Opis usługi Microsoft Defender for Identity

  • 4 min

Usługa Microsoft Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń, które używa sygnałów z lokalnych serwerów infrastruktury tożsamości do wykrywania zagrożeń, takich jak eskalacja uprawnień lub przenoszenie boczne wysokiego ryzyka, oraz raporty dotyczące łatwo wykorzystywanych problemów z tożsamością.

Na wysokim poziomie sposób działania usługi Microsoft Defender for Identity wygląda następująco:

  • Usługa Microsoft Defender for Identity używa czujników opartych na oprogramowaniu zainstalowanych na lokalnych serwerach infrastruktury tożsamości (kontrolerach domeny i serwerach z uruchomionymi usługami federacyjnymi Active Directory i usługami certyfikatów Active Directory).

  • Czujnik usługi Defender for Identity uzyskuje dostęp do dzienników zdarzeń, których wymaga bezpośrednio z serwerów. Po przeanalizowaniu dzienników i ruchu sieciowego przez czujnik usługa Defender for Identity wysyła tylko przeanalizowane informacje do usługi Defender for Identity w chmurze. Usługa Defender for Identity w chmurze używa danych/sygnałów uzyskanych do dostarczania rozwiązania do wykrywania zagrożeń i reagowania na zagrożenia tożsamości (IDTR). Usługa Microsoft Defender for Identity ułatwia specjalistom ds. zabezpieczeń zarządzanie środowiskiem hybrydowym, funkcjonalność:

    • Zapobiegaj naruszeniom, proaktywnie oceniając stan tożsamości.
    • Wykrywanie zagrożeń przy użyciu analizy i analizy danych w czasie rzeczywistym.
    • Zbadaj podejrzane działania, korzystając z przejrzystych, przydatnych informacji o zdarzeniu.
    • Reagowanie na ataki przy użyciu automatycznej odpowiedzi na naruszone tożsamości.

  • Konfiguracja usługi oraz sygnały i szczegółowe informacje generowane przez usługę Microsoft Defender for Identity są udostępniane za pośrednictwem portalu Usługi Microsoft Defender, który zapewnia zespołom ds. zabezpieczeń ujednolicone środowisko do badania i reagowania na ataki.

Diagram usługi Defender for Identity. Diagram przedstawia kontroler domeny i usługi AD FS wysyłające i sygnały do usługi Defender for Identity. Usługa Defender for Identity wysyła i odbiera sygnały z usługi Microsoft Defender XDR, która pobiera sygnały z punktów końcowych, usługi Office 365 i aplikacji w chmurze.

Proaktywne ocenianie stanu tożsamości

Usługa Defender for Identity zapewnia jasny widok stanu zabezpieczeń tożsamości, ułatwiając identyfikowanie i rozwiązywanie problemów z zabezpieczeniami przed ich wykorzystaniem przez osoby atakujące. Na przykład usługa Microsoft Defender for Identity stale monitoruje środowisko w celu identyfikowania poufnych kont przy użyciu najbardziej ryzykownych ścieżek przenoszenia bocznego, które narażają na ryzyko bezpieczeństwa, i raportuje na tych kontach pomoc w zarządzaniu środowiskiem. Oceny zabezpieczeń usługi Defender for Identity dostępne z poziomu wskaźnika bezpieczeństwa firmy Microsoft zapewniają dodatkowe szczegółowe informacje w celu poprawy stanu zabezpieczeń i zasad organizacji.

Wykrywanie zagrożeń przy użyciu analizy i analizy danych w czasie rzeczywistym

Usługa Defender for Identity monitoruje i analizuje działania użytkowników oraz informacje w sieci, w tym uprawnienia i członkostwo w grupach, tworząc punkt odniesienia zachowania dla każdego użytkownika. Usługa Defender for Identity identyfikuje anomalie z adaptacyjną wbudowaną inteligencją. Zapewnia wgląd w podejrzane działania i zdarzenia, ujawniając zaawansowane zagrożenia, naruszonych użytkowników i zagrożenia wewnętrzne, przed którymi stoi Twoja organizacja. Usługa Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zagrożeń cybernetycznych:

  • Rekonesans — identyfikowanie nieautoryzowanych użytkowników i osób atakujących w celu uzyskania informacji.
  • Poświadczenia naruszone — identyfikowanie prób naruszenia poświadczeń użytkownika przy użyciu ataków siłowych, nieudanych uwierzytelnień, zmian członkostwa w grupach użytkowników i innych metod.
  • Ruchów poprzecznych — wykrywa próby przeniesienia się poprzecznie do sieci w celu uzyskania dalszej kontroli nad poufnymi użytkownikami.
  • Dominacja domeny — wyświetlanie zachowania osoby atakującej, jeśli aktorzy zagrożeń przejąją kontrolę nad usługą Active Directory, nazywaną dominacją domeny, za pomocą zdalnego wykonywania kodu na kontrolerze domeny lub innych metodach.

