O que é o Microsoft Defender para Identidade?

O Microsoft Defender para Identidade (antigo ATP do Azure, Proteção Avançada contra Ameaças do Azure) é uma solução de segurança baseada em nuvem que aproveita os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de usuários internos mal-intencionados direcionadas à sua organização.

O Defender para Identidade permite aos analistas de SecOp e profissionais de segurança que se esforçam para detectar ataques avançados em ambientes híbridos:

  • Monitorar usuários, comportamento de entidade e atividades com a análise baseada em aprendizado
  • Proteger as identidades do usuário e as credenciais armazenadas no Active Directory
  • Identificar e investigar atividades de usuário suspeitas e ataques avançados em toda a cadeia do ataque cibernético
  • Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápida

Monitorar e criar perfis de comportamento e de atividades do usuário

O Defender para Identidade monitora e analisa as atividades do usuário e as informações na sua rede, como permissões e associação a um grupo, criando uma linha de base comportamental para cada usuário. Depois, o Defender para Identidade identifica anomalias com inteligência interna adaptável, fornecendo a você insights sobre atividades e eventos suspeitos, revelando as ameaças avançadas, os usuários comprometidos e as ameaças internas voltadas para a sua organização. Os sensores proprietários do Defender para Identidade monitoram os controladores de domínio organizacionais, proporcionando uma visão abrangente de todas as atividades do usuário em todos os dispositivos.

Proteger as identidades de usuário e reduzir a superfície de ataques

O Defender para Identidade fornece insights valiosos sobre configurações de identidade e sugestões de melhores práticas de segurança. Por meio de relatórios de segurança e análise de perfil do usuário, o Defender para Identidade ajuda a reduzir significativamente a superfície de ataque organizacional, dificultando o comprometimento das credenciais do usuário e o avanço de um ataque. Os Caminhos de Movimentação Lateral visuais do Defender para Identidade ajudam você a compreender de maneira rápida exatamente como um invasor pode se mover lateralmente dentro da sua organização para comprometer contas confidenciais e ajuda a impedir esses riscos com antecedência. Os relatórios de segurança do Defender para Identidade ajudam você a identificar os usuários e os dispositivos autenticados por senhas com texto não criptografado e fornecem insights adicionais para aprimorar suas políticas e sua postura de segurança organizacional.

Proteger os AD FS em ambientes híbridos

Os AD FS (Serviços de Federação do Active Directory) desempenham um papel importante na infraestrutura atual quando se trata de autenticação em ambientes híbridos. O Defender para Identidade protege os AD FS em seu ambiente detectando ataques locais nos AD FS e fornecendo visibilidade quanto aos eventos de autenticação gerados pelos AD FS.

Identificar atividades suspeitas e ataques avançados em toda a cadeia do ataque cibernético

Normalmente, os ataques são iniciados contra qualquer entidade acessível, como um usuário com poucos privilégios e, em seguida, se movem lateralmente com rapidez até que o invasor obtenha acesso a ativos valiosos – como contas confidenciais, administradores de domínio e dados altamente confidenciais. O Defender para Identidade identifica essas ameaças avançadas na origem em toda a cadeia de eliminação de ataque cibernético:

Reconhecimento

Identifique os usuários invasores e as tentativas de invasores para obter informações. Os invasores buscam informações sobre nomes de usuário, associação de grupo de usuários, endereços IP atribuídos a dispositivos, recursos e muito mais, usando diversos métodos.

Credenciais comprometidas

Identifique as tentativas de comprometer as credenciais do usuário usando ataques de força bruta, autenticações com falha, alterações na associação de grupo e outros métodos.

Movimentação lateral

Detecte as tentativas de se mover lateralmente na rede para obter mais controle sobre usuários confidenciais utilizando métodos como Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash e muito mais.

Predominância de domínio

Destaque o comportamento do invasor caso ele venha comandar o domínio, por meio de execução remota de código no controlador de domínio e métodos como Sombra do controlador de domínio, replicação do controlador de domínio mal-intencionado, atividades de Golden Ticket e muito mais.

Investigar alertas e atividades do usuário

O Defender para Identidade foi projetado para reduzir o ruído de alertas gerais, fornecendo apenas alertas de segurança importantes e relevantes em uma linha do tempo de ataque organizacional simples e em tempo real. A exibição da linha do tempo do ataque do Defender para Identidade permite que você mantenha com facilidade o foco no que realmente importa, aproveitando a análise inteligente. Use o Defender para Identidade para investigar rapidamente as ameaças e receber insights de toda a organização sobre usuários, dispositivos e recursos de rede. A integração perfeita ao Microsoft Defender para Ponto de Extremidade fornece outra camada de segurança aprimorada com a detecção adicional e a proteção contra ameaças persistentes avançadas no sistema operacional.

Recursos adicionais do Microsoft Defender para Identidade

Comece uma avaliação gratuita

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Siga o Microsoft Defender para Identidade no Microsoft Tech Community

https://aka.ms/MDIcommunity

Ingresse na comunidade do Yammer do Microsoft Defender para Identidade

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Visite a página de produto do Microsoft Defender para Identidade

https://www.microsoft.com/microsoft-365/security/identity-defender

Saiba mais sobre a arquitetura do Microsoft Defender para Identidade

Arquitetura do Defender para Identidade

Assista aos nossos vídeos

Reforce sua postura de segurança com o Defender para Identidade: identifique e resolva de maneira proativa as práticas inadequadas conhecidas, deixando seu ambiente em um estado mais íntegro e mais resiliente a atores mal-intencionados assistindo a este vídeo do YouTube

Investigue os incidentes com o Defender para Identidade: saiba como detectar e investigar ameaças avançadas direcionadas a identidades e controladores de domínio e como responder a elas com o Defender para Identidade. Começando com um alerta no Defender para Identidade, demonstraremos como essas informações são correlacionadas a um incidente, como buscar ameaças usando as informações capturadas pelo Defender para Identidade e como podemos iniciar uma resposta de incidente automática para corrigir o incidente antes de ele evoluir para um problema maior. Saiba mais assistindo a este vídeo do YouTube

E agora?

Recomendamos implantar o Defender para Identidade em três fases:

Fase 1

  1. Configure o Defender para Identidade para proteger seus ambientes principais. O modelo de implantação rápida do Defender para Identidade permite que você comece hoje mesmo a proteger sua organização. Instalar o Defender para Identidade
  2. Defina as contas confidenciais e as contas de honeytoken.
  3. Examine os relatórios e os caminhos de movimentação lateral.

Fase 2

  1. Proteja todos os controladores de domínio e florestas na sua organização.
  2. Monitore todos os alertas – investigue os alertas de movimentação lateral e de comando de domínio.
  3. Trabalhe