描述適用於身分識別的 Microsoft Defender

  • 4 分鐘

適用於身分識別的 Microsoft Defender 是雲端式安全性解決方案,其使用來自內部部署身分識別基礎結構伺服器的訊號來偵測威脅,例如權限提升或高風險橫向移動,以及通報容易遭到利用的身分識別問題。

概括而言,「適用於身分識別的 Microsoft Defender」的運作方式如下:

  • 適用於身分識別的 Microsoft Defender 會使用安裝在內部部署身分識別基礎結構伺服器上的軟體型感應器 (執行 Active Directory 同盟服務和 Active Directory 憑證服務的域控制器和伺服器)。

  • 適用於身分識別的 Defender 感應器會直接從伺服器存取其所需的事件記錄。 在感應器剖析記錄檔和網路流量之後,適用於身分識別的 Defender 只會將經剖析的資訊傳送到適用於身分識別的 Defender 雲端服務。 適用於身分識別的 Defender 雲端服務會使用取得的資料/訊號,來傳遞身分識別威脅偵測和回應 (IDTR) 解決方案。 適用於身分識別的 Microsoft Defender 會協助安全性專業人員管理混合式環境功能,以便:

    • 藉由主動評估您的身分識別態勢來防止出現安全性缺口。
    • 使用即時分析和資料情報來偵測威脅。
    • 使用清楚且可採取動作的事件資訊調查可疑活動。
    • 對遭入侵的身分識別使用自動回應來回應攻擊。

  • 服務的設定和適用於身分識別的 Microsoft Defender 服務所產生的訊號及深入解析,會透過 Microsoft Defender 入口網站提供,為安全性小組提供調查和回應攻擊的整合體驗。

適用於身分識別的 Defender 圖表。此圖顯示網域控制站和 AD FS 傳送訊號給適用於身分識別的 Defender。適用於身分識別的 Defender 會從「Microsoft Defender 全面偵測回應」傳送和接收訊號,從端點、Office 365 和雲端應用程式取得訊號。

主動評估您的身分識別狀態

適用於身分識別的 Defender 可讓您清楚檢視身分識別安全性態勢,協助您找出安全性問題並將其解決,從而避免攻擊者利用這些問題。 例如,適用於身分識別的 Microsoft Defender 會持續監視您的環境,以找出哪些敏感性帳戶具有最可能暴露安全性風險的橫向動作路徑,並通報這些帳戶來協助您管理環境。 適用於身分識別的 Defender 安全性評估可從 Microsoft 安全分數中取得,可提供您額外的深入解析來改善組織的安全性態勢和原則。

使用即時分析和資料情報,偵測威脅

適用於身分識別的 Defender 會監視並分析整個網路的使用者活動與資訊,包括權限與群組成員資格,並為每個使用者建立行為基準。 隨後適用於身分識別的 Defender 會使用調適型內建情報來識別異常。 其會提供您對可疑活動與事件的深入解析,揭露進階威脅、遭入侵的使用者與組織所面臨的內部威脅。 適用於身分識別的 Defender 會從整個網路攻擊狙殺鏈來源識別這些進階威脅:

  • 偵察 - 識別流氓使用者和攻擊者取得資訊的嘗試。
  • 遭盜用的認證 - 識別透過暴力密碼破解攻擊、失敗的驗證、使用者群組成員資格變更等其他方法入侵使用者認證的嘗試。
  • 橫向移動 - 偵測在網路內橫向移動的嘗試,以進一步控制敏感性使用者。
  • 網域支配 - 如果威脅執行者透過網域控制站上的遠端程式碼執行或其他方法取得對 Active Directory 的控制 (也稱為網域支配),則可檢視攻擊者行為。

調查警示和使用者活動

適用於身分識別的 Defender 是設計來減少一般警示干擾,只在簡單的即時組織攻擊時間軸中,提供相關的重要安全性警示。

使用適用於身分識別的 Defender 檢視攻擊時間軸和智慧分析的情報,以專注於重要的事項。 您可以使用適用於身分識別的 Defender 快速調查威脅,並取得整個組織中使用者、裝置與網路資源的深入解析。

適用於身分識別的 Microsoft Defender 可保護您的組織免於遭盜用的身分識別、進階威脅和惡意內部動作。

補救動作

適用於身分識別的 Microsoft Defender 支援直接在內部部署身分識別上執行補救動作。 範例包含:

  • 在 Active Directory 中停用使用者:這會暫時阻止使用者登入內部部署網路。 此方式有助於防止遭入侵的使用者橫向移動及嘗試洩漏資料,或進一步入侵網路。

  • 重設使用者密碼 – 這會提示使用者在下一次登入時變更其密碼,並確保此帳戶無法用於進一步的模擬嘗試。

根據您的 Microsoft Entra ID 角色,您可能會看到其他 Microsoft Entra ID 動作,例如在遭入侵時要求使用者再次登入及確認使用者。

Microsoft Defender 入口網站中適用於身分識別的 Microsoft Defender

適用於身分識別的 Microsoft Defender 可透過 Microsoft Defender 入口網站來體驗。 Defender 入口網站是監視和管理您 Microsoft 身分識別、資料、裝置、應用程式和基礎結構的安全性的首頁,可讓安全性系統管理員在一個位置執行其安全性工作。

Microsoft Defender 入口網站左側導覽面板上的 [身分識別] 節點包含以下內容:

  • 適用於身分識別的 Microsoft Defender 儀表板提供身分識別威脅偵測和回應 (ITDR) 的重要深入解析和即時資料。

  • [健康情況問題] 頁面會列出適用於身分識別的 Defender 部署和感應器的任何目前健康情況問題,提醒您適用於身分識別的 Defender 部署中發生任何問題。

  • 工具頁面會列出其他資訊,協助您管理適用於身分識別的 Microsoft Defender 環境。 範例包括一個就緒指令碼,您可以執行以判斷所有適用於身分識別的 Microsoft Defender 必要條件是否已就緒,以及 PowerShell 模組,其中包含一組協助您設定及驗證環境的功能,用於讓適用於身分識別的 Microsoft Defender 運作,以及其他項目。

設定、權限、事件和警示、報告和其他功能也可以透過 Microsoft Defender 入口網站取得。 本課程模組中包含的單元「描述 Microsoft Defender 入口網站」中提供詳細資訊。