A Microsoft Defender for Identitiy (MDI) integrálható egy meglévő VPN szolgáltatással, azaz a VPN el tudja küldeni a RADIUS accounting logokat az MDI szenzornak (IP cím, ország stb). Ezzel információkat tudunk gyűjteni, honnan próbálják a VPN kapcsolatot felépíteni, van-e anomália. Gyanús esemény lehet ha hirtelen más országokból próbálnak VPN-en csatlakozni.

Jelen pillanatban az alábbi gyártók VPN megoldásai támogatottak a standad RADIUS accountinggal:

• Microsoft
• F5
• Check Point
• Cisco ASA

Nézzük meg, hogy a Microsoft RRAS esetén mik a beállítási lépések:

Nyissuk meg az RRAS konzolt, a Security fülön tudjuk konfigurálni a RADIUS accountingot

Itt megadhatjuk az egyik MDI szenzor nevét/IP-jét.

Utána pedig az MDI portálon beállítjuk a Shared Secretet

Eddig rendben; de mi van olyakor, ha Network Policy Servert használunk, ugyanazon a VPN szerveren? Ebben az esetben nincs ott a RADIUS accounting az RRAS konzolban.

Hogy tudjuk igy eljuttatni a RADIUS accounting logokat az MDI szenzorhoz?

Az NPS konzolban definiáljunk új Remote RADIUS Server Groupot, megadva az MDI szenzorok nevét/IP-jét:

Állítsuk be a Shared Secret értékeket:

Végül pedig a VPN connnection request policyben definiáljuk, hogy a RADIUS accounting melyik távoli szerveren történjen meg (ez esetben az MDI szenzorok)

Utána természetesen ne felejtsük el az MDI portálon is megtenni a szükséges beállításokat.