Was ist Microsoft Defender for IdentityMicrosoft Defender for Identity?What is Microsoft Defender for IdentityMicrosoft Defender for Identity?

Microsoft Defender for IdentityMicrosoft Defender for Identity (ehemals Azure Advanced Threat Protection bzw. Azure ATP) ist eine cloudbasierte Sicherheitslösung, die Signale Ihrer lokalen Active Directory-Instanz nutzt, um komplexe Bedrohungen, gefährdete Identitäten und schädliche Insideraktionen gegen Ihre Organisation zu identifizieren und zu erkennen, und die Sie bei der Untersuchung dieser Bedrohungen unterstützt.Microsoft Defender for IdentityMicrosoft Defender for Identity (formerly Azure Advanced Threat Protection, also known as Azure ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization.

Microsoft Defender for IdentityDefender for Identity bietet SecOp-Analysten und -Sicherheitsexperten, die Probleme beim Erkennen erweiterter Angriffe in Hybridumgebungen haben, folgende Funktionen:Microsoft Defender for IdentityDefender for Identity enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter AnalyseMonitor users, entity behavior, and activities with learning-based analytics
  • Schutz von in Active Directory gespeicherten Benutzeridentitäten und AnmeldeinformationenProtect user identities and credentials stored in Active Directory
  • Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill ChainIdentify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen SelektierungProvide clear incident information on a simple timeline for fast triage

Überwachung und Profiling von Benutzerverhalten und -aktivitätenMonitor and profile user behavior and activities

Microsoft Defender for IdentityDefender for Identity überwacht und analysiert netzwerkübergreifend Benutzeraktivitäten und -informationen, z. B. Berechtigungen und Gruppenmitgliedschaften, und erstellt dabei für jeden Benutzer eine verhaltensbasierte Baseline.Microsoft Defender for IdentityDefender for Identity monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. Anschließend identifiziert Microsoft Defender for IdentityDefender for Identity Anomalien mit integrierter adaptiver Intelligenz und gewährt Ihnen Einblicke in verdächtige Aktivitäten und Ereignisse. Dadurch werden Ihnen komplexe Bedrohungen, gefährdete Benutzer und Insiderbedrohungen Ihrer Organisation angezeigt.Microsoft Defender for IdentityDefender for Identity then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Mit den proprietären Sensoren von Microsoft Defender for IdentityDefender for Identity werden Domänencontroller der Organisation überwacht. Dadurch wird von jedem Gerät aus ein umfassender Überblick über alle Benutzeraktivitäten geboten.Microsoft Defender for IdentityDefender for Identity's proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

Schutz von Benutzeridentitäten und Verringern der AngriffsflächeProtect user identities and reduce the attack surface

Microsoft Defender for IdentityDefender for Identity gewährt Ihnen wertvolle Einblicke in Identitätskonfigurationen und stellt empfohlene bewährte Methoden für die Sicherheit bereit.Microsoft Defender for IdentityDefender for Identity provides you invaluable insights on identity configurations and suggested security best-practices. Mithilfe von Microsoft Defender for IdentityDefender for Identity können Sie durch Sicherheitsberichte und die Analyse von Benutzerprofilen die Angriffsfläche Ihrer Organisation deutlich reduzieren, wodurch auch die Gefährdung von Benutzeranmeldeinformationen sowie die Gefährdung durch einen Angriff verringert werden kann.Through security reports and user profile analytics, Microsoft Defender for IdentityDefender for Identity helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Mithilfe der visuellen Lateral Movement-Pfade von Microsoft Defender for IdentityDefender for Identity verstehen Sie schnell, wie genau sich ein Angreifer lateral innerhalb Ihrer Organisation bewegen kann, um sensible Konten zu gefährden. Die Lösung unterstützt Sie dabei, diese Risiken im Voraus zu vermeiden.Microsoft Defender for IdentityDefender for Identity's visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Zudem können Sie mithilfe der Sicherheitsberichte von Microsoft Defender for IdentityDefender for Identity Benutzer und Geräte identifizieren, die sich mit Klartextkennwörtern authentifizieren, und weitere Einblicke gewinnen, um den Sicherheitsstatus und die Richtlinien Ihrer Organisation zu verbessern.Microsoft Defender for IdentityDefender for Identity security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

Schutz von AD FS in HybridumgebungenProtecting the AD FS in hybrid environments

AD FS (Active Directory-Verbunddienste) spielt bei der Authentifizierung in Hybridumgebungen eine wichtige Rolle in der modernen Infrastruktur.Active Directory Federation Services (AD FS) plays important role in today's infrastructure when it comes to authentication in hybrid environments. Microsoft Defender for IdentityDefender for Identity schützt die Active Directory-Verbunddienste in Ihrer Umgebung, indem lokale Angriffe auf die Active Directory-Verbunddienste lokal erkannt und Einblicke in die von den Active Directory-Verbunddiensten generierten Authentifizierungsereignisse gewährt werden.Microsoft Defender for IdentityDefender for Identity protects the AD FS in your environment by detecting on-premises attacks on the AD FS and providing visibility into authentication events generated by the AD FS.

Identifizieren verdächtiger Aktivitäten und erweiterter Angriffe über die Kill Chain des CyberangriffsIdentify suspicious activities and advanced attacks across the cyber-attack kill-chain

Angriffe werden in der Regel gegen eine beliebige zugängliche Entität gestartet, wie z.B. einen Benutzer mit geringfügigen Berechtigungen, und verschieben sich anschließend schnell seitwärts, bis der Angreifer Zugriff auf wertvolle Objekte erhält (z.B. sensible Konten, Domänenadministratoren und streng vertrauliche Daten).Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Microsoft Defender for IdentityDefender for Identity erkennt diese erweiterten Bedrohungen von Grund auf während der gesamten Kill Chain des Cyberangriffs:Microsoft Defender for IdentityDefender for Identity identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

ReconnaissanceReconnaissance

Identifizieren nicht autorisierter Benutzer und der Versuche von Angreifern, Informationen zu erhalten.Identify rogue users and attackers' attempts to gain information. Angreifer suchen nach Informationen zu Benutzernamen, der Gruppenmitgliedschaft von Benutzern, Geräten zugewiesenen IP-Adressen, Ressourcen und mehr, wobei sie eine Vielzahl von Methoden verwenden.Attackers are searching for information about user names, users' group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

Gefährdete AnmeldeinformationenCompromised credentials

Identifizieren von Versuchen zur Gefährdung von Benutzeranmeldeinformationen über Brute-Force-Angriffe, fehlgeschlagene Authentifizierungen, Änderungen der Gruppenmitgliedschaft von Benutzern und weitere Methoden.Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

Seitliche VerschiebungenLateral movements

Erkennen von Versuchen zur seitlichen Verschiebung innerhalb des Netzwerks, um mithilfe von Methoden wie „Pass-the-Ticket“, „Pass-the-Hash“, „Overpass-the-Hash“ und mehr weitere Kontrolle über sensible Benutzer zu erlangen.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

DomänendominanzDomain dominance

Hervorheben des Angreiferverhaltens bei Erreichen der Domänendominanz über die Ausführung von Remotecode auf dem Domänencontroller und Methoden wie „DC Shadow“, die böswillige Replikation des Domänencontrollers, Golden Ticket-Aktivitäten und mehr.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

Untersuchen von Warnungen und BenutzeraktivitätenInvestigate alerts and user activities

Microsoft Defender for IdentityDefender for Identity wurde dafür konzipiert, die Anzahl allgemeiner Warnungen zu reduzieren, damit nur relevante, wichtige Sicherheitswarnungen in einer übersichtlichen Zeitskala mit gegen die Organisation gerichteten Angriffen in Echtzeit bereitgestellt werden können.Microsoft Defender for IdentityDefender for Identity is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. Dank der Microsoft Defender for IdentityDefender for Identity-Ansicht mit der Zeitskala zu Angriffen können Sie sich problemlos aufs Wesentliche konzentrieren und intelligente Analysen wirksam einsetzen.The Microsoft Defender for IdentityDefender for Identity attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Verwenden Sie Microsoft Defender for IdentityDefender for Identity, um Bedrohungen ohne großen Aufwand zu untersuchen und organisationsübergreifend Einblicke für Benutzer, Geräte und Netzwerkressourcen zu gewinnen.Use Microsoft Defender for IdentityDefender for Identity to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. Die nahtlose Integration mit Microsoft Defender für Endpunkt bietet durch zusätzliche Erkennung und Schutz vor erweiterten dauerhaften Bedrohungen für das Betriebssystem eine weitere erweiterte Sicherheitsebene.Seamless integration with Microsoft Defender for Endpoint provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Zusätzliche Ressourcen für Microsoft Defender for IdentityDefender for IdentityAdditional resources for Microsoft Defender for IdentityDefender for Identity

