Microsoft Defender for Identity について説明する

  • 4 分

Microsoft Defender for Identity はクラウドベースのセキュリティ ソリューションです。 (シグナルと呼ばれる) オンプレミスの Active Directory データを使用して、組織を対象とする高度な脅威、侵害された ID、および悪意のある内部関係者によるアクションが特定、検出、調査されます。

ハイブリッド環境の機能を管理するセキュリティ プロフェッショナルは、Microsoft Defender for Identity で次を実行できます。

  • 学習ベースの分析を使用して、ユーザー、エンティティの挙動、アクティビティを監視する。
  • Active Directory に格納されているユーザー ID と資格情報を保護します
  • cyberattack kill-chain攻撃全体で不審なアクティビティと高度な攻撃を特定し調査します。
  • 高速なトリアージのためにシンプルなタイムラインで明確なインシデント情報を提供します

ユーザーの行動とアクティビティを監視して分析する

Microsoft Defender for Identity では、ネットワーク全体でユーザーのアクティビティと情報 (アクセス許可やグループ メンバーシップなど) が監視され、各ユーザーの行動ベースラインが作成されます。 その後、Microsoft Defender for Identity では、適応型の組み込みインテリジェンスを使用して異常が特定されます。 不審なアクティビティやイベントに関する分析情報がユーザーに提供され、組織に対する高度な脅威、侵害されたユーザー、内部関係者による脅威が明確になります。

Active Directory に格納されているユーザー ID と資格情報を保護します

Defender for Identity では、ID 構成と推奨されるセキュリティのベスト プラクティスに関する分析情報が得られます。 Defender for Identity では、セキュリティ レポートとユーザー プロファイル分析を使用して、組織の攻撃面を大幅に削減できます。これにより、ユーザーの資格情報を侵害したり、攻撃を進めたりするのが困難になります。

Defender for Identity セキュリティ レポートでは、クリアテキストのパスワードを使用して認証するユーザーとデバイスを識別できます。 セキュリティの状態とポリシーを改善する方法に関する追加の分析情報も得られます。

Defender for Identity は、Active Directory フェデレーション サービス (AD FS) が存在するハイブリッド環境で、オンプレミスの攻撃を検出し、AD FS によって生成された認証イベントを可視化することで、AD FS を保護します。

サーバー キル チェーン攻撃全体で不審なアクティビティと高度な攻撃を特定する

通常は、低い特権のユーザーなどの任意のアクセス可能なエンティティに対して攻撃が開始されます。 その後、攻撃者が重要な資産にアクセスするまで、攻撃は水平方向にすばやく移動します。 これらの資産には、機密性の高いアカウント、ドメイン管理者、および非常に機密性の高いデータが含まれている場合があります。 Defender for Identity では、このような高度な脅威のソースをcyberattack kill-chain攻撃全体から特定します。

  • 偵察 - 不正ユーザーと攻撃者による情報を入手しようとする試みを特定します。
  • 侵害された資格情報 - ブルート フォース攻撃、認証失敗、ユーザー グループのメンバーシップ変更、その他の方法を使ってユーザーの資格情報を侵害しようとする試みを特定します。
  • 横方向の移動 - ネットワーク内を横方向に移動し、機密性の高いユーザーをさらに制御しようとする試みを検出します。
  • ドメインの支配 - ドメイン コントローラー上でのリモート コード実行やその他の方法によってドメインの支配が達成された場合の攻撃者の行動を強調表示します。

アラートとユーザー アクティビティを調査する

Defender for Identity は、一般的なアラート ノイズを減らすように設計されています。これにより、シンプルなリアルタイムの組織攻撃タイムラインで、関連のある重要なセキュリティ アラートのみが提供されます。

Defender for Identity の攻撃タイムライン ビューとスマート分析のインテリジェンスを使用すると、重要なことに集中できます。 また、Defender for Identity を使用すると、脅威をすばやく調査し、組織全体のユーザー、デバイス、ネットワーク リソースに関する分析情報が得られます。

Microsoft Defender for Identity では、侵害された ID、高度な脅威、および悪意のある内部関係者によるアクションから組織が保護されます。

A diagram of Defender for Identity. The diagram shows a domain controller and AD FS sending and signals to Defender for Identity. Defender for Identity is sending and receiving signals from Microsoft Defender XDR which gets signals from endpoints, Office 365, and cloud apps.