Qu’est-ce que Microsoft Defender pour Identity ?

Microsoft Defender pour Identity (anciennement Azure Advanced Threat Protection ou Azure ATP) est une solution de sécurité cloud qui s’appuie sur vos signaux Active Directory locaux pour identifier, détecter et investiguer les menaces avancées, les identités compromises et les actions des utilisateurs internes malveillants dirigées contre votre entreprise.

Defender pour Identity permet aux analystes SecOp et aux professionnels de la sécurité chargés de détecter les attaques avancées dans les environnements hybrides de :

  • Surveiller les utilisateurs, ainsi que le comportement et les activités des entités avec une analytique basée sur l’apprentissage
  • Protéger les identités et les informations d’identification des utilisateurs qui sont stockées dans Active Directory
  • Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées tout au long de la chaîne d’annihilation
  • Fournir des informations claires sur les incidents selon une chronologie simple, permettant un triage rapide

Monitoring et analyse du comportement et des activités des utilisateurs

Defender pour Identity surveille et analyse les activités et les informations des utilisateurs sur votre réseau, comme les autorisations et les appartenances aux groupes, créant une base de référence du comportement pour chaque utilisateur. Defender pour Identity identifie ensuite les anomalies avec une intelligence intégrée adaptative, vous donnant des insights sur les activités et les événements suspects, révélant les menaces avancées, les utilisateurs compromis et les menaces internes dans votre organisation. Les capteurs de propriétaires de Defender pour Identity surveillent les contrôleurs de domaine de l’organisation et fournissent une vue complète de toutes les activités des utilisateurs sur chaque appareil.

Protéger les identités des utilisateurs et réduire la surface d’attaque

Defender pour Identity vous fournit des insights précieux sur les configurations des identités et suggère les bonnes pratiques de sécurité. Avec des rapports de sécurité et une analytique des profils utilisateur, Defender pour Identity vous permet de réduire considérablement la surface d’attaque de l’organisation, rendant plus difficile de compromettre les informations d’identification des utilisateurs et la mise en œuvre d’une attaque. Les chemins de mouvement latéral visuels de Defender pour Identity vous aident à comprendre rapidement et exactement comment un attaquant peut se déplacer latéralement au sein de votre organisation pour compromettre des comptes sensibles et vous assistent pour éviter préventivement ces risques. Les rapports de sécurité de Defender pour Identity vous aident à identifier les utilisateurs et les appareils qui s’authentifient avec des mots de passe en texte clair, et fournissent des insights supplémentaires pour améliorer la prise en compte et les stratégies de sécurité.

Protection de AD FS dans des environnements hybrides

Les services de fédération Active Directory (AD FS) jouent un rôle important dans l’infrastructure d’aujourd’hui lorsqu’il s’agit de l’authentification dans des environnements hybrides. Defender pour Identity protège AD FS dans votre environnement en détectant les attaques locales sur AD FS et en fournissant une visibilité des événements d’authentification générés par AD FS.

Identifier les activités suspectes et les attaques avancées sur toute la chaîne cybercriminelle

En général, les attaques sont lancées contre des entités accessibles, par exemple un utilisateur avec des privilèges peu élevés, puis rapidement, elles se déplacent latéralement jusqu’à ce que l’attaquant parvienne à accéder à des ressources importantes, comme des comptes sensibles, des administrateurs de domaine et des données hautement sensibles. Defender pour Identity identifie ces menaces avancées à la source sur toute la chaîne cybercriminelle :

Reconnaissance

Identifiez les utilisateurs non autorisés et les tentatives des attaquants pour obtenir des informations. Les attaquants recherchent des informations sur les noms d’utilisateur, l’appartenance des utilisateurs à des groupes, les adresses IP affectées aux appareils, les ressources, etc., selon différentes méthodes.

Informations d’identification compromises

Identifiez les tentatives de compromission des informations d’identification des utilisateurs avec des attaques par force brute, les échecs d’authentification, les changements d’appartenance à des groupes d’utilisateurs et d’autres méthodes.

Déplacements latéraux

Détectez les tentatives de mouvement latéral au sein du réseau pour obtenir plus de contrôle des utilisateurs sensibles, en utilisant des méthodes comme Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash, etc.

Contrôle du domaine

Mise en évidence du comportement des attaquants si la prise de contrôle du domaine est effective, via l’exécution de code à distance sur le contrôleur de domaine et des méthodes comme la mise en mémoire fantôme du contrôleur de domaine, la réplication du contrôleur de domaine malveillant, les activités de Golden Ticket, etc.

Examiner les alertes et les activités des utilisateurs

Defender pour Identity est conçu pour réduire le bruit général des alertes et fournit seulement des alertes de sécurité pertinentes importantes, selon une chronologie simple et en temps réel des attaques de l’organisation. La vue de la chronologie des attaques de Defender pour Identity vous permet de vous concentrer sur ce qui est important, en tirant parti de l’analytique intelligente. Utilisez Defender pour Identity pour détecter rapidement les menaces et obtenir des insights sur l’organisation pour les utilisateurs, les appareils et les ressources réseau. L’intégration fluide avec Microsoft Defender pour point de terminaison fournit une autre couche de sécurité renforcée via une détection et une protection supplémentaires contre les menaces persistantes avancées sur le système d’exploitation.

Ressources supplémentaires pour Defender pour Identity

Démarrer une version d’évaluation gratuite

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Suivre Defender pour Identity sur Microsoft Tech Community

https://aka.ms/MDIcommunity

Rejoindre la communauté Defender pour Identity sur Yammer

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Visiter la page du produit Defender pour Identity

https://www.microsoft.com/microsoft-365/security/identity-defender

En savoir plus sur l’architecture Defender pour Identity

Architecture Defender pour Identity

Regardez nos vidéos

Renforcez votre niveau de sécurité avec Defender pour Identity : identifiez et résolvez de manière proactive les mauvaises pratiques connues, en garantissant un environnement plus sain et plus résilient face aux intervenants malveillants. Regardez la vidéo YouTube

Investigation des incidents avec Defender pour Identity : découvrez comment détecter, examiner et répondre aux menaces avancées ciblant les identités et les contrôleurs de domaine avec Defender pour Identity. À partir d’une alerte dans Defender pour Identity, nous allons démontrer comment ces informations sont corrélées dans un incident, comment rechercher les menaces à l’aide des informations capturées par Defender pour Identity, et comment nous pouvons lancer une réponse automatique aux incidents pour corriger l’incident avant qu’il ne s’aggrave. Regardez la vidéo YouTube

Quelle est l’étape suivante ?

Nous vous recommandons de déployer Defender pour Identity en trois phases :

Phase 1

  1. Configurez Defender pour Identity pour protéger vos environnements principaux. Le modèle de déploiement rapide de Defender pour Identity vous permet de protéger votre organisation dès aujourd’hui. Installer Defender pour Identity
  2. Définissez les comptes sensibles et les comptes honeytoken.
  3. Passez en revue les rapports et chemins de mouvement latéral.

Phase 2

  1. Protégez tous les contrôleurs de domaine et les forêts de votre organisation.
  2. Surveillez toutes les alertes : examinez les alertes de mouvement latéral et de prise de contrôle de domaine.
  3. Utilisez le Guide des alertes de sécurité pour comprendre les menaces et trier les attaques potentielles.

Phase 3

  1. Intégrez les alertes Defender pour Identity dans votre flux de travail SecOp.

Voir aussi