Что такое Microsoft Defender для удостоверений?
Microsoft Defender для удостоверений — это облачное решение для обеспечения безопасности, которое помогает защитить мониторинг удостоверений в организации.
Defender для удостоверений полностью интегрирован с Microsoft Defender XDR и использует сигналы от локальная служба Active Directory и облачных удостоверений, чтобы лучше выявлять, обнаруживать и исследовать сложные угрозы, направленные на вашу организацию.
Разверните Defender для удостоверений, чтобы помочь командам SecOp предоставить современное решение для обнаружения угроз идентификации (ITDR) в гибридных средах, в том числе:
- Предотвращение нарушений с помощью упреждающих оценок состояния безопасности удостоверений
- Обнаружение угроз с помощью аналитики в режиме реального времени и аналитики данных
- Исследование подозрительных действий с использованием четкой информации об инцидентах с действиями
- Реагирование на атаки с помощью автоматического ответа на скомпрометированные удостоверения
Defender для удостоверений ранее назывался Azure Advanced Threat Protection (Azure ATP).
Важно!
Клиенты, использующие классический портал Defender для удостоверений, теперь автоматически перенаправляются на Microsoft Defender XDR без возможности отменить изменения обратно на классический портал.
Дополнительные сведения см. в записи блога и Microsoft Defender для удостоверений в Microsoft Defender XDR.
Защитите удостоверения пользователей и уменьшите количество направлений атак
Defender для удостоверений предоставляет ценные сведения о конфигурациях удостоверений и рекомендации по обеспечению безопасности. Благодаря отчетам о безопасности и анализу профилей пользователей Defender для удостоверений помогает значительно сократить количество направлений атак в организации, усложняя компрометацию учетных данных пользователя и способствуя атаке.
Упреждающая оценка состояния удостоверений
Defender для удостоверений предоставляет четкое представление о безопасности удостоверений, помогая выявлять и устранять проблемы безопасности, прежде чем злоумышленники смогут их использовать.
Например:
Пути бокового перемещения Defender для удостоверений помогают быстро понять, как злоумышленник может перемещаться в вашей организации в боковом направлении. Пути бокового смещения могут поставить под угрозу конфиденциальные учетные записи, а Defender для удостоверений помогает заранее предотвратить эти риски.
Оценки безопасности Defender для удостоверений, доступные в Microsoft Secure Score, предоставляют дополнительные аналитические сведения для улучшения состояния безопасности организации и политик.
Обнаружение угроз в современных средах идентификации
Современные среды идентификации часто охватывают как локальные, так и облачные среды. Defender для удостоверений использует данные из разных сред, включая контроллеры домена, службы федерации Active Directory (AD FS) (AD FS) и службы сертификатов Active Directory (AD CS), чтобы получить полное представление о вашей среде удостоверений.
Датчики Defender для удостоверений по умолчанию отслеживают трафик контроллера домена. Для серверов AD FS и AD CS обязательно установите соответствующий тип датчика для полного мониторинга удостоверений.
Дополнительные сведения см. в разделе:
- Развертывание Microsoft Defender для удостоверений с помощью Microsoft Defender XDR
- Microsoft Defender для удостоверений на службы федерации Active Directory (AD FS) (AD FS)
Выявление подозрительных действий в цепочке кибератак
Как правило, атаки запускаются против любого доступного объекта, например пользователя с низким уровнем привилегий. Затем злоумышленники быстро перемещаются в боковой режим, пока не получат доступ к ценным ресурсам, таким как конфиденциальные учетные записи, администраторы домена и высоко конфиденциальные данные.
Defender для идентификации идентифицирует эти сложные угрозы в источнике по всей цепочке уничтожения кибератак:
| Угрозы | В Defender для удостоверений ... |
|---|---|
| Разведка | Выявление пользователей-изгоев и попыток злоумышленников получить информацию. Злоумышленники ищут сведения об именах пользователей, членстве пользователей в группах, IP-адресах, назначенных устройствам, ресурсам и т. д., используя различные методы. |
| Скомпрометированные учетные данные | Определите попытки компрометации учетных данных пользователя с помощью атак методом подбора, неудачной проверки подлинности, изменения членства в группах пользователей и других методов. |
| Боковые движения | Обнаруживайте попытки бокового перемещения внутри сети, чтобы получить дополнительный контроль над конфиденциальными пользователями, используя такие методы, как передача билета, передача хэша, превышение хэша и многое другое. |
| Доминирование домена | Просмотр выделенного поведения злоумышленника, если достигнуто доминирование в домене. Например, злоумышленники могут выполнять код удаленно на контроллере домена или использовать такие методы, как DC Shadow, репликация вредоносного контроллера домена, действия Golden Ticket и многое другое. |
Дополнительные сведения см. в разделе Оповещения системы безопасности в Microsoft Defender для удостоверений.
Исследование оповещений и действий пользователей
Defender для удостоверений предназначен для снижения общего шума оповещений, предоставляя приоритетный список важных оповещений системы безопасности в простой атаке в реальном времени в организации временная шкала.
Простая интеграция с Microsoft Defender XDR обеспечивает еще один уровень повышенной безопасности, сопоставляя данные из других доменов для повышения видимости и точности между пользователями, устройствами и сетевыми ресурсами.
Дополнительные сведения см. в разделах Исследование ресурсов и Изучение оповещений системы безопасности.
Связанные материалы
Используйте следующую таблицу, чтобы найти дополнительные ресурсы о Defender для удостоверений: