Co to jest usługa Microsoft Defender for Identity?
Microsoft Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń, które ułatwia zabezpieczanie monitorowania tożsamości w całej organizacji.
Usługa Defender for Identity jest w pełni zintegrowana z Microsoft Defender XDR i wykorzystuje sygnały zarówno z tożsamości lokalna usługa Active Directory, jak i tożsamości w chmurze, aby ułatwić identyfikowanie, wykrywanie i badanie zaawansowanych zagrożeń skierowanych do organizacji.
Wdróż usługę Defender for Identity, aby pomóc zespołom SecOp w dostarczaniu nowoczesnego rozwiązania do wykrywania zagrożeń tożsamości (ITDR) w środowiskach hybrydowych, w tym:
- Zapobieganie naruszeniom zabezpieczeń przy użyciu proaktywnych ocen stanu zabezpieczeń tożsamości
- Wykrywanie zagrożeń przy użyciu analizy w czasie rzeczywistym i analizy danych
- Badanie podejrzanych działań przy użyciu jasnych, możliwych do działania informacji o zdarzeniu
- Reagowanie na ataki przy użyciu automatycznej reakcji na naruszone tożsamości
Usługa Defender for Identity była wcześniej znana jako Usługa Azure Advanced Threat Protection (Azure ATP).
Ważna
Klienci korzystający z klasycznego portalu usługi Defender for Identity są teraz automatycznie przekierowywani do Microsoft Defender XDR bez możliwości powrotu do portalu klasycznego.
Aby uzyskać więcej informacji, zobacz nasz wpis w blogu i Microsoft Defender for Identity w Microsoft Defender XDR.
Ochrona tożsamości użytkowników i zmniejszanie obszaru ataków
Usługa Defender for Identity zapewnia nieoceniony wgląd w konfiguracje tożsamości i sugerowane najlepsze rozwiązania w zakresie zabezpieczeń. Dzięki raportom zabezpieczeń i analizie profilów użytkowników usługa Defender for Identity pomaga znacznie zmniejszyć obszar ataków organizacji, utrudniając naruszenie poświadczeń użytkownika i przyspieszyć atak.
Proaktywna ocena stanu tożsamości
Usługa Defender for Identity zapewnia jasny wgląd w stan zabezpieczeń tożsamości, co ułatwia identyfikowanie i rozwiązywanie problemów z zabezpieczeniami, zanim będą one wykorzystywane przez osoby atakujące.
Przykład:
Ścieżki ruchu bocznego usługi Defender for Identity pomagają szybko zrozumieć, w jaki sposób osoba atakująca może poruszać się później wewnątrz organizacji. Ścieżki przenoszenia bocznego mogą naruszać poufne konta, a usługa Defender for Identity pomaga zapobiegać tym zagrożeniom z wyprzedzeniem.
Oceny zabezpieczeń usługi Defender for Identity dostępne w usłudze Microsoft Secure Score zapewniają dodatkowe szczegółowe informacje w celu poprawy stanu zabezpieczeń i zasad organizacji.
Wykrywanie zagrożeń w nowoczesnych środowiskach tożsamości
Nowoczesne środowiska tożsamości często obejmują zarówno środowisko lokalne, jak i w chmurze. Usługa Defender for Identity używa danych z całego środowiska, w tym kontrolerów domeny, Active Directory Federation Services (AD FS) i usług certyfikatów Active Directory (AD CS), aby zapewnić pełny widok środowiska tożsamości.
Czujniki usługi Defender for Identity domyślnie monitorują ruch kontrolera domeny. W przypadku serwerów usług AD FS/AD CS należy zainstalować odpowiedni typ czujnika na potrzeby pełnego monitorowania tożsamości.
Więcej informacji można znaleźć w następujących artykułach:
- Wdrażanie Microsoft Defender for Identity za pomocą Microsoft Defender XDR
- Microsoft Defender for Identity na Active Directory Federation Services (AD FS)
Identyfikowanie podejrzanych działań w łańcuchu ataków cybernetycznych
Zazwyczaj ataki są uruchamiane na dowolną dostępną jednostkę, taką jak użytkownik o niskich uprawnieniach. Osoby atakujące szybko poruszają się później, dopóki nie uzyskają dostępu do cennych zasobów, takich jak poufne konta, administratorzy domeny i wysoce poufne dane.
Usługa Defender for Identity identyfikuje te zaawansowane zagrożenia u źródła w całym łańcuchu ataków cybernetycznych:
| Groźba | W usłudze Defender for Identity ... |
|---|---|
| Rekonesans | Identyfikowanie nieautoryzowanych użytkowników i prób uzyskania informacji przez osoby atakujące. Osoby atakujące wyszukują informacje o nazwach użytkowników, członkostwie użytkowników w grupach, adresach IP przypisanych do urządzeń, zasobach i nie tylko przy użyciu różnych metod. |
| Poświadczenia, których zabezpieczenia zostały naruszone | Identyfikowanie prób naruszenia poświadczeń użytkownika przy użyciu ataków siłowych, uwierzytelniania zakończonego niepowodzeniem, zmian członkostwa w grupach użytkowników i innych metod. |
| Ruchy boczne | Wykrywanie prób późniejszego przenoszenia wewnątrz sieci w celu uzyskania dalszej kontroli nad poufnymi użytkownikami przy użyciu metod takich jak Pass the Ticket, Pass the Hash, Overpass the Hash i nie tylko. |
| Dominacja domeny | Wyświetl wyróżnione zachowanie osoby atakującej, jeśli osiągnięto dominację domeny. Na przykład osoby atakujące mogą zdalnie uruchamiać kod na kontrolerze domeny lub używać metod takich jak dc shadow, replikacja złośliwego kontrolera domeny, działania golden ticket i inne. |
Aby uzyskać więcej informacji, zobacz Alerty zabezpieczeń w Microsoft Defender for Identity.
Badanie alertów i działań użytkowników
Usługa Defender for Identity została zaprojektowana w celu zmniejszenia ogólnego szumu alertów, udostępniając priorytetową listę istotnych, ważnych alertów zabezpieczeń na prostej osi czasu ataku organizacyjnego w czasie rzeczywistym.
Bezproblemowa integracja z Microsoft Defender XDR zapewnia kolejną warstwę zwiększonych zabezpieczeń przez skorelowanie danych z innych domen w celu zwiększenia widoczności i dokładności między użytkownikami, urządzeniami i zasobami sieciowymi.
Aby uzyskać więcej informacji, zobacz Badanie zasobów i Badanie alertów zabezpieczeń.
Zawartość pokrewna
Skorzystaj z poniższej tabeli, aby znaleźć więcej zasobów dotyczących usługi Defender for Identity: