介绍 Microsoft Defender for Identity

  • 4 分钟

Microsoft Defender for Identity 是一种基于云的安全解决方案,它使用来自本地身份基础结构服务器的信号来检测威胁,例如特权提升或高风险横向移动,并报告容易被利用的身份问题。

概括而言,Microsoft Defender for Identity 的工作方式如下所述:

  • Microsoft Defender for Identity 使用安装在本地身份基础结构服务器(域控制器和运行 Active Directory 联合服务和 Active Directory 证书服务的服务器)上的基于软件的传感器。

  • Defender for Identity 传感器可以直接从服务器访问所需的事件日志。 在传感器对这些日志和网络流量进行分析后,Defender for Identity 仅将此分析信息发送到 Defender for Identity 云服务。 Defender for Identity 云服务使用获得的数据/信号来提供身份威胁检测和响应 (IDTR) 解决方案。 Microsoft Defender for Identity 帮助安全专业人员管理混合环境,其功能包括:

    • 通过主动评估身份安全状态来防止违规。
    • 使用实时分析和数据智能来检测威胁。
    • 使用清晰、可操作的事件信息来调查可疑活动。
    • 应对攻击,对泄露的身份使用自动响应。

  • 该服务的配置以及 Microsoft Defender for Identity 服务生成的信号和见解通过 Microsoft Defender 门户公开,该门户为安全团队提供了用于调查和应对攻击的统一体验。

Defender for Identity 的示意图。此示意图显示了域控制器和 AD FS 向 Defender for Identity 发送信号。Defender for Identity 正在从 Microsoft Defender XDR 发送和接收信号,后者从终结点、Office 365 和云应用获取信号。

主动评估标识状态

Defender for Identity 提供对标识安全状态的清晰视图,可帮助识别和解决安全问题,以免被攻击者利用。 例如,Microsoft Defender for Identity 会持续监视你的环境,以识别具有暴露安全风险的最危险横向移动路径的敏感帐户,并报告这些帐户以帮助你管理环境。 Microsoft 安全功能分数提供的 Defender for Identity 安全评估可提供额外的见解,以改进组织的安全状况和策略。

使用实时分析和数据智能来检测威胁

Defender for Identity 监视并分析网络中的用户活动和信息(包括权限和组成员身份),为每个用户创建行为基线。 然后 Defender for Identity 通过自适应内置智能识别异常。 它让你深入了解可疑活动和事件,揭示组织面临的高级威胁、用户泄露和内部威胁。 Defender for Identity 在整个网络攻击杀伤链中在源级别识别这些高级威胁:

  • 侦查:识别流氓用户和攻击者想要获取信息的企图。
  • 泄露的凭据:识别使用暴力攻击、失败的身份验证、用户组成员身份更改及其他方法入侵用户凭据的企图。
  • 横向移动 - 检测尝试在网络内横向移动以进一步控制敏感用户的操作。
  • 域支配 - 如果威胁行动者通过在域控制器上远程执行代码或采用其他方法获得对 Active Directory 的控制(称为域支配),则查看攻击者行为。

调查警报和用户活动

Defender for Identity 旨在降低一般警报噪音,在简单的实时组织攻击时间线中仅提供相关、重要的安全警报。

使用 Defender for Identity 攻击时间线视图和智能分析的智慧来关注重要内容。 还可使用 Defender for Identity 快速调查威胁并深入了解组织中的用户、设备和网络资源。

Microsoft Defender for Identity 防止组织遭受标识泄露、高级威胁和恶意内部操作。

修正操作

Microsoft Defender for Identity 支持直接对你的本地标识执行补救操作。 示例包括:

  • 在 Active Directory 中禁用用户:这会暂时阻止用户登录到本地网络。 此举有助于防止遭入侵用户横向移动并试图外泄数据或进一步入侵网络。

  • 重置用户密码 – 这将在下次登录时提示用户更改其密码,确保此帐户无法被用于进一步模拟尝试。

根据你的 Microsoft Entra ID 角色,你可能会看到其他的 Microsoft Entar ID 操作,例如要求用户重新登录并确认用户已被泄露。

Microsoft Defender 门户中的 Microsoft Defender for Identity

可通过 Microsoft Defender 门户体验 Microsoft Defender for Identity。 Defender 门户是监视和管理 Microsoft 标识、数据、设备、应用和基础结构的安全性的主页,允许安全管理员在一个位置执行其安全任务。

Microsoft Defender 门户左侧导航面板上的“标识”节点包括以下内容:

  • Microsoft Defender for Identity 仪表板提供有关身份威胁检测和响应 (ITDR) 的关键见解和实时数据。

  • “运行状况问题”页列出 Defender for Identity 部署和传感器的任何当前运行状况问题,提醒你在 Defender for Identity 部署中出现的任何问题。

  • “工具”页列出有助于管理 Microsoft Defender for Identity 环境的其他信息。 示例包括一个就绪情况脚本(可以运行该脚本来确定是否已准备好所有 Microsoft Defender for Identity 先决条件)、一个 PowerShell 模块(其中包含一系列功能,用来帮助你配置和验证用于运行 Microsoft Defender for Identity 的环境)以及其他内容。

Microsoft Defender 门户还提供设置、权限、事件和警报、报告和其他功能。 本模块中的“描述 Microsoft Defender 门户”单元涵盖了更多信息。