Beschreiben von Microsoft Defender for Identity

  • 4 Minuten

Microsoft Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Signale von Ihren lokalen Identitätsinfrastrukturservern verwendet, um Bedrohungen zu erkennen, z.B. die Rechteausweitung oder Seitwärtsbewegung mit hohem Risiko sowie Berichte zu Problemen mit leicht auszunutzenden Identitäten.

Microsoft Defender for Identity funktioniert wie folgt:

  • Microsoft Defender for Identity verwendet softwarebasierte Sensoren, die auf Ihren lokalen Identitätsinfrastrukturservern installiert sind (Domänencontroller und Server, auf denen Active Directory-Verbunddienste und Active Directory-Zertifikatdienste ausgeführt werden).

  • Der Defender for Identity-Sensor greift direkt von den Servern auf die Ereignisprotokolle zu, die es benötigt. Nach Analyse dieser Protokolle und des Netzwerkauslastung durch den Sensor sendet Defender for Identity nur diese geparsten Informationen an den Defender for Identity-Clouddienst. Der Defender for Identity-Clouddienst verwendet die Daten/Signale, die abgerufen werden, um eine Identity Threat Detection and Response (ITDR)-Lösung bereitzustellen. Microsoft Defender for Identity unterstützt Sicherheitsprofis, die Hybridumgebungen verwalten, mit den folgenden Funktionen:

    • Verstöße verhindern, indem sie Ihren Identitätsstatus proaktiv bewerten.
    • Bedrohungen mithilfe von Echtzeitanalysen und Datenintelligenz erkennen.
    • Verdächtige Aktivitäten untersuchen, indem sie klare, umsetzbare Vorfallinformationen verwenden.
    • Auf Angriffe mithilfe der automatischen Reaktion auf kompromittierte Identitäten reagieren.

  • Die Konfiguration des Diensts und die Signale und Erkenntnisse, die vom Microsoft Defender for Identity-Dienst generiert werden, sind über das Microsoft Defender-Portal verfügbar, das Sicherheitsteams eine einheitliche Erfahrung zum Untersuchen und Reagieren auf Angriffe bietet.

Ein Diagramm von Defender for Identity. Das Diagramm zeigt einen Domänencontroller und AD FS, der Defender for Identity sendet und signalisiert. Defender for Identity sendet und empfängt Signale von Microsoft Defender XDR, das Signale von Endpunkten, Office 365 und Cloud-Apps abruft.

Proaktive Bewertung Ihres Identitätsstatus

Defender for Identity bietet Ihnen einen klaren Überblick über Ihren Identitätssicherheitsstatus und hilft Ihnen dabei, Sicherheitsprobleme zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können. Beispielsweise überwacht Microsoft Defender for Identity Ihre Umgebung kontinuierlich, um vertrauliche Konten mit den riskanten Seitwärtsbewegungspfaden zu identifizieren, die ein Sicherheitsrisiko darstellen, und Berichte zu diesen Konten, die Sie bei der Verwaltung Ihrer Umgebung unterstützen. Defender for Identity-Sicherheitsbewertungen, die von Microsoft-Sicherheitsbewertung zur Verfügung stehen, bieten zusätzliche Einblicke, um Ihren Sicherheitsstatus und Ihre Richtlinien in Ihrer Organisation zu verbessern.

Erkennen von Bedrohungen mithilfe von Analysen in Echtzeit und Data Intelligence

Defender for Identity überwacht und analysiert netzwerkübergreifend Benutzeraktivitäten und -informationen, einschließlich Berechtigungen und Gruppenmitgliedschaften, und erstellt dabei für jeden Benutzer eine verhaltensbasierte Baseline. Defender for Identity identifiziert dann Anomalien mit adaptiver integrierter Intelligenz. Es bietet Erkenntnisse zu verdächtigen Aktivitäten und Ereignisse und deckt anspruchsvolle Bedrohungen, kompromittierte Benutzer und Insiderbedrohungen auf, denen Ihre Organisation ausgesetzt ist. Defender for Identity erkennt diese anspruchsvollen Bedrohungen an der Quelle während der gesamten Kill Chain des Cyberangriffs:

  • Aufklärung: Identifizieren nicht autorisierter Benutzer und der Versuche von Angreifern, Informationen zu erhalten.
  • Gefährdung von Anmeldeinformationen: Identifizieren von Versuchen zur Gefährdung von Benutzeranmeldeinformationen über Brute-Force-Angriffe, fehlgeschlagene Authentifizierungen, Änderungen der Gruppenmitgliedschaft von Benutzern und weitere Methoden.
  • Seitliche Bewegungen: Erkennen von Versuchen der Seitwärtsbewegung innerhalb des Netzwerks, um weitere Kontrolle über vertrauliche Benutzer zu erlangen.
  • Domänendominanz: Zeigen Sie das Verhalten von Angreifern an, wenn Bedrohungsakteure die Kontrolle über Active Directory erlangen (auch Domänendominanz genannt) durch Remotecodeausführung auf dem Domänencontroller oder andere Methoden.

