Che cos'è Microsoft Defender per identità?

Microsoft Defender per identità (in precedenza Azure Advanced Threat Protection, noto anche come Azure ATP) è una soluzione di sicurezza basata sul cloud che sfrutta i segnali di Active Directory locali per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le attività svolte da utenti interni malintenzionati ai danni dell'organizzazione.

Defender per identità consente agli analisti e ai professionisti che si occupano di sicurezza di rilevare gli attacchi avanzati negli ambienti ibridi per:

  • Monitorare gli utenti, il comportamento delle entità e le attività con analisi basate su Machine Learning
  • Proteggere le identità e le credenziali degli utenti archiviate in Active Directory
  • Identificare ed esaminare le attività sospette degli utenti e gli attacchi avanzati nella kill chain
  • Offrire informazioni chiare sugli eventi imprevisti in una sequenza temporale semplice per velocizzare la valutazione

Monitorare e analizzare il comportamento e le attività degli utenti

Defender per identità monitora e analizza le attività e le informazioni degli utenti in tutta la rete, ad esempio le autorizzazioni e l'appartenenza ai gruppi, creando una baseline comportamentale per ogni utente. Defender per identità identifica quindi le anomalie grazie all'intelligenza adattiva integrata, offrendo informazioni dettagliate su attività ed eventi sospetti e rivelando gli attacchi avanzati, gli utenti compromessi e le minacce interne all'organizzazione. I sensori proprietari di Defender per identità monitorano i controller di dominio dell'organizzazione, offrendo una visione completa di tutte le attività degli utenti da ogni dispositivo.

Proteggere le identità degli utenti e ridurre la superficie di attacco

Defender per identità offre informazioni dettagliate preziose sulle configurazioni delle identità e sulle procedure consigliate per la protezione. Attraverso report sulla sicurezza e analisi dei profili utente, Defender per identità consente di ridurre drasticamente la superficie di attacco dell'organizzazione, rendendo più difficile violare le credenziali degli utenti e attuare un attacco. I percorsi di spostamento laterale visivi di Defender per identità consentono di capire rapidamente ed esattamente in che modo un utente malintenzionato può spostarsi lateralmente all'interno dell'organizzazione per violare gli account sensibili e permettono di prevenire tempestivamente questi rischi. I report sulla sicurezza di Defender per identità consentono di identificare gli utenti e i dispositivi che eseguono l'autenticazione usando password non crittografate e di avere a disposizione ulteriori informazioni dettagliate per migliorare il comportamento e i criteri dell'organizzazione riguardo alla sicurezza.

Protezione di AD FS in ambienti ibridi

Active Directory Federation Services (AD FS) svolge un ruolo importante nell'infrastruttura moderna per quanto concerne l'autenticazione in ambienti ibridi. Defender per identità protegge AD FS nell'ambiente individuando gli attacchi locali in AD FS e offrendo visibilità sugli eventi di autenticazione generati da AD FS.

Identificare le attività sospette e gli attacchi avanzati attraverso la kill chain degli attacchi informatici

In genere, gli attacchi colpiscono le entità accessibili, ad esempio un utente con privilegi limitati, e si spostano lateralmente con rapidità finché l'utente malintenzionato riesce ad accedere alle risorse preziose, ad esempio gli account sensibili, gli amministratori di dominio e i dati strettamente riservati. Defender per identità identifica queste minacce avanzate all'origine e nell'intera kill chain dell'attacco informatico:

Esplorazione

Identificare i tentativi di ottenere informazioni eseguiti da utenti non autorizzati e malintenzionati. Gli utenti malintenzionati cercano informazioni su nomi utente, appartenenza a gruppi degli utenti, indirizzi IP assegnati ai dispositivi, risorse e altro ancora, usando svariati metodi.

Violazione delle credenziali

Identificare i tentativi di violazione delle credenziali utente attraverso attacchi di forza bruta, autenticazioni non riuscite, modifiche dell'appartenenza ai gruppi di utenti e altri metodi.

Movimenti laterali

Rilevare i tentativi di spostarsi lateralmente nella rete per ottenere un ulteriore controllo degli utenti sensibili, usando metodi come Pass the Ticket, Pass the Hash, Overpass the Hash e altro ancora.

Dominanza del dominio

Evidenziare il comportamento degli utenti malintenzionati se viene raggiunta la dominanza del dominio, usando l'esecuzione di codice da remoto nel controller di dominio e diversi metodi tra cui la copia shadow del controller di dominio, la replica dannosa del controller di dominio, le attività Golden Ticket e altro ancora.

Esaminare gli avvisi e le attività degli utenti

Defender per identità è progettato in modo da ridurre la frequenza complessiva degli avvisi, visualizzando solo avvisi importanti che riguardano la sicurezza in una semplice sequenza temporale degli attacchi all'organizzazione in tempo reale. La visualizzazione della sequenza temporale degli attacchi di Defender per identità consente di rimanere concentrati sulle cose più importanti, sfruttando l'intelligence dell'analisi intelligente. Usare Defender per identità per analizzare rapidamente le minacce e acquisire informazioni dettagliate a livello di organizzazione per utenti, dispositivi e risorse di rete. La perfetta integrazione con Microsoft Defender per endpoint offre un ulteriore livello di sicurezza avanzata grazie al rilevamento e alla protezione contro le minacce avanzate persistenti nel sistema operativo.

Risorse aggiuntive per Defender per l'identità

Avvia una versione di valutazione gratuita

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Seguire Defender for Identity in Microsoft Tech Community

https://aka.ms/MDIcommunity

Partecipare alla community di Defender for Identity Yammer

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Visitare la pagina del prodotto Defender for Identity

https://www.microsoft.com/microsoft-365/security/identity-defender

Altre informazioni sull'architettura di Defender for Identity

Defender per identità Architettura

Guardare i video dedicati

Rafforzare il comportamento di sicurezza con Defender per identità - Identificare e risolvere in modo proattivo le cattive procedure note, lasciando l'ambiente in uno stato più sano e più resiliente agli attori malintenzionati - Guardare il video su YouTube

Analisi degli eventi imprevisti con Defender per identità - Informazioni su come rilevare, analizzare e rispondere a minacce avanzate destinate a identità e controller di dominio con Defender per identità. A partire da un avviso in Defender per identità verrà illustrato il modo in cui le informazioni sono correlate in un evento imprevisto, come cercare le minacce usando le informazioni acquisite da Defender per identità e come è possibile avviare una risposta automatica agli eventi imprevisti per correggere l'evento imprevisto prima che venga trasformato in un problema più grande - Guardare il video su YouTube

Passaggi successivi

È consigliabile distribuire Defender per identità in tre fasi:

Fase 1

  1. Configurare Defender per identità per proteggere gli ambienti principali. Il modello di distribuzione rapida di Defender per identità consente di iniziare subito a proteggere la propria organizzazione. Installare Defender per identità
  2. Impostare gli account sensibili e gli account honeytoken.
  3. Esaminare i report e i percorsi di spostamento laterale.

Fase 2

  1. Proteggere tutti i controller di dominio e le foreste dell'organizzazione.
  2. Monitorare tutti gli avvisi: esaminare gli avvisi relativi a spostamento laterale e dominanza del dominio.
  3. Consultare la guida agli avvisi di sicurezza per comprendere le minacce e valutare i potenziali attacchi.

Fase 3

  1. Integrare gli avvisi di Defender per identità nei flussi di lavoro degli addetti alla sicurezza.

Vedere anche