Descrever o Microsoft Defender for Identity

  • 4 minutos

O Microsoft Defender for Identity é uma solução de segurança baseada em nuvem que usa sinais de seus servidores de infraestrutura de identidade locais para detetar ameaças, como escalonamento de privilégios ou movimento lateral de alto risco, e relatórios sobre problemas de identidade facilmente explorados.

Em um alto nível, a maneira como o Microsoft Defender for Identity funciona é a seguinte:

  • O Microsoft Defender for Identity usa sensores baseados em software instalados em seus servidores de infraestrutura de identidade locais (controladores de domínio e servidores que executam os Serviços Federados do Ative Directory e os Serviços de Certificados do Ative Directory).

  • O sensor do Defender for Identity acessa os logs de eventos necessários diretamente dos servidores. Depois que os logs e o tráfego de rede são analisados pelo sensor, o Defender for Identity envia apenas as informações analisadas para o serviço de nuvem do Defender for Identity. O serviço de nuvem Defender for Identity usa os dados/sinais obtidos para fornecer uma solução de deteção e resposta a ameaças de identidade (IDTR). O Microsoft Defender for Identity ajuda os profissionais de segurança, gerenciando um ambiente híbrido, a funcionalidade a:

    • Previna violações, avaliando proativamente a sua postura de identidade.
    • Detete ameaças, usando análises em tempo real e inteligência de dados.
    • Investigue atividades suspeitas, usando informações claras e acionáveis sobre incidentes.
    • Responda a ataques, usando a resposta automática a identidades comprometidas.

  • A configuração do serviço e os sinais e informações gerados pelo serviço Microsoft Defender for Identity são expostos por meio do portal Microsoft Defender, que fornece às equipes de segurança uma experiência unificada para investigar e responder a ataques.

Um diagrama do Defender for Identity. O diagrama mostra um controlador de domínio e o envio e sinais do AD FS para o Defender for Identity. O Defender for Identity está enviando e recebendo sinais do Microsoft Defender XDR, que recebe sinais de endpoints, Office 365 e aplicativos na nuvem.

Avalie proativamente a sua postura identitária

O Defender for Identity fornece uma visão clara da sua postura de segurança de identidade, ajudando-o a identificar e resolver problemas de segurança antes que eles possam ser explorados por invasores. Por exemplo, o Microsoft Defender for Identity monitora continuamente seu ambiente para identificar contas confidenciais com os caminhos de movimento lateral mais arriscados que expõem um risco de segurança e relatórios sobre essas contas para ajudá-lo a gerenciar seu ambiente. As avaliações de segurança do Defender for Identity, disponíveis no Microsoft Secure Score, fornecem informações adicionais para melhorar sua postura e políticas de segurança organizacional.

Detete ameaças, usando análises em tempo real e inteligência de dados

O Defender for Identity monitora e analisa as atividades e informações do usuário em toda a rede, incluindo permissões e associação ao grupo, criando uma linha de base comportamental para cada usuário. Em seguida, o Defender for Identity identifica anomalias com inteligência integrada adaptativa. Ele fornece informações sobre atividades e eventos suspeitos, revelando as ameaças avançadas, usuários comprometidos e ameaças internas enfrentadas pela sua organização. O Defender for Identity identifica estas ameaças avançadas na origem ao longo de toda a cadeia de abate de ciberataques:

  • Reconhecimento - Identifique utilizadores fraudulentos e tentativas de ataques para obter informações.
  • Credenciais comprometidas - Identifique tentativas de comprometer as credenciais do usuário usando ataques de força bruta, autenticações com falha, alterações de associação a grupos de usuários e outros métodos.
  • Movimentos laterais - Detete tentativas de se mover lateralmente dentro da rede para obter mais controle de usuários sensíveis.
  • Dominância de domínio - Visualize o comportamento do invasor se os agentes de ameaça obtiverem controle sobre o Ative Directory, conhecido como domínio de domínio, por meio da execução remota de código no controlador de domínio ou outros métodos.

Investigar alertas e atividades do usuário

O Defender for Identity foi projetado para reduzir o ruído geral de alerta, fornecendo apenas alertas de segurança relevantes e importantes em uma linha do tempo de ataque organizacional simples e em tempo real.

Use a visualização da linha do tempo de ataque do Defender for Identity e a inteligência da análise inteligente para manter o foco no que importa. Além disso, você pode usar o Defender for Identity para investigar ameaças rapidamente e obter informações sobre usuários, dispositivos e recursos de rede em toda a organização.

O Microsoft Defender for Identity protege sua organização contra identidades comprometidas, ameaças avançadas e ações internas mal-intencionadas.

Ações de remediação

O Microsoft Defender for Identity oferece suporte a ações de correção a serem executadas diretamente em suas identidades locais. Exemplos incluem:

  • Desabilitar usuário no Ative Directory: isso impedirá temporariamente que um usuário entre na rede local. Isso pode ajudar a evitar que usuários comprometidos se movam lateralmente e tentem exfiltrar dados ou comprometer ainda mais a rede.

  • Redefinir senha de usuário – Isso solicitará que o usuário altere sua senha no próximo login, garantindo que essa conta não possa ser usada para outras tentativas de falsificação de identidade.

Dependendo de suas funções de ID do Microsoft Entra, você poderá ver ações adicionais do ID do Microsoft Entra, como exigir que os usuários entrem novamente e confirmar um usuário como comprometido.

Microsoft Defender for Identity no portal do Microsoft Defender

O Microsoft Defender for Identity é experimentado através do portal Microsoft Defender. O portal do Defender é a casa para monitorar e gerenciar a segurança em suas identidades, dados, dispositivos, aplicativos e infraestrutura da Microsoft, permitindo que os administradores de segurança executem suas tarefas de segurança em um único local.

O nó Identidades no painel de navegação esquerdo do portal do Microsoft Defender inclui o seguinte:

  • O Painel do Microsoft Defender for Identity fornece informações críticas e dados em tempo real sobre deteção e resposta a ameaças de identidade (ITDR).

  • A página Problemas de integridade lista todos os problemas de integridade atuais da implantação e dos sensores do Defender for Identity, alertando-o sobre quaisquer problemas na implantação do Defender for Identity.

  • A página de ferramentas lista informações adicionais para ajudar a gerenciar seu ambiente do Microsoft Defender for Identity. Os exemplos incluem um script de preparação que você pode executar para determinar se todos os pré-requisitos do Microsoft Defender for Identity estão em vigor, um módulo do PowerShell com uma coleção de funções projetadas para ajudá-lo a configurar e validar seu ambiente para trabalhar com o Microsoft Defender for Identity e muito mais.

Configurações, permissões, incidentes e alertas, relatórios e outros recursos também estão disponíveis no portal do Microsoft Defender. Mais informações são abordadas na unidade, "Descrever o portal do Microsoft Defender", incluída neste módulo.