Erkunden von Microsoft Defender for Identity

Abgeschlossen

Microsoft Defender for Identity (früher Azure Advanced Threat Protection, auch bekannt als Azure ATP) ist eine cloudbasierte Sicherheitslösung. Defender for Identity verwendet Ihre lokalen Active Directory-Signale, um fortschrittliche Bedrohungen, gefährdete Identitäten und böswillige Insider-Aktionen, die sich gegen Ihr Unternehmen richten, zu identifizieren, zu erkennen und zu untersuchen. Defender for Identity bietet SecOp-Analysten und Sicherheitsexperten, die Probleme beim Erkennen komplexe Angriffe in Hybridumgebungen haben, folgende Funktionen:

  • Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter Analyse
  • Schutz von in Active Directory gespeicherten Benutzeridentitäten und Anmeldeinformationen
  • Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill Chain
  • Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen Selektierung

Prozessablauf für Defender for Identity

Diagramm: Datenfluss zum Schützen von Identitäten mithilfe von Microsoft Defender for Identity

Defender for Identity besteht aus den folgenden Komponenten:

  • Defender for Identity -Portal – Das Defender for Identity-Portal ermöglicht die Erstellung Ihrer Defender for Identity-Instanz, zeigt die von Defender for Identity-Sensoren empfangenen Daten an und ermöglicht es Ihnen, Bedrohungen in Ihrer Netzwerkumgebung zu überwachen, zu verwalten und zu untersuchen.

  • Defender for Identity-Sensor – Defender for Identity-Sensoren können direkt auf den folgenden Servern installiert werden:

    • Domänencontroller: Der Sensor überwacht den Datenverkehr des Domänencontrollers direkt, ohne dass ein dedizierter Server oder die Konfiguration der Portspiegelung erforderlich ist.
    • Active Directory Verbunddienste (AD FS): Der Sensor überwacht direkt den Netzwerkverkehr und die Authentifizierungsereignisse.
  • Defender for Identity cloud service – Der Defender for Identity-Clouddienst wird in der Azure-Infrastruktur ausgeführt und ist aktuell in den USA, Europa und Asien verfügbar. Der Defender for Identity-Clouddienst ist mit Microsoft Intelligent Security Graph verbunden.