Wat is Microsoft Defender for Identity?

Microsoft Defender for Identity (voorheen Azure Advanced Threat Protection, ook wel bekend als Azure ATP) is een cloudgebaseerde beveiligingsoplossing die gebruik maakt van uw on-premises Active Directory-signalen voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, verdachte identiteiten en kwaadwillende acties van binnenuit die gericht zijn op uw organisatie.

Met Defender for Identity kunnen SecOp-analisten en beveiligingsprofessionals die moeite hebben met het detecteren van geavanceerde aanvallen in hybride omgevingen, het volgende doen:

• Gebruikers, entiteitsgedrag en activiteiten bewaken met op leer gebaseerde analyses
• Gebruikersidentiteiten en -referenties beveiligen die zijn opgeslagen in Active Directory
• Verdachte gebruikersactiviteiten en geavanceerde aanvallen in de kill chain identificeren en onderzoeken
• Geef duidelijke incidentinformatie op een eenvoudige tijdlijn voor snelle triage

Gebruikersgedrag en -activiteiten bewaken en analyseren

Defender for Identity bewaakt en analyseert gebruikersactiviteiten en -informatie in uw netwerk, zoals machtigingen en groepslidmaatschap, en maakt een gedragsbasislijn voor elke gebruiker. Defender for Identity identificeert vervolgens afwijkingen met adaptieve ingebouwde intelligentie, zodat u inzicht krijgt in verdachte activiteiten en gebeurtenissen, waardoor de geavanceerde bedreigingen, gecompromitteerde gebruikers en bedreigingen van binnenuit voor uw organisatie worden ontdekt. De eigen sensoren van Defender for Identity bewaken domeincontrollers van organisaties en bieden een uitgebreid overzicht van alle gebruikersactiviteiten vanaf elk apparaat.

Gebruikersidentiteiten beveiligen en de kans op aanvallen verminderen

Defender for Identity biedt waardevolle inzichten in identiteitsconfiguraties en voorgestelde aanbevolen beveiligingsprocedures. Met beveiligingsrapporten en analyse van gebruikersprofiel kunt u Defender for Identity de aanvalsoppervlak van uw organisatie aanzienlijk verminderen, waardoor het moeilijker wordt om gebruikersreferenties in gevaar te brengen en een aanval te voorkomen. De visuele laterale verplaatsingspaden van Defender for Identity helpen u snel precies te begrijpen hoe een aanvaller zich lateraal binnen uw organisatie kan verplaatsen om gevoelige accounts in gevaar te brengen en helpt bij het voorkomen van deze risico's van tevoren. Beveiligingsrapporten van Defender for Identity helpen u bij het identificeren van gebruikers en apparaten die zich verifiëren met behulp van wachtwoorden in duidelijke tekst en bieden extra inzichten om de beveiligingsstatus en het beleid van uw organisatie te verbeteren.

De beveiliging van AD FS in hybride omgevingen

Active Directory Federation Services (AD FS) speelt een belangrijke rol in de huidige infrastructuur als het gaat om verificatie in hybride omgevingen. Defender for Identity beschermt de AD FS in uw omgeving door on-premises aanvallen op de AD FS te detecteren en inzicht te bieden in verificatiegebeurtenissen die door de AD FS.

Verdachte activiteiten en geavanceerde aanvallen in de kill chain voor cyberaanvallen identificeren

Normaal gesproken worden aanvallen gestart op elke toegankelijke entiteit, zoals een gebruiker met lage bevoegdheden, en vervolgens snel lateraal te verplaatsen totdat de aanvaller toegang krijgt tot waardevolle activa, zoals gevoelige accounts, domeinbeheerders en uiterst gevoelige gegevens. Defender for Identity identificeert deze geavanceerde bedreigingen aan de bron in de hele kill chain voor cyberaanvallen:

Reconnaissance

Identificeer de pogingen van kwaadwillende gebruikers en aanvallers om informatie te verkrijgen. Aanvallers zoeken op verschillende manieren naar informatie over gebruikersnamen, het groepslidmaatschap van gebruikers, IP-adressen die zijn toegewezen aan apparaten, resources en meer.

