Présentation de Microsoft Defender pour l’identité

Effectué

Microsoft Defender pour Identity est une solution de sécurité basée sur le cloud qui exploite vos signaux Active Directory sur site pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions des utilisateurs malveillants ciblant votre organisation.

Microsoft Defender pour Identity offre les avantages suivants :

• Surveiller les utilisateurs, le comportement des entités et les activités avec une analyse basée sur l’apprentissage.
• Protéger les identités des utilisateurs et informations d’identification stockées dans Active Directory
• Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées tout au long de la chaîne de terminaison
• Fournir des informations claires sur les incidents reposant sur une chronologie simple pour un triage rapide

Contrôler et profiler le comportement et les activités des utilisateurs

Microsoft Defender pour Identity surveille et analyse les activités des utilisateurs et les informations de votre réseau, telles que les autorisations et les membres du groupe. Il crée ensuite une ligne de base comportementale pour chaque utilisateur. Microsoft Defender pour Identity identifie ensuite les anomalies avec une intelligence intégrée adaptative, ce qui vous permet de vous familiariser avec les activités et événements suspects, de révéler les menaces avancées, les utilisateurs compromis et les menaces Insider au sein de votre organisation. Les capteurs propriétaires Microsoft Defender pour Identity surveillent les contrôleurs de domaine de l’organisation et fournissent un affichage complet pour toutes les activités des utilisateurs sur tous les appareils.

Protégez les identités des utilisateurs et réduisez la surface d’attaque

Microsoft Defender pour Identity vous fournit des informations importantes sur les configurations d’identité et les pratiques recommandées en matière de sécurité. Par le biais de rapports de sécurité et d’analyse de profil utilisateur, Microsoft Defender pour Identity permet de réduire considérablement la surface d’attaque de votre organisation, ce qui complique la compromission des informations d’identification des utilisateurs et l’avancement d’une attaque. Les chemins de mouvement visuel latéral de Microsoft Defender pour Identity vous aident à comprendre rapidement comment un intrus peut se déplacer plus rapidement au sein de votre organisation pour compromettre les comptes sensibles et aider à prévenir ces risques à l’avance. Les rapports de sécurité Microsoft Defender pour Identity aident à identifier les utilisateurs et les appareils qui s’authentifient à l’aide de mots de passe en texte clair et fournissent des informations supplémentaires pour améliorer la posture et les stratégies de sécurité de votre organisation.

Identifiez les activités suspectes et les attaques avancées au sein de la chaîne d’élimination Cyber-Attack

En règle générale, les attaques sont lancées contre toute entité accessible, par exemple, un utilisateur à faible privilège, puis passent rapidement une fois par la suite jusqu’à ce que l’agresseur accède à des biens importants, tels que des comptes sensibles, des administrateurs de domaine et des données hautement sensibles. Microsoft Defender pour Identity présente une large gamme de détections dans la chaîne de suppression de la reconnaissance par le biais de informations d’identification compromises de les mouvements transversaux et la dominance de domaine.

Par exemple, dans l’étape de reconnaissance, la reconnaissance LDAP est utilisée par les agresseurs pour obtenir des informations critiques sur l’environnement de domaine. Informations qui aident les attaquants à mapper la structure de domaine et à identifier les comptes privilégiés à utiliser ultérieurement. Cette détection est déclenchée sur la base d’ordinateurs effectuant des requêtes ou requêtes d’énumération LDAP suspectes ciblant des groupes sensibles.

Les attaques brutales constituent une méthode courante pour compromettre les informations d’identification. Il s’agit du moment où un intrus essaie d’authentifier plusieurs mots de passe sur différents comptes jusqu’à ce qu’un mot de passe correct soit trouvé ou à l’aide d’un mot de passe dans une pulvérisation à grande échelle qui fonctionne pour au moins un compte. Une fois détectés, l’agresseur se connecte à l’aide du compte authentifié. Microsoft Defender pour Identity peut détecter cette situation lorsqu’il détecte plusieurs échecs d’authentification à l’aide de Kerberos, NTLM ou de l’utilisation d’une pulvérisation de mot de passe.

L’étape suivante consiste à faire en sorte que les intrus tentent de circuler par la suite via votre environnement, à l’aide de la fonction Pass-the-ticket (par exemple). Le ticket réussi est une technique de déplacement latéral dans laquelle les agresseurs volent un ticket Kerberos d’un ordinateur et l’utilisent pour accéder à un autre ordinateur en réutilisant le ticket volé. Dans cette détection, un ticket Kerberos est utilisé sur deux ordinateurs (ou plus) différents.

Enfin, les agresseurs souhaitent établir une dominance de domaine. Une méthode, par exemple, l’attaque DCShadow. Cette attaque est conçue pour modifier les objets de l’annuaire à l’aide d’une réplication malveillante. Cette attaque peut être effectuée à partir de n’importe quel ordinateur en créant un contrôleur de domaine malveillant à l’aide d’un processus de réplication. Si c’est le cas, Microsoft Defender pour Identity déclenche une alerte lorsqu’un ordinateur du réseau essaie d’enregistrer en tant que contrôleur de domaine malveillant.

Il ne s’agit pas de la série complète de détections, mais elle présente la diversité des détections des couvertures Microsoft Defender pour Identity.