Badanie alertów i działań użytkowników

Usługa Defender for Identity została zaprojektowana w celu zmniejszenia ogólnego szumu alertów, zapewniając tylko istotne, ważne alerty zabezpieczeń w prostym, czasie rzeczywistym osi czasu ataku organizacyjnego.

Użyj widoku osi czasu ataku usługi Defender for Identity i analizy inteligentnej analizy, aby skoncentrować się na tym, co ma znaczenie. Ponadto możesz użyć usługi Defender for Identity, aby szybko badać zagrożenia i uzyskiwać szczegółowe informacje w całej organizacji dla użytkowników, urządzeń i zasobów sieciowych.

Usługa Microsoft Defender for Identity chroni organizację przed naruszeniami zabezpieczeń tożsamości, zaawansowanymi zagrożeniami i złośliwymi akcjami poufnymi.

Akcje naprawcze

Usługa Microsoft Defender for Identity obsługuje akcje korygowania, które mają być wykonywane bezpośrednio w tożsamościach lokalnych. Oto kilka przykładów:

  • Wyłącz użytkownika w usłudze Active Directory: spowoduje to tymczasowe uniemożliwienie użytkownikowi zalogowania się do sieci lokalnej. Może to pomóc zapobiec przeniesieniu użytkowników z naruszonych danych i podjęciu próby eksfiltracji danych lub dalszego naruszenia zabezpieczeń sieci.

  • Resetowanie hasła użytkownika — spowoduje to wyświetlenie monitu użytkownika o zmianę hasła podczas następnego logowania, dzięki czemu to konto nie może być używane do dalszych prób personifikacji.

W zależności od ról identyfikatora Entra firmy Microsoft możesz zobaczyć dodatkowe akcje identyfikatora Entra firmy Microsoft, takie jak ponowne zalogowanie się użytkowników i potwierdzenie naruszenia zabezpieczeń użytkownika.

Usługa Microsoft Defender for Identity w portalu usługi Microsoft Defender

Usługa Microsoft Defender for Identity jest doświadczana za pośrednictwem portalu usługi Microsoft Defender. Portal usługi Defender to strona główna do monitorowania zabezpieczeń i zarządzania zabezpieczeniami w tożsamościach, danych, urządzeniach, aplikacjach i infrastrukturze firmy Microsoft, co umożliwia administratorom zabezpieczeń wykonywanie zadań związanych z zabezpieczeniami w jednej lokalizacji.

Węzeł Tożsamości na lewym panelu nawigacyjnym portalu usługi Microsoft Defender obejmuje następujące elementy:

  • Pulpit nawigacyjny usługi Microsoft Defender for Identity zapewnia krytyczne informacje i dane w czasie rzeczywistym dotyczące wykrywania i reagowania na zagrożenia tożsamości (ITDR).

  • Na stronie Problemy z kondycją wymieniono wszystkie bieżące problemy z kondycją wdrożenia i czujników usługi Defender for Identity, ostrzegając o wszelkich problemach we wdrożeniu usługi Defender for Identity.

  • Strona narzędzi zawiera dodatkowe informacje ułatwiające zarządzanie środowiskiem usługi Microsoft Defender for Identity. Przykłady obejmują skrypt gotowości, który można uruchomić, aby określić, czy zostały spełnione wszystkie wymagania wstępne usługi Microsoft Defender for Identity, moduł programu PowerShell z kolekcją funkcji zaprojektowanych w celu ułatwienia konfigurowania i weryfikowania środowiska do pracy z usługą Microsoft Defender for Identity i nie tylko.

Ustawienia, uprawnienia, zdarzenia i alerty, raporty i inne funkcje są również dostępne za pośrednictwem portalu usługi Microsoft Defender. Więcej informacji znajduje się w lekcji "Opisywanie portalu usługi Microsoft Defender" zawartego w tym module.