Décrire Microsoft Defender pour Identity

  • 4 minutes

Microsoft Defender pour Identity est une solution de sécurité basée sur le cloud qui utilise des signaux provenant de vos serveurs d’infrastructure d’identité locaux pour détecter les menaces, telles qu’une réaffectation de privilèges ou un mouvement latéral à haut risque, et qui signale les problèmes d’identité facilement exploitée.

Globalement, Microsoft Defender pour Identity fonctionne de la façon suivante :

  • Microsoft Defender pour Identity utilise des capteurs basés sur logiciel installés sur vos serveurs d’infrastructure d’identité locaux (contrôleurs de domaine et serveurs exécutant les services fédérés Active Directory et les services de certificats Active Directory).

  • Le capteur Defender pour Identity accède aux journaux des événements dont il a besoin directement à partir des serveurs. Une fois les journaux et le trafic réseau analysés par le capteur, Defender pour Identity envoie seulement les informations analysées au service cloud Defender pour Identity. Le service cloud Defender pour Identity utilise les données/signaux obtenus pour fournir une solution IDTR (Identity Threat Detection and Response). Microsoft Defender pour Identity aide les professionnels de la sécurité à gérer un environnement hybride avec les fonctionnalités pour :

    • Empêcher les violations en évaluant de manière proactive la posture des vos identités.
    • Détecter les menaces en utilisant l’analytique en temps réel et la Data Intelligence.
    • Investiguer les activités suspectes en utilisant des informations claires et exploitables sur les incidents.
    • Répondre aux attaques en utilisant une réponse automatique aux identités compromises.

  • La configuration du service et les signaux et insights générés par le service Microsoft Defender pour Identity sont exposés via le portail Microsoft Defender qui fournit aux équipes de sécurité une expérience unifiée pour investiguer et répondre aux attaques.

Diagramme de Defender pour Identity. Le diagramme montre un contrôleur de domaine et AD FS envoyant des signaux à Defender pour Identity. Defender pour Identity envoie et reçoit des signaux de Microsoft Defender XDR, qui obtient des signaux venant des points de terminaison, d’Office 365 et des applications cloud.

Évalue de manière proactive votre posture des identités

Defender pour Identity vous offre une vue claire de l’état de votre posture de sécurité des identités, vous aidant à identifier et à résoudre les problèmes de sécurité avant qu’ils ne puissent être exploités par des attaquants. Par exemple, Microsoft Defender pour Identity surveille en continu votre environnement pour identifier les comptes sensibles avec les chemins de mouvement latéral les plus risqués qui exposent un risque de sécurité, et signale ces comptes pour vous aider à gérer votre environnement. Les évaluations de sécurité Defender pour Identity, disponibles auprès de Microsoft Secure Score, fournissent des informations supplémentaires pour améliorer la posture et les politiques de sécurité de votre organisation.

Détecter les menaces, à l’aide de l’analyse en temps réel et de data intelligence

Defender pour Identity surveille et analyse les activités et les informations des utilisateurs sur votre réseau, notamment les autorisations et les appartenances aux groupes, créant une base de référence du comportement pour chaque utilisateur. Defender pour Identity identifie ensuite les anomalies à l’aide d’une intelligence adaptative intégrée. La solution vous donne des insights sur les activités et les événements suspects, révélant les menaces avancées, les utilisateurs compromis et les menaces internes dans votre organisation. Defender pour Identity identifie ces menaces avancées à la source sur toute la chaîne de surveillance des cyberattaques :

  • Reconnaissance : Identifiez les utilisateurs malveillants et les tentatives des attaquants pour obtenir des informations.
  • Informations d’identification compromises : Identifiez les tentatives de compromission des informations d’identification des utilisateurs par des attaques par force brute, des échecs d’authentification, des changements d’appartenance à des groupes d’utilisateurs et d’autres méthodes.
  • Mouvements latéraux : détecte les tentatives de déplacement latéral dans un réseau pour mieux contrôler les utilisateurs sensibles.
  • Domination du domaine : observez le comportement des attaquants si les acteurs de la menace prennent le contrôle d’Active Directory, appelé domination du domaine, par le biais de l’exécution de code à distance sur le contrôleur de domaine ou d’autres méthodes.

Investiguer les alertes et les activités des utilisateurs

Defender pour Identity est conçu pour réduire le bruit général des alertes et fournit seulement des alertes de sécurité pertinentes importantes, selon une chronologie simple et en temps réel des attaques de l’organisation.

Pour ne pas perdre de vue ce qui a réellement de l’importance, utilisez l’affichage chronologique des attaques de Defender pour Identity et les informations dérivées de l’analytique intelligente. Vous pouvez également utiliser Defender pour Identity pour détecter rapidement les menaces et obtenir des insights sur l’organisation pour les utilisateurs, les appareils et les ressources réseau.

Microsoft Defender pour Identity protège votre organisation contre les identités compromises, les menaces avancées et les actions malveillantes menées en interne.

Actions de correction

Microsoft Defender pour Identity prend en charge les actions de correction à effectuer directement sur vos identités locales. Voici quelques exemples :

  • Désactivez un utilisateur dans Active Directory : Cela empêche temporairement un utilisateur de se connecter au réseau local. Cela peut aider à empêcher les utilisateurs compromis de se déplacer ultérieurement et de tenter d’exfiltrer des données ou de compromettre davantage le réseau.

  • Réinitialiser le mot de passe utilisateur : Demande à l’utilisateur de changer son mot de passe lors de sa prochaine connexion, ce qui garantit que ce compte ne peut pas être utilisé pour d’autres tentatives d’emprunt d’identité.

En fonction de vos rôles Microsoft Entra ID, vous pouvez voir des actions Microsoft Entra ID supplémentaires, telles que l’obligation pour les utilisateurs de se reconnecter et la confirmation d’un utilisateur comme étant compromis.

Microsoft Defender pour Identity dans le portail Microsoft Defender

Microsoft Defender pour Identity s’utilise dans le portail Microsoft Defender. Le portail Defender héberge la surveillance et la gestion de la sécurité de vos identités, données, appareils, applications et infrastructure Microsoft, ce qui permet aux administrateurs de sécurité d’effectuer leurs tâches de sécurité à un seul et même emplacement.

Le nœud Identités dans le volet de navigation gauche du portail Microsoft Defender comprend les éléments suivants :

  • Le tableau de bord Microsoft Defender pour Identity fournit des insights critiques et des données en temps réel sur ITDR (Identity Threat Dectection and Response).

  • La page Problèmes d’intégrité liste les problèmes d’intégrité actuels de votre déploiement et de vos capteurs Defender pour Identity en vous avertissant de tout problème dans votre déploiement Defender pour Identity.

  • La page Outils liste des informations supplémentaires pour vous aider à gérer votre environnement Microsoft Defender pour Identity. Les exemples comprennent un script de préparation que vous pouvez exécuter pour déterminer si tous les prérequis de Microsoft Defender pour Identity sont en place, un module PowerShell avec une collection de fonctions conçues pour vous aider à configurer et valider votre environnement pour faire fonctionner Microsoft Defender pour Identity et plus encore.

Les paramètres, les autorisations, les incidents et les alertes, les rapports ainsi que d’autres fonctionnalités sont également disponibles sur le Portail Microsoft Defender. Vous trouverez plus d’informations dans l’unité « Décrire le portail Microsoft Defender », incluse dans ce module.