Untersuchen von Warnungen und Benutzeraktivitäten

Defender for Identity wurde dafür konzipiert, die Anzahl allgemeiner Warnungen zu reduzieren, damit nur relevante, wichtige Sicherheitswarnungen in einer übersichtlichen Zeitskala mit gegen die Organisation gerichteten Angriffen in Echtzeit bereitgestellt werden können.

Nutzen Sie die Zeitskalenansicht von Defender for Identity für Angriffe und die Intelligenz intelligenter Analysen, um sich auf das Wesentliche zu konzentrieren. Außerdem können Sie mit Defender for Identity Bedrohungen schnell untersuchen und in der gesamten Organisation Erkenntnisse zu Benutzern, Geräten und Netzwerkressourcen gewinnen.

Microsoft Defender for Identity schützt Ihre Organisation vor kompromittierten Identitäten, anspruchsvollen Bedrohungen und schädlichen Insideraktionen.

Abhilfemaßnahmen

Microsoft Defender for Identity unterstützt Wartungsaktionen, die direkt auf Ihren lokalen Identitäten ausgeführt werden. Beispiele:

  • Benutzer in Active Directory deaktivieren: Dadurch wird vorübergehend verhindert, dass sich ein Benutzer beim lokalen Netzwerk anmeldet. Es kann verhindern, dass kompromittierte Benutzer lateral verschoben werden und versuchen, Daten zu exfiltrieren oder das Netzwerk weiter zu kompromittieren.

  • Benutzerkennwort zurücksetzen: Dadurch wird der Benutzer aufgefordert, sein Kennwort bei der nächsten Anmeldung zu ändern, um sicherzustellen, dass dieses Konto nicht für weitere Identitätsdiebstähle verwendet werden kann.

Je nach Ihren Microsoft Entra ID-Rollen werden möglicherweise zusätzliche Microsoft Entra ID-Aktionen angezeigt, z. B. die Aufforderung, sich erneut anzumelden oder die Bestätigung, dass ein Benutzer kompromittiert wurde.

Microsoft Defender for Identity im Microsoft Defender-Portal

Microsoft Defender for Identity wird über das Microsoft Defender-Portal gesteuert. Das Defender-Portal ist die Startseite für die Überwachung und Verwaltung der Sicherheit Ihrer Microsoft-Identitäten, -Daten, -Geräte und -Apps sowie der Infrastruktur, sodass Sicherheitsadministratoren ihre Sicherheitsaufgaben an einem zentralen Ort ausführen können.

Der Knoten „Identitäten“ im linken Navigationsbereich des Microsoft Defender-Portals umfasst Folgendes:

  • Das Microsoft Defender for Identity-Dashboard bietet wichtige Einblicke und Echtzeitdaten zur Erkennung und Reaktion auf Identitätsrisiken (Identity Threat Detection and Response, ITDR).

  • Auf der Seite „Integritätsprobleme“ werden alle aktuellen Integritätsprobleme für Ihre Defender for Identity-Bereitstellung und -Sensoren aufgelistet, die Sie auf Probleme in Ihrer Defender for Identity-Bereitstellung aufmerksam machen.

  • Auf der Seite „Tools“ werden zusätzliche Informationen aufgeführt, die Ihnen bei der Verwaltung Ihrer Microsoft Defender for Identity-Umgebung helfen. Beispiele sind ein Bereitschaftsskript, das Sie ausführen können, um zu ermitteln, ob alle Microsoft Defender for Identity-Voraussetzungen vorhanden sind, ein PowerShell-Modul mit einer Sammlung von Funktionen, die Ihnen beim Konfigurieren und Überprüfen Ihrer Umgebung für die Arbeit mit Microsoft Defender for Identity und mehr helfen.

Einstellungen, Berechtigungen, Incidents und Warnungen, Berichte und andere Features sind ebenfalls über das Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie in der Einheit „Beschreiben des Microsoft Defender-Portals“ in diesem Modul.