defender para Identidade. As instruções do seu sistema podem ser diferentes.

No servidor RRAS:

  1. Abra o console de Roteamento e Acesso Remoto.

  2. Clique com o botão direito do mouse no nome do servidor e selecione Propriedades.

  3. Na guia Segurança, em Provedor de contabilização, selecione Contabilização RADIUS>Configurar. Por exemplo:

    Screenshot of the Security tab.

  4. No diálogo Adicionar Servidor RADIUS, insira o Nome do servidor do sensor do Defender para Identidade mais próximo que tenha conectividade de rede. Para garantir alta disponibilidade, você pode adicionar mais sensores do Defender para Identidade como servidores RADIUS.

  5. Em Porta, verifique se o valor padrão de 1813 está configurado.

  6. Clique em Alterar e insira uma nova sequência de caracteres alfanuméricos como o segredo compartilhado. Anote a nova cadeia de caracteres de segredo compartilhado, pois você precisará dela mais tarde ao configurar a integração de VPN no Defender para Identidade.

  7. Marque a caixa Enviar mensagens de Conta RADIUS Ativada e Contabilização Desativada e selecione OK em todas as caixas de diálogo abertas. Por exemplo:

    Screenshot of the Send RADIUS Account On and Accounting Off messages button.

Configurar VPN no Defender para Identidade

Este procedimento descreve como configurar a integração de VPN do Defender para Identidade no Microsoft Defender XDR.

  1. Inicie uma sessão no Microsoft Defender XDR e selecione Configurações>Identidades>VPN.

  2. Selecione Habilitar contabilização radius e insira o Segredo Compartilhado que você configurou anteriormente no servidor VPN RRAS. Por exemplo:

    Screenshot of the Enable radius accounting option.

  3. Selecione Salvar para continuar.

Depois de salvar sua seleção, os sensores do Defender para Identidade começam a escutar eventos de contabilização RADIUS na porta 1813 e a configuração da VPN está concluída.

Depois que o sensor do Defender para Identidade recebe os eventos de VPN e os envia ao serviço de nuvem do Defender para Identidade para processamento, o perfil da entidade indica os diferentes locais da VPN que foram acessados, e as atividades de perfil indicam os locais.

Para obter mais informações, confira Configurar a coleta de eventos.