Descrever o Microsoft Defender para Identidade

  • 4 minutos

O Microsoft Defender para Identidade é uma solução de segurança baseada na nuvem que utiliza sinais dos seus servidores de infraestrutura de identidade no local para detetar ameaças, como escalonamento de privilégios ou movimentos laterais de alto risco, e relatórios sobre problemas de identidade facilmente explorados.

Em alto nível, a forma como o Microsoft Defender para Identidade funciona é a seguinte:

  • O Microsoft Defender para Identidade usa sensores baseados em software instalados em seus servidores de infraestrutura de identidade local (controladores de domínio e servidores que executam os Serviços Federados do Active Directory e os Serviços de Certificados do Active Directory).

  • O sensor Defender for Identity acessa os logs de eventos necessários diretamente dos servidores. Depois que o tráfego de rede e os logs são analisados pelo sensor, o Defender para Identidade envia apenas as informações analisadas ao serviço de nuvem do Defender para Identidade. O serviço de nuvem Defender for Identity usa os dados/sinais obtidos para fornecer uma solução de detecção e resposta a ameaças de identidade (IDTR). O Microsoft Defender para Identidade ajuda os profissionais de segurança, gerenciando um ambiente híbrido, a funcionalidade para:

    • Evite violações avaliando proativamente sua postura de identidade.
    • Detecte ameaças usando análises em tempo real e inteligência de dados.
    • Investigue atividades suspeitas usando informações de incidentes claras e acionáveis.
    • Responda a ataques usando resposta automática a identidades comprometidas.

  • A configuração do serviço e os sinais e insights gerados pelo serviço Microsoft Defender para Identidade são expostos através do portal Microsoft Defender que fornece às equipes de segurança uma experiência unificada para investigar e responder a ataques.

Um diagrama do Defender for Identity. O diagrama mostra um controlador de domínio e envio de AD FS e sinais para o Defender for Identity. O Defender for Identity está enviando e recebendo sinais do Microsoft Defender XDR, que recebe sinais de pontos de extremidade, Office 365 e aplicativos em nuvem.

Avalie proativamente sua postura de identidade

O Defender para Identidade fornece uma visão clara de sua postura de segurança de identidade, ajudando você a identificar e resolver problemas de segurança antes que eles possam ser explorados por invasores. Por exemplo, o Microsoft Defender para Identidade monitoriza continuamente o seu ambiente para identificar contas sensíveis com os caminhos de movimento lateral mais arriscados que expõem um risco de segurança e gera relatórios sobre essas contas para o ajudar a gerir o seu ambiente. As avaliações de segurança do Defender para Identidade, disponíveis no Microsoft Secure Score, fornecem informações adicionais para melhorar a postura e as políticas de segurança organizacional.

Detectar ameaças usando análise em tempo real e inteligência de dados

O Defender para Identidade monitora e analisa as atividades e informações do usuário em toda a rede, incluindo permissões e Associação de grupo, criando uma linha de base comportamental para cada usuário. Em seguida, o Defender para Identidade identifica anomalias com inteligência interna adaptável. Ele fornece informações sobre atividades suspeitas e eventos, revelando as ameaças avançadas, os usuários comprometidos e as ameaças internas que enfrentam sua organização. O Defender para Identidade identifica essas ameaças avançadas na origem durante toda a cadeia do ataque cibernético:

  • Reconhecimento – identifica usuários invasores e tentativas de invasores de obter informações.
  • Credenciais comprometidas – identifique tentativas de comprometer as credenciais do usuário usando ataques de força bruta, falhas de autenticação, alterações na associação de grupos de usuários e outros métodos.
  • Movimentos laterais – detecte tentativas de se mover lateralmente dentro da rede para obter mais controle sobre usuários confidenciais.
  • Domínio de domínio – visualize o comportamento do invasor se os agentes da ameaça obtiverem controle sobre o Active Directory, conhecido como domínio de domínio, por meio da execução remota de código no controlador de domínio ou de outros métodos.

Investigar alertas e atividades do usuário

O Defender para Identidade foi projetado para reduzir o ruído de alertas gerais, fornecendo apenas alertas de segurança importantes e relevantes em uma linha do tempo de ataque organizacional simples e em tempo real.

Use a exibição de linha do tempo de ataque do Defender para Identidade e a inteligência do Smart Analytics para se concentrar no que importa. Você também pode usar o Defender para Identidade para investigar rapidamente as ameaças e receber insights de toda a organização sobre usuários, dispositivos e recursos de rede.

O Microsoft Defender para Identidade protege sua organização contra identidades comprometidas, ameaças avançadas e ações internas mal-intencionadas.

Ações de correção

O Microsoft Defender para Identidade suporta ações de remediação a serem executadas diretamente nas suas identidades locais. Os exemplos incluem:

  • Desabilitar o usuário no Active Directory: Isso impedirá temporariamente que um usuário faça login na rede local. Isso pode ajudar a impedir que usuários comprometidos se movam lateralmente e tentem exfiltrar dados ou comprometer ainda mais a rede.

  • Redefinir senha do usuário – Isso solicitará que o usuário altere sua senha no próximo login, garantindo que essa conta não possa ser usada para novas tentativas de falsificação de identidade.

Dependendo das funções do Microsoft Entra ID, você poderá ver ações adicionais do Microsoft Entra ID, como exigir que os usuários entrem novamente e confirmar um usuário como comprometido.

Microsoft Defender para Identidade no portal do Microsoft Defender

O Microsoft Defender para Identidade é experimentado por meio do portal Microsoft Defender. O portal Defender é o local para monitorar e gerenciar a segurança de suas identidades, dados, dispositivos, aplicativos e infraestrutura da Microsoft, permitindo que os administradores de segurança executem suas tarefas de segurança em um único local.

O nó Identidades no painel de navegação esquerdo do portal Microsoft Defender inclui o seguinte:

  • O Painel do Microsoft Defender para Identidade fornece insights críticos e dados em tempo real sobre detecção e resposta a ameaças de identidade (ITDR).

  • A página Problemas de saúde lista quaisquer problemas de saúde atuais para a implantação e os sensores do Defender para Identidade, alertando-o sobre quaisquer problemas na implantação do Defender para Identidade.

  • A página de ferramentas lista informações adicionais para ajudar a gerenciar seu ambiente Microsoft Defender para Identidade. Os exemplos incluem um script de preparação que você pode executar para determinar se todos os pré-requisitos do Microsoft Defender for Identity estão em vigor, um módulo do PowerShell com uma coleção de funções projetadas para ajudá-lo a configurar e validar seu ambiente para funcionar no Microsoft Defender para Identidade e muito mais.

Configurações, permissões, incidentes e alertas, relatórios e outros recursos também estão disponíveis no portal do Microsoft Defender. Mais informações são abordadas na unidade, "Descrever o portal do Microsoft Defender," incluída neste módulo.