什麼是適用於身分識別的 Microsoft Defender?
適用於身分識別的 Microsoft Defender 是雲端式安全性解決方案,可協助保護整個組織的身分識別監視。
適用於身分識別的 Defender 已與 Microsoft Defender 全面偵測回應 完全整合,並利用來自 內部部署的 Active Directory 和雲端身分識別的訊號,協助您進一步識別、偵測及調查組織導向的進階威脅。
部署適用於身分識別的 Defender,以協助您的 SecOp 小組跨混合式環境提供新式身分識別威脅偵測 (ITDR) 解決方案,包括:
- 使用主動式身分識別安全性狀態評估來防止缺口
- 使用即時分析和數據智慧偵測威脅
- 使用清楚、可採取動作的事件信息調查可疑活動
- 使用自動回應遭入侵的身分識別來回應攻擊
適用於身分識別的 Defender 先前稱為 Azure 進階威脅防護 (Azure ATP) 。
重要事項
使用傳統適用於身分識別的 Defender 入口網站的客戶現在會自動重新導向至 Microsoft Defender 全面偵測回應,而無須選擇還原回傳統入口網站。
如需詳細資訊,請參閱我們的部落格文章和 Microsoft Defender 全面偵測回應 中的 適用於身分識別的 Microsoft Defender。
保護使用者身分,並減少攻擊面
適用於身分識別的 Defender 可為您提供身分識別設定的寶貴深入解析,以及建議的安全性最佳做法。 透過安全性報告和使用者配置檔分析,適用於身分識別的 Defender 可協助大幅降低組織的受攻擊面,讓您更難入侵使用者認證,並進一步攻擊。
主動評估身分識別狀態
適用於身分識別的 Defender 可讓您清楚檢視身分識別安全性狀態,協助您找出並解決安全性問題,然後攻擊者才能利用這些問題。
例如:
適用於身分識別的Defender 橫向動作路徑 可協助您快速了解攻擊者如何在組織內橫向移動。 橫向動作路徑 可能會危害敏感性帳戶,而適用於身分識別的 Defender 可協助您事先避免這些風險。
適用於身分識別的 Defender 安全性評量可從 Microsoft安全分數取得,可提供額外的深入解析,以改善組織的安全性狀態和原則。
偵測跨新式身分識別環境的威脅
新式身分識別環境通常橫跨內部部署和雲端。 適用於身分識別的 Defender 會使用來自整個環境的數據,包括域控制器、Active Directory 同盟服務 (AD FS) ,以及 ACTIVE Directory 憑證服務 (AD CS) ,為您提供身分識別環境的完整檢視。
適用於身分識別的 Defender 感測器預設會監視域控制器流量。 針對AD FS/AD CS 伺服器,請務必安裝相關的感測器類型,以進行完整的身分識別監視。
如需詳細資訊,請參閱:
- 使用 Microsoft Defender 全面偵測回應 部署 適用於身分識別的 Microsoft Defender
- Active Directory 同盟服務 (AD FS) 上的 適用於身分識別的 Microsoft Defender
識別網路攻擊終止鏈中的可疑活動
通常,攻擊針對任何可存取的實體,例如低權限使用者。 攻擊者接著會快速橫向移動,直到他們取得重要資產的存取權,例如敏感性帳戶、網域系統管理員和高度敏感數據。
適用於身分識別的 Defender 在整個網路攻擊狙殺鍊的來源識別這些進階威脅:
| 威脅 | 在適用於身分識別的 Defender 中... |
|---|---|
| 偵察 | 識別惡意使用者和攻擊者嘗試取得資訊。 攻擊者會使用各種方法搜尋使用者名稱、使用者群組成員資格、指派給裝置的IP位址、資源等相關信息。 |
| 遭入侵的認證 | 使用暴力密碼破解攻擊、失敗的驗證、使用者群組成員資格變更和其他方法,識別入侵使用者認證的嘗試。 |
| 橫向移動 | 偵測嘗試在網路內橫向移動,以進一步控制敏感性使用者,並利用傳遞票證、傳遞哈希、覆寫哈希等方法。 |
| 網域支配 | 如果網域支配已達成,請檢視醒目提示的攻擊者行為。 例如,攻擊者可能會在域控制器上遠端執行程序代碼,或使用DC Shadow、惡意域控制器複寫、黃金票證活動等方法。 |
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 中的安全性警示。
調查警示和使用者活動
適用於身分識別的 Defender 是設計來減少一般警示雜訊,在簡單的即時組織攻擊時程表中,為您提供相關重要安全性警示的優先順序清單。
與 Microsoft Defender 全面偵測回應的緊密整合可讓您將來自其他網域的數據相互關聯,以提供另一層增強的安全性,讓使用者、裝置和網路資源具有更高的可見性和精確度。
相關內容
使用下表來尋找適用於身分識別的Defender的更多資源:
| 資源類型 | 參考 |
|---|---|
| 深入了解 |
-
部署 適用於身分識別的 Microsoft Defender - 授權和隱私權常見問題 - 適用於身分識別的Defender常見問題 - 使用安全性警示 - 適用於身分識別的Defender架構 - 零信任 適用於身分識別的Defender |
| 加入社群 |
-
Microsoft TechCommunity 適用於身分識別的 Defender - 加入適用於身分識別的Defender Yammer社群 - 閱讀 適用於身分識別的Defender部落格 |
| 藍圖 | 請參閱適用於身分識別的Defender即將推出的藍圖 |
| 產品頁面 | 流覽適用於身分識別的Defender產品頁面 |
| 免費試用 | 開始免費試用 |