Verdachte referenties

Pogingen identificeren om gebruikersreferenties te compromitteerd met behulp van brute force-aanvallen, mislukte verificaties, wijzigingen in gebruikersgroepslidmaatschap en andere methoden.

Laterale verplaatsingen

Detectiepogingen om zich lateraal binnen het netwerk te verplaatsen om meer controle te krijgen over gevoelige gebruikers, met behulp van methoden zoals Pass the Ticket, Pass the Hash, Overpass the Hash en meer.

Domeindominantie

Aanvallergedrag markeren als domeindominantie wordt bereikt, via uitvoering van externe code op de domeincontroller, en methoden zoals DC Shadow, replicatie van schadelijke domeincontrollers, Golden Ticket-activiteiten en meer.

Waarschuwingen en gebruikersactiviteiten onderzoeken

Defender for Identity is ontworpen om algemene waarschuwingsruis te verminderen en alleen relevante, belangrijke beveiligingswaarschuwingen te bieden in een eenvoudige, realtime tijdlijn voor organisatie-aanvallen. Met de tijdlijnweergave defender voor identiteitsaanval kunt u eenvoudig gericht blijven op wat belangrijk is, door gebruik te maken van de intelligentie van slimme analyses. Gebruik Defender voor identiteit om snel bedreigingen te onderzoeken en inzicht te krijgen in gebruikers, apparaten en netwerkresources in de hele organisatie. Naadloze integratie met Microsoft Defender for Endpoint biedt een andere extra beveiligingslaag door extra detectie en bescherming tegen geavanceerde permanente bedreigingen op het besturingssysteem.

Aanvullende bronnen voor Defender for Identity

Gratis proefversie starten

ali=1

Volg Defender for Identity op Microsoft Tech Community

Word lid van de Defender for Identity Yammer community

feedId=9386893

Ga naar de productpagina van Defender for Identity

Meer informatie over defender voor identiteitsarchitectuur

Defender voor identiteitsarchitectuur

Bekijk onze video's

Uw beveiligingsstatus verbeteren met Defender for Identity- Identificeer en proactief bekende bad practices, waardoor uw omgeving in een gezonde staat komt en beter bestand is tegen slechte actoren - bekijk de YouTube-video

Incidentonderzoek met Defender for Identity: informatie over het detecteren, onderzoeken en reageren op geavanceerde bedreigingen die gericht zijn op identiteiten en domeincontrollers met Defender for Identity. Beginnend met een waarschuwing in Defender for Identity laten we zien hoe die informatie wordt gecorreleerd aan een incident, hoe u kunt zoeken naar bedreigingen met behulp van informatie die is vastgelegd door Defender for Identity en hoe we een automatische incidentrespons kunnen initiëren om het incident te verhelpen voordat het zich tot een groter probleem ontwikkelt: bekijk de YouTube-video

Volgende stappen

We raden u aan Defender for Identity in drie fasen te implementeren:

Fase 1

1. Stel Defender for Identity in om uw primaire omgevingen te beveiligen. Met het snelle implementatiemodel van Defender for Identity kunt u vandaag nog beginnen met het beveiligen van uw organisatie. Defender voor identiteit installeren
2. Stel gevoelige accounts enHoneytoken-accounts in.
3. Controleer rapporten en laterale verplaatsingspaden.

Fase 2

1. Bebeveiligen van alle domeincontrollers en forests in uw organisatie.
2. Alle waarschuwingen bewaken : onderzoek waarschuwingen voor domeindominantie van zijver movement.
3. Werk met de handleiding voor beveiligingswaarschuwingen om inzicht te krijgen in bedreigingen en mogelijke aanvallen te detecteren.

Fase 3

1. Integreer Defender for Identity-waarschuwingen in uw SecOp-werkstromen.

Zie ook

• Veelgestelde vragen over Defender for Identity
• Werken met beveiligingswaarschuwingen
• Bekijk het Defender for Identity-forum.