Was ist Microsoft Defender for Identity?

Microsoft Defender for Identity (ehemals Azure Advanced Threat Protection bzw. Azure ATP) ist eine cloudbasierte Sicherheitslösung, die Signale Ihres lokalen Active Directory nutzt, um komplexe Bedrohungen, gefährdete Identitäten und schädliche Insideraktionen gegen Ihre Organisation zu identifizieren und zu erkennen, und die Sie bei der Untersuchung dieser Bedrohungen unterstützt.

Defender for Identity bietet SecOp-Analysten und Sicherheitsexperten, die Probleme beim Erkennen komplexe Angriffe in Hybridumgebungen haben, folgende Funktionen:

  • Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter Analyse
  • Schutz von in Active Directory gespeicherten Benutzeridentitäten und Anmeldeinformationen
  • Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill Chain
  • Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen Selektierung

Überwachung und Analyse von Benutzerverhalten und -aktivitäten

Defender for Identity überwacht und analysiert netzwerkübergreifend Benutzeraktivitäten und -informationen, wie z.B. Berechtigungen und Gruppenmitgliedschaften, und erstellt dabei für jeden Benutzer eine verhaltensbasierte Baseline. Anschließend identifiziert Defender for Identity Anomalien bei integrierter adaptiver Intelligenz und gewährt Ihnen Einblicke in verdächtige Aktivitäten und Ereignisse. Dabei werden Ihnen komplexe Bedrohungen, gefährdete Benutzer und Insider-Bedrohungen Ihrer Organisation angezeigt. Die geschützten Sensoren von Defender for Identity überwachen Domänencontroller der Organisation. Dadurch wird von jedem Gerät aus ein umfassender Überblick für alle Benutzeraktivitäten geboten.

Schutz von Benutzeridentitäten und Verringern der Angriffsfläche

Defender for Identity gewährt Ihnen wertvolle Einblicke in Identitätskonfigurationen und stellt empfohlene bewährte Methoden für die Sicherheit bereit. Mithilfe von Defender for Identity können Sie durch Sicherheitsberichte und die Analyse von Benutzerprofilen die Angriffsfläche Ihrer Organisation deutlich reduzieren, wodurch auch die Gefährdung von Benutzeranmeldeinformationen sowie die Gefährdung durch einen Angriff verringert werden kann. Mithilfe der visuellen Lateral Movement-Pfade von Defender for Identity verstehen Sie schnell, wie genau sich ein Angreifer lateral innerhalb Ihrer Organisation bewegen kann, um sensible Konten zu gefährden. Die Lösung unterstützt Sie dabei, diese Risiken im Vorhinein zu vermeiden. Zudem können Sie mithilfe der Sicherheitsberichte von Defender for Identity Benutzer und Geräte identifizieren, die sich mit Klartextkennwörtern authentifizieren, und weitere Einblicke gewinnen, um den Sicherheitsstatus und die Richtlinien Ihrer Organisation zu verbessern.

Schutz von AD FS in Hybridumgebungen

AD FS (Active Directory-Verbunddienste) spielt bei der Authentifizierung in Hybridumgebungen eine wichtige Rolle in der modernen Infrastruktur. Defender for Identity schützt die AD FS in Ihrer Umgebung, indem lokale Angriffe auf die AD FS lokal erkannt und Einblicke in die von den AD FS generierten Authentifizierungsereignisse gewährt werden.

Identifizieren verdächtiger Aktivitäten und erweiterter Angriffe über die Kill Chain des Cyberangriffs

Angriffe werden in der Regel gegen eine beliebige zugängliche Entität gestartet, wie z.B. einen Benutzer mit geringfügigen Berechtigungen, und verschieben sich anschließend schnell seitwärts, bis der Angreifer Zugriff auf wertvolle Objekte erhält (z.B. sensible Konten, Domänenadministratoren und streng vertrauliche Daten). Defender for Identity erkennt diese komplexen Bedrohungen von Grund auf während der gesamten Kill Chain des Cyberangriffs:

Reconnaissance

Identifizieren nicht autorisierter Benutzer und der Versuche von Angreifern, Informationen zu erhalten. Angreifer suchen nach Informationen zu Benutzernamen, der Gruppenmitgliedschaft von Benutzern, Geräten zugewiesenen IP-Adressen, Ressourcen und mehr, wobei sie eine Vielzahl von Methoden verwenden.

