Описание Microsoft Defender для удостоверений

  • 4 мин

Microsoft Defender для удостоверений — это облачное решение для обеспечения безопасности, использующее сигналы от локальных серверов инфраструктуры удостоверений для обнаружения угроз, таких как повышение привилегий или горизонтальное перемещение с высоким риском, и сообщающее о проблемах с удостоверениями, которыми могут легко воспользоваться злоумышленники.

В общих чертах Microsoft Defender для удостоверений работает следующим образом:

  • Microsoft Defender для удостоверений использует программные датчики, установленные на локальных серверах инфраструктуры удостоверений (контроллеры домена и серверы, на которых запущены службы федерации Active Directory и службы сертификатов Active Directory).

  • Defender для удостоверений обращается к требуемым журналам событий напрямую с серверов. После того как датчик проанализирует журналы и сетевой трафик, Defender для удостоверений отправит в облачную службу Defender для удостоверений только проанализированные данные. Облачная служба Defender для удостоверений использует полученные данные и сигналы, чтобы предоставлять решения для обнаружения угроз для удостоверений и реагирования на них (IDTR). Microsoft Defender для удостоверений помогает специалистам по безопасности, занятыми управлением гибридными средами:

    • Предотвращать нарушения путем проведения упреждающей оценки состояния ваших удостоверений.
    • Выявлять угрозы с помощью аналитики и анализа данных в реальном времени.
    • Исследовать подозрительные действия, используя четкую, действенную информацию об инцидентах.
    • Реагировать на атаки, используя автоматические ответные действия, направленные на скомпрометированные удостоверения.

  • Конфигурация службы, а также сигналы и сведения, формируемые службой Microsoft Defender для удостоверений, отображаются посредством портала Microsoft Defender, который предоставляет отделам безопасности единый интерфейс для исследования атак и реагирования на них.

Схема Defender для удостоверений. На схеме показан контроллер домена и отправка и сигнал ad FS в Defender для удостоверений. Defender для удостоверений отправляет и получает сигналы от XDR в Microsoft Defender, который получает сигналы от конечных точек, Office 365 и облачных приложений.

Упреждающая оценка состояния удостоверений

Defender для удостоверений дает четкое представление о состоянии безопасности ваших удостоверений, помогая выявлять и устранять проблемы безопасности до того, как ими смогут воспользоваться злоумышленники. Например, Microsoft Defender для удостоверений постоянно отслеживает вашу среду, чтобы выявлять конфиденциальные учетные записи с наиболее рискованными путями горизонтального перемещения, которые подвергают риску безопасности, и создает отчеты по таким учетным записям, чтобы помочь вам управлять вашей средой. Оценки безопасности удостоверений Defender для удостоверений, доступные в Оценке безопасности (Майкрософт), предоставляют дополнительную аналитику для улучшения состояния и политик безопасности вашей организации.

Обнаружение угроз с помощью аналитики и анализа данных в реальном времени.

Defender для удостоверений отслеживает и анализирует в сети действия пользователей и информацию о них, такую как права доступа и принадлежность к группам, формируя базовые показатели поведения для каждого пользователя. Затем Defender для удостоверений определяет аномалии с помощью встроенных адаптивных технологий искусственного интеллекта. При этом производится анализ подозрительных действий и событий, что позволяет выявлять сложные угрозы, скомпрометированных пользователей и угрозы на внутреннем уровне, направленные против вашей организации. Defender для удостоверений позволяет определять такие сложные угрозы, начиная с источника и далее по всей цепочке кибератаки:

  • Рекогносцировка — выявление мошеннических пользователей и попыток злоумышленников получить информацию.
  • Скомпрометированные учетные данные — выявление попыток скомпрометировать учетные данные пользователя с помощью атак грубой силы, неудачной аутентификации, изменения членства в группе пользователей и других методов.
  • Горизонтальные перемещения — обнаружение попыток горизонтального перемещения внутри сети с целью получения дальнейшего контроля над конфиденциальными пользователями.
  • Перехват контроля над доменом — просмотр поведения злоумышленников, если субъекты угроз получают контроль над Active Directory (что называется перехватом контроля над доменом) посредством дистанционного выполнения кода на контроллере домена или другими методами.

Исследование оповещений и действий пользователей

В Defender для удостоверений предусмотрено уменьшение общего информационного шума и предоставляются только необходимые и важные оповещения системы безопасности в виде простой временной последовательности, отображающей в реальном времени атаки на уровне организации.

Используйте функции Defender для удостоверений для просмотра временной последовательности атак и интеллектуального анализа, чтобы уделять внимание только самому важному. Defender для удостоверений также позволяет быстро анализировать угрозы и получать информацию о пользователях, устройствах и сетевых ресурсах в масштабе всей организации.

Microsoft Defender для удостоверений защищает вашу организацию от скомпрометированных удостоверений, сложных угроз и вредоносных действий штатных сотрудников.

Действия по исправлению

Microsoft Defender для удостоверений поддерживает выполнение действий по исправлению, которые можно реализовывать непосредственно в ваших локальных удостоверениях. Вот некоторые примеры.

  • Отключить пользователя в Active Directory — это временно не позволит пользователю входить в локальную сеть. Эта мера может помочь предотвратить горизонтальное перемещение скомпрометированных пользователей и попытку кражи данных или дальнейшей компрометации сети.

  • Сбросить пароль пользователя — с помощью этого действия можно предложить пользователю изменить пароль при следующем входе, чтобы его учетная запись не могла использоваться для дальнейших попыток олицетворения.

В зависимости от ролей в Microsoft Entra ID вы можете увидеть дополнительные действия Microsoft Entra ID, такие как требование повторного входа пользователей и подтверждение того, что пользователь скомпрометирован.

Microsoft Defender для удостоверений на портале Microsoft Defender

Служба Microsoft Defender для удостоверений реализуется посредством портала Microsoft Defender. Портал Defender — это центральный узел мониторинга и управления безопасностью ваших удостоверений, данных, устройств, приложений и инфраструктуры Microsoft, что позволяет администраторам безопасности выполнять свои задачи безопасности в едином пункте.

В блоке удостоверений на левой панели навигации на портале Microsoft Defender представлены следующие возможности:

  • На панели мониторинга Microsoft Defender для удостоверений представлены критически важные аналитика и данные в реальном времени об обнаружении угроз для удостоверений и реагирования на них (ITDR).

  • На странице проблемы с работоспособностью перечислены все текущие проблемы с работоспособностью для развертывания Defender для удостоверений и датчиков, чтобы предупредить вас о любых проблемах в развертывании Defender для удостоверений.

  • На странице инструментов приведена дополнительная информация, которая поможет вам управлять средой Microsoft Defender для удостоверений. В качестве примеров можно привести сценарий готовности, который вы можете запустить, чтобы определить, выполнены ли все предварительные условия Microsoft Defender для удостоверений, модуль PowerShell с набором функций, разработанных для помощи в настройке и проверке вашей среды для работы Microsoft Defender для удостоверений, и многое другое.

На портале Microsoft Defender также доступны параметры, разрешения, инциденты и оповещения, отчеты и другие функции. Более подробная информация представлена в разделе «Описание портала Microsoft Defender», включенном в этот модуль.