Popsat Microsoft Defender for Identity

4 min

Microsoft Defender for Identity je cloudové řešení zabezpečení, které využívá signály z místních serverů infrastruktury identit k detekci hrozeb, jako je eskalace oprávnění nebo vysoce rizikové laterální přesuny, a hlásí se o snadno zneužitých problémech s identitou.

Na vysoké úrovni funguje Microsoft Defender for Identity takto:

Microsoft Defender for Identity používá softwarové senzory nainstalované na místních serverech infrastruktury identit (řadiče domény a servery se službou Active Directory Federated Services a Active Directory Certificate Services).
Senzor služby Defender for Identity přistupuje k protokolům událostí, které vyžaduje přímo ze serverů. Jakmile senzor analyzuje protokoly a síťový provoz, odešle Defender for Identity do cloudové služby Defender for Identity jenom analyzované informace. Cloudová služba Defender for Identity používá data/signály získané k zajištění řešení detekce hrozeb a reakce na identity (IDTR). Microsoft Defender for Identity pomáhá odborníkům na zabezpečení, správě hybridního prostředí a funkcí pro:
- Zabraňte porušením zabezpečení tím, že proaktivně posoudíte stav vaší identity.
- Detekuje hrozby pomocí analýzy v reálném čase a analýzy dat.
- Prozkoumejte podezřelé aktivity pomocí jasných informací o incidentech s možností reakce.
- Reagujte na útoky pomocí automatické odpovědi na ohrožené identity.
Konfigurace služby a signálů a přehledů generovaných službou Microsoft Defender for Identity se zveřejňují prostřednictvím portálu Microsoft Defenderu, který poskytuje týmům zabezpečení jednotné prostředí pro vyšetřování útoků a reagování na ně.

Proaktivní posouzení stavu vaší identity

Defender for Identity vám poskytuje jasný přehled o stavu zabezpečení vaší identity a pomáhá vám identifikovat a vyřešit problémy se zabezpečením dříve, než je útočníci zneužije. Microsoft Defender for Identity například nepřetržitě monitoruje vaše prostředí a identifikuje citlivé účty s nejrizivějšími cestami pro laterální pohyb, které zpřístupňují bezpečnostní riziko, a sestavy těchto účtů, které vám pomůžou při správě prostředí. Posouzení zabezpečení defenderu for Identity, která jsou k dispozici ve službě Microsoft Secure Score, poskytují další přehledy pro zlepšení stavu a zásad zabezpečení vaší organizace.

Detekce hrozeb pomocí analýzy v reálném čase a analýzy dat

Defender for Identity monitoruje a analyzuje aktivity uživatelů a informace v síti, včetně oprávnění a členství ve skupinách, a vytváří směrný plán chování pro každého uživatele. Defender for Identity pak identifikuje anomálie s adaptivní integrovanou inteligencí. Poskytuje přehled o podezřelých aktivitách a událostech, odhalení pokročilých hrozeb, ohrožených uživatelů a vnitřních hrozeb, kterým vaše organizace čelí. Defender for Identity identifikuje tyto pokročilé hrozby ve zdroji v celém cyberattack kill-chainu:

Rekognoskace – Identifikace podvodných uživatelů a pokusů útočníků o získání informací
Ohrožené přihlašovací údaje – Identifikujte pokusy o ohrožení uživatelských přihlašovacích údajů pomocí útoků hrubou silou, neúspěšných ověřování, změn členství ve skupinách uživatelů a dalších metod.
Laterální pohyby – Detekce pokusů o pozdější přesun uvnitř sítě, aby získala další kontrolu nad citlivými uživateli.
Dominanta domény – Zobrazení chování útočníka, pokud aktéři hrozeb získají kontrolu nad službou Active Directory, označovanou jako dominantní doména, prostřednictvím vzdáleného spuštění kódu na řadiči domény nebo jiných metodách.

Zkoumání výstrah a aktivit uživatelů

Defender for Identity je navržený tak, aby omezil obecný šum výstrah a poskytoval pouze relevantní důležité výstrahy zabezpečení v jednoduché časové ose útoku organizace v reálném čase.

Využijte zobrazení časové osy útoku Defender for Identity a inteligentní analýzy k tomu, abyste se mohli soustředit na to, co je důležité. Pomocí defenderu for Identity můžete také rychle prošetřit hrozby a získat přehled o uživatelích, zařízeních a síťových prostředcích v organizaci.

Microsoft Defender for Identity chrání vaši organizaci před ohroženými identitami, pokročilými hrozbami a škodlivými akcemi insideru.

Nápravné akce

Microsoft Defender for Identity podporuje nápravné akce, které se mají provádět přímo na místních identitách. Příkladem může být:

Zakázat uživatele ve službě Active Directory: Tím dočasně zabráníte uživateli v přihlášení k místní síti. To může pomoct zabránit tomu, aby ohrožení uživatelé přešli později a pokusili se o exfiltraci dat nebo o další ohrožení sítě.
Resetování hesla uživatele – Zobrazí se výzva, aby při příštím přihlášení změnil heslo uživatele. Tím zajistíte, že tento účet nebude možné použít k dalším pokusům o zosobnění.

V závislosti na rolích ID Microsoft Entra se můžou zobrazit další akce ID Microsoft Entra, jako je například vyžadování opětovného přihlášení uživatelů a potvrzení ohrožení zabezpečení uživatele.

Microsoft Defender for Identity na portálu Microsoft Defender

Microsoft Defender for Identity se provádí prostřednictvím portálu Microsoft Defender. Portál Defender je domovská stránka pro monitorování a správu zabezpečení napříč vašimi identitami, daty, zařízeními, aplikacemi a infrastrukturou Microsoftu a umožňuje správcům zabezpečení provádět své úlohy zabezpečení na jednom místě.

Uzel Identityies na levém navigačním panelu portálu Microsoft Defenderu zahrnuje následující:

Řídicí panel Microsoft Defenderu for Identity poskytuje důležité přehledy a data o detekci a reakci na hrozby identity v reálném čase (ITDR).
Na stránce Problémy se stavem jsou uvedeny všechny aktuální problémy s nasazením a senzory Defenderu pro identity a upozorní vás na případné problémy v nasazení Defenderu pro identitu.
Stránka nástroje obsahuje další informace, které vám pomůžou spravovat prostředí Microsoft Defenderu for Identity. Mezi příklady patří skript připravenosti, který můžete spustit, abyste zjistili, jestli jsou splněné všechny požadavky microsoft Defenderu pro identitu, modul PowerShellu s kolekcí funkcí navržených tak, aby vám pomohl nakonfigurovat a ověřit prostředí pro práci v programu Microsoft Defender for Identity a další.