Kostenlosen Test startenStart a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Microsoft Defender for IdentityDefender for Identity in der Microsoft Tech CommunityFollow Microsoft Defender for IdentityDefender for Identity on Microsoft Tech Community

https://aka.ms/MDIcommunity

Yammer-Community für Microsoft Defender for IdentityDefender for IdentityJoin the Microsoft Defender for IdentityDefender for Identity Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Produktseite für Microsoft Defender for IdentityDefender for IdentityVisit the Microsoft Defender for IdentityDefender for Identity product page

https://www.microsoft.com/microsoft-365/security/identity-defender

Weitere Informationen über die Microsoft Defender for IdentityDefender for Identity-ArchitekturLearn more about Microsoft Defender for IdentityDefender for Identity architecture

Microsoft Defender for IdentityDefender for Identity-ArchitekturMicrosoft Defender for IdentityDefender for Identity Architecture

VideosWatch our videos

Stärken Ihres Sicherheitsstatus mit Microsoft Defender for IdentityDefender for Identity – Erfahren Sie, wie Sie bekannte schlechte Methoden identifizieren und proaktiv lösen, um einen besseren Integritätszustand für Ihre Umgebung und mehr Schutz vor böswilligen Akteuren zu erzielen. YouTube-Video ansehenBolster your security posture with Microsoft Defender for IdentityDefender for Identity - Identify and proactively resolve known bad-practices, leaving your environment in a healthier state and more resilient to bad actors - watch the YouTube video

Untersuchen von Incidents mit Microsoft Defender for IdentityDefender for Identity – Erfahren Sie, wie Sie erweiterte Bedrohungen für Identitäten und Domänencontrollern mit Microsoft Defender for IdentityDefender for Identity erkennen, untersuchen und behandeln.Incident Investigation with Microsoft Defender for IdentityDefender for Identity - Learn how to Detect, investigate, and respond to advanced threats targeting identities and domain controllers with Microsoft Defender for IdentityDefender for Identity. Beginnend mit einer Warnung in Microsoft Defender for IdentityDefender for Identity wird veranschaulicht, wie Informationen zu einem Incident korreliert werden, wie mithilfe der von Microsoft Defender for IdentityDefender for Identity erfassten Informationen nach Bedrohungen gesucht wird und wie automatische Maßnahmen für Incidents initiiert werden können, um den Incident entgegenzuwirken, bevor größere Probleme entstehen. YouTube-Video ansehenStarting with an alert in Microsoft Defender for IdentityDefender for Identity we'll demonstrate how that information is correlated into an incident, how to hunt for threats using information captured by Microsoft Defender for IdentityDefender for Identity and how we can initiate an automatic incident response to remediate the incident before it evolves into a bigger problem - watch the YouTube video

AusblickWhat's next?

Es wird empfohlen, Microsoft Defender for IdentityDefender for Identity in drei Phasen bereitzustellen:We recommend deploying Microsoft Defender for IdentityDefender for Identity in three phases:

Phase 1Phase 1

  1. Richten Sie Microsoft Defender for IdentityDefender for Identity zum Schutz Ihrer primären Umgebungen ein.Set up Microsoft Defender for IdentityDefender for Identity to protect your primary environments. Mit dem Microsoft Defender for IdentityDefender for Identity-Modell zur schnellen Bereitstellung können Sie mit dem Schutz Ihrer Organisation noch heute beginnen.Microsoft Defender for IdentityDefender for Identity's fast deployment model enables you to start protecting your organization today. Installieren von Microsoft Defender for IdentityDefender for IdentityInstall Microsoft Defender for IdentityDefender for Identity
  2. Legen Sie Sensitive Accounts (sensible Konten) und Honeytoken-Konten fest.Set sensitive accounts and honeytoken accounts.
  3. Überprüfen Sie die Berichte und Lateral Movement-Pfade.Review reports and lateral movement paths.

Phase 2Phase 2

  1. Schützen Sie sämtliche Domänencontroller und Gesamtstrukturen in Ihrer Organisation.Protect all the domain controllers and forests in your organization.
  2. Überwachen Sie alle Warnungen: Untersuchen Sie Warnungen bzgl. Lateral Movement und Domänendominanz.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. Nehmen Sie das Leitfaden zu Sicherheitshinweisen zur Hilfe, um Bedrohungen zu verstehen und potenzielle Angriffe selektieren zu können.Work with the Security Alert guide to understand threats and triage potential attacks.

Phase 3Phase 3

  1. Integrieren Sie Microsoft Defender for IdentityDefender for Identity-Warnungen in Ihre SecOp-Workflows.Integrate Microsoft Defender for IdentityDefender for Identity alerts into your SecOp workflows.

Weitere InformationenSee Also