Opis usługi Microsoft Defender for Identity

  • 4 min

Usługa Microsoft Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń. Używa ona danych lokalna usługa Active Directory (nazywanych sygnałami) do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych działań wewnętrznych skierowanych do organizacji.

Usługa Microsoft Defender for Identity zapewnia specjalistom ds. zabezpieczeń zarządzanie funkcjami środowisk hybrydowych w celu:

  • Monitoruj użytkowników, zachowanie jednostek i działania za pomocą analizy opartej na uczeniu.
  • Ochrona tożsamości użytkowników i poświadczeń przechowywanych w usłudze Active Directory
  • Identyfikowanie i badanie podejrzanych działań oraz zaawansowanych ataków w łańcuchu zagrożeń cybernetycznych.
  • Podaj jasne informacje o zdarzeniu na prostej osi czasu na potrzeby szybkiego klasyfikacji

Monitorowanie i analizowanie zachowania i działań użytkownika

Usługa Defender for Identity monitoruje i analizuje działania użytkowników oraz informacje w sieci, w tym uprawnienia i członkostwo w grupach, tworząc punkt odniesienia zachowania dla każdego użytkownika. Usługa Defender for Identity identyfikuje anomalie z adaptacyjną wbudowaną inteligencją. Zapewnia wgląd w podejrzane działania i zdarzenia, ujawniając zaawansowane zagrożenia, naruszonych użytkowników i zagrożenia wewnętrzne, przed którymi stoi Twoja organizacja.

Ochrona tożsamości użytkowników i poświadczeń przechowywanych w usłudze Active Directory

Usługa Defender for Identity zapewnia szczegółowe informacje na temat konfiguracji tożsamości i sugerowanych najlepszych rozwiązań w zakresie zabezpieczeń. Dzięki raportom zabezpieczeń i analizie profilu użytkownika usługa Defender for Identity pomaga zmniejszyć obszar ataków organizacji, co utrudnia naruszenie poświadczeń użytkownika i atak.

Raporty zabezpieczeń usługi Defender for Identity ułatwiają identyfikowanie użytkowników i urządzeń uwierzytelniających się przy użyciu haseł w postaci zwykłego tekstu. Zapewnia również dodatkowe informacje na temat poprawy stanu zabezpieczeń i zasad.

W środowiskach hybrydowych, w których znajdują się usługi Active Directory Federation Services (AD FS), usługa Defender for Identity chroni usługi AD FS, wykrywając ataki lokalne i zapewniając wgląd w zdarzenia uwierzytelniania generowane przez usługi AD FS.

Identyfikowanie podejrzanych działań i zaawansowanych ataków w łańcuchu zagrożeń cybernetycznych

Zazwyczaj ataki są uruchamiane względem dowolnej dostępnej jednostki, takiej jak użytkownik o niskich uprawnieniach. Następnie ataki szybko przechodzą później, aż osoba atakująca uzyskuje dostęp do cennych zasobów. Te zasoby mogą obejmować poufne konta, administratorów domeny i wysoce poufne dane. Usługa Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zagrożeń cybernetycznych:

  • Rekonesans — identyfikowanie nieautoryzowanych użytkowników i osób atakujących w celu uzyskania informacji.
  • Poświadczenia naruszone — identyfikowanie prób naruszenia poświadczeń użytkownika przy użyciu ataków siłowych, nieudanych uwierzytelnień, zmian członkostwa w grupach użytkowników i innych metod.
  • Ruchów poprzecznych — wykrywa próby przeniesienia się poprzecznie do sieci w celu uzyskania dalszej kontroli nad poufnymi użytkownikami.
  • Dominacja domeny — wyróżnianie zachowania osoby atakującej w przypadku osiągnięcia dominacji domeny poprzez zdalne wykonywanie kodu na kontrolerze domeny lub innych metodach.

Badanie alertów i działań użytkowników

Usługa Defender for Identity została zaprojektowana w celu zmniejszenia ogólnego szumu alertów, zapewniając tylko istotne, ważne alerty zabezpieczeń w prostym, czasie rzeczywistym osi czasu ataku organizacyjnego.

Użyj widoku osi czasu ataku usługi Defender for Identity i analizy inteligentnej analizy, aby skoncentrować się na tym, co ma znaczenie. Ponadto możesz użyć usługi Defender for Identity, aby szybko badać zagrożenia i uzyskiwać szczegółowe informacje w całej organizacji dla użytkowników, urządzeń i zasobów sieciowych.

Usługa Microsoft Defender for Identity chroni organizację przed naruszeniami zabezpieczeń tożsamości, zaawansowanymi zagrożeniami i złośliwymi akcjami poufnymi.

A diagram of Defender for Identity. The diagram shows a domain controller and AD FS sending and signals to Defender for Identity. Defender for Identity is sending and receiving signals from Microsoft Defender XDR which gets signals from endpoints, Office 365, and cloud apps.