Gefährdete Anmeldeinformationen

Identifizieren von Versuchen zur Gefährdung von Benutzeranmeldeinformationen über Brute-Force-Angriffe, fehlgeschlagene Authentifizierungen, Änderungen der Gruppenmitgliedschaft von Benutzern und weitere Methoden.

Seitliche Verschiebungen

Erkennen von Versuchen zur seitlichen Verschiebung innerhalb des Netzwerks, um mithilfe von Methoden wie „Pass-the-Ticket“, „Pass-the-Hash“, „Overpass-the-Hash“ und mehr weitere Kontrolle über sensible Benutzer zu erlangen.

Domänendominanz

Hervorheben des Angreiferverhaltens bei Erreichen der Domänendominanz über die Ausführung von Remotecode auf dem Domänencontroller und Methoden wie „DC Shadow“, die böswillige Replikation des Domänencontrollers, Golden Ticket-Aktivitäten und mehr.

Untersuchen von Warnungen und Benutzeraktivitäten

Defender for Identity wurde dafür konzipiert, die Anzahl allgemeiner Warnungen zu reduzieren, damit nur relevante, wichtige Sicherheitswarnungen in einer übersichtlichen Zeitskala mit gegen die Organisation gerichteten Angriffen in Echtzeit bereitgestellt werden können. Dank der Defender for Identity-Ansicht mit Zeitskala zu Angriffen können Sie sich problemlos aufs Wesentliche konzentrieren und intelligente Analysen wirksam einsetzen. Verwenden Sie Defender for Identity, um Bedrohungen ohne großen Aufwand zu untersuchen und organisationsübergreifend Einblicke für Benutzer, Geräte und Netzwerkressourcen zu gewinnen. Die nahtlose Integration mit Microsoft Defender für Endpunkt bietet durch zusätzliche Erkennung und Schutz vor erweiterten dauerhaften Bedrohungen für das Betriebssystem eine weitere erweiterte Sicherheitsebene.

Zusätzliche Ressourcen für Defender for Identity

Kostenlosen Test starten

ali=1

Der Tech-Community für Defender for Identity unter Microsoft folgen

Der Yammer-Community für Defender for Identity beitreten

feedId=9386893

Die Produktseite von Defender for Identity besuchen

Weitere Informationen zur Defender for Identity-Architektur

Defender for Identity Architektur

Videos

Stärken Ihres Sicherheitsstatus mit Defender for Identity - Identifizieren und proaktives Beheben bekannter fehlerhafter Methoden, um einen besseren Integritätszustand für Ihre Umgebung und eine höhere Resilienz vor böswilligen Akteuren zu erzielen - sehen Sie sich das YouTube-Video an

Untersuchen von Incidents mit Defender for Identity – Erfahren Sie, wie Sie komplexe Bedrohungen für Identitäten und Domänencontroller mit Defender for Identity erkennen, untersuchen und darauf reagieren. Beginnend mit einer Warnung in Defender for Identity wird veranschaulicht, wie Informationen zu einem Incident korreliert werden, wie mithilfe der von Defender for Identity erfassten Informationen nach Bedrohungen gesucht wird und wie wir eine automatische Reaktion auf Incidents initiieren können, um den Incident zu beheben, bevor er zu einem größeren Problem wird. Sehen Sie sich das YouTube-Video an

Ausblick

Es wird empfohlen, Defender for Identity in drei Phasen bereitzustellen:

Phase 1

  1. Richten Sie Defender for Identity ein, um Ihre primären Umgebungen zu schützen. Mit dem Defender for Identity-Modell zur schnellen Bereitstellung können Sie mit dem Schutz Ihrer Organisation noch heute beginnen. Installieren von Defender for Identity
  2. Legen Sie Sensitive Accounts (sensible Konten) und Honeytoken-Konten fest.
  3. Überprüfen Sie die Berichte und Lateral Movement-Pfade.

Phase 2

  1. Schützen Sie sämtliche Domänencontroller und Gesamtstrukturen in Ihrer Organisation.
  2. Überwachen Sie alle Warnungen – Untersuchen Sie Lateral Movement Domänendominanz-Warnungen.
  3. Nehmen Sie das Leitfaden zu Sicherheitshinweisen zur Hilfe, um Bedrohungen zu verstehen und potenzielle Angriffe selektieren zu können.

Phase 3

  1. Integrieren Sie Defender for Identity-Warnungen in Ihre SecOp-Workflows.

Weitere Informationen