Co je Microsoft Defender for Identity?

Microsoft Defender for Identity (dříve Azure Advanced Threat Protection, označované také jako Azure ATP) je cloudové řešení zabezpečení, které využívá vaše místní Active Directory signály k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých vnitřních akcí zaměřených na vaši organizaci.

Defender for Identity umožňuje analytikům SecOp a odborníkům na zabezpečení zjišťovat pokročilé útoky v hybridních prostředích, aby:

  • Monitorování uživatelů, chování entit a aktivit pomocí analýz založených na učení
  • Ochrana identit uživatelů a přihlašovacích údajů uložených ve službě Active Directory
  • Identifikace a zkoumání podezřelých aktivit uživatelů a pokročilých útoků v celém řetězci kill
  • Poskytnutí jasných informací o incidentech na jednoduché časové ose pro rychlé třídění

Monitorování a analýza chování a aktivit uživatelů

Defender for Identity monitoruje a analyzuje aktivity uživatelů a informace v síti, jako jsou oprávnění a členství ve skupinách, a vytváří pro každého uživatele směrný plán chování. Defender for Identity pak identifikuje anomálie s adaptivní integrovanou inteligencí a poskytuje přehled o podezřelých aktivitách a událostech, odhalení pokročilých hrozeb, ohrožených uživatelů a vnitřních hrozeb, kterým čelí vaše organizace. Proprietární senzory služby Defender for Identity monitorují řadiče domény organizace a poskytují komplexní zobrazení pro všechny aktivity uživatelů ze všech zařízení.

Ochrana identit uživatelů a omezení prostoru pro útoky

Defender for Identity poskytuje neocenitelné přehledy o konfiguracích identit a navrhovaných osvědčených postupech zabezpečení. Díky sestavám zabezpečení a analýzám profilů uživatelů pomáhá Defender for Identity výrazně snížit prostor pro útoky vaší organizace, což znesnadňuje ohrožení přihlašovacích údajů uživatelů a před útokem. Vizuální laterální cesty pohybu v programu Defender for Identity vám pomůžou rychle pochopit, jak může útočník v organizaci přejít později, aby mohl ohrozit citlivé účty a pomáhá zabránit těmto rizikům předem. Sestavy zabezpečení Defenderu for Identity vám pomůžou identifikovat uživatele a zařízení, která se ověřují pomocí hesel s jasným textem, a poskytují další přehledy, které vám pomůžou zlepšit stav zabezpečení a zásady organizace.

Ochrana služby AD FS v hybridních prostředích

Active Directory Federation Services (AD FS) (AD FS) hraje důležitou roli v dnešní infrastruktuře, pokud jde o ověřování v hybridních prostředích. Defender for Identity chrání službu AD FS ve vašem prostředí tím, že detekuje místní útoky na službu AD FS a poskytuje přehled o událostech ověřování generovaných službou AD FS. Další informace najdete v tématu Microsoft Defender for Identity o Active Directory Federation Services (AD FS) (AD FS).

Identifikace podezřelých aktivit a pokročilýchútokůch

Obvykle se útoky spustí na jakoukoli přístupnou entitu, jako je například uživatel s nízkou úrovní oprávnění, a pak se rychle přesune později, dokud útočník získá přístup k cenným prostředkům , jako jsou citlivé účty, správci domény a vysoce citlivá data. Defender for Identity identifikuje tyto pokročilé hrozby na zdroji v celém řetězci kyber-útoku:

Rekognoskace

Identifikujte podvodné uživatele a pokusy útočníků o získání informací. Útočníci hledají informace o uživatelských jménech, členství ve skupinách uživatelů, IP adresách přiřazených k zařízením, prostředkům a dalším prostředkům pomocí různých metod.

Prozrazené přihlašovací údaje

Identifikujte pokusy o ohrožení přihlašovacích údajů uživatele pomocí útoků hrubou silou, neúspěšných ověřování, změn členství ve skupinách uživatelů a dalších metod.

Laterální pohyby

Detekce pokusů o pozdější přesun uvnitř sítě, aby získala další kontrolu nad citlivými uživateli, s využitím metod, jako je Pass the Ticket, Pass the Hash, Overpass a další.

Dominance v doméně

Zvýrazňování chování útočníka v případě, že je dosaženo dominance domény, prostřednictvím vzdáleného spuštění kódu na řadiči domény a metod, jako je stín řadiče domény dc, škodlivá replikace řadiče domény, aktivity Golden Ticket a další.

Zkoumání výstrah a aktivit uživatelů

Defender for Identity je navržený tak, aby snižoval obecný šum výstrah a poskytoval jenom relevantní důležité výstrahy zabezpečení v jednoduché časové ose útoku organizace v reálném čase. Zobrazení časové osy útoku Defender for Identity umožňuje snadno se soustředit na to, co je důležité, a využívat inteligentní analýzy. Pomocí programu Defender for Identity můžete rychle prozkoumat hrozby a získat přehledy v organizaci pro uživatele, zařízení a síťové prostředky. Bezproblémová integrace s Microsoft Defender for Endpoint poskytuje další vrstvu rozšířeného zabezpečení díky dalšímu zjišťování a ochraně před pokročilými trvalými hrozbami v operačním systému.

Další zdroje informací pro Defender for Identity

Spustit bezplatnou zkušební verzi

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Sledování identity v programu Defender for Identity na webu Microsoft Tech Community

https://aka.ms/MDIcommunity

Připojení k komunitě Yammer v programu Defender for Identity

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Navštivte stránku produktu Defender for Identity.

https://www.microsoft.com/microsoft-365/security/identity-defender

Další informace o architektuře služby Defender for Identity

Architektura defenderu pro identitu

Podívejte se na naše videa

Posílení stavu zabezpečení pomocí defenderu for Identity – identifikace a proaktivně řešení známých chybných postupů, opuštění vašeho prostředí ve zdraví a odolnosti vůči špatným hercům – podívejte se na video z YouTube.

Vyšetřování incidentů pomocí defenderu for Identity – Zjistěte, jak detekovat, prošetřit a reagovat na pokročilé hrozby zaměřené na identity a řadiče domény pomocí defenderu for Identity. Počínaje upozorněním v programu Defender for Identity si ukážeme, jak se informace korelují s incidentem, jak vyhledávat hrozby pomocí informací zachycených defenderem for Identity a jak můžeme zahájit automatickou reakci na incident, abychom incident vyřešili předtím, než se začne vyvíjet v větším problému – podívejte se na video z YouTube.

Co dále?

Doporučujeme nasadit Defender for Identity ve třech fázích:

Fáze 1

  1. Nastavte Defender for Identity tak, aby chránil vaše primární prostředí. Model rychlého nasazení defenderu for Identity umožňuje začít chránit vaši organizaci ještě dnes. Instalace programu Defender for Identity
  2. Nastavte citlivé účty a účty honeytokenu.
  3. Zkontrolujte sestavy a laterální cesty pohybu.

Fáze 2

  1. Chraňte všechny řadiče domény a doménové struktury ve vaší organizaci.
  2. Monitorujte všechna upozornění – prošetřujte výstrahy dominance domén laterálního pohybu & .
  3. S průvodcem výstrahou zabezpečení se seznámíte s hrozbami a potenciálními útoky na třídění.

Fáze 3

  1. Integrujte upozornění Defenderu for Identity do pracovních postupů SecOp.

Viz také