零信任 適用於身分識別的Defender
零信任 是設計和實作下列一組安全策略的安全策略:
| 明確驗證 | 使用最低權限存取權 | 假設有安全性缺口 |
|---|---|---|
| 一律根據所有可用的資料點進行驗證及授權。 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA) 、風險型調適型原則和數據保護來限制使用者存取。 | 將發射半徑和區段存取最小化。 驗證端對端加密並使用分析來取得能見度、推動威脅偵測,並改善防禦能力。 |
適用於身分識別的Defender是 零信任策略的主要元件,而您的 XDR 部署具有 Microsoft Defender 全面偵測回應。 適用於身分識別的 Defender 會使用 Active Directory 訊號來偵測突然的帳戶變更,例如許可權提升或高風險橫向移動,並報告容易惡意探索的身分識別問題,例如不受限制的 Kerberos 委派,以供安全性小組更正。
監視 零信任
監視 零信任 時,請務必檢閱並減輕適用於身分識別的 Defender 與其他安全性作業的開啟警示。 您可能也想要在 Microsoft Defender 全面偵測回應 中使用進階搜捕查詢,以尋找跨身分識別、裝置和雲端應用程式的威脅。
例如,您可以使用進階搜捕來探索攻擊者的 橫向動作路徑,然後查看其他偵測是否涉及相同的身分識別。
提示
使用 Microsoft Defender 全面偵測回應、雲端原生安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案,將警示內嵌到 Microsoft Sentinel 中,為資訊安全營運中心 (SOC) 提供單一窗格來監視整個企業的安全性事件。
後續步驟
深入瞭解 零信任,以及如何使用 零信任 指引中心來建置企業級策略和架構。
如需詳細資訊,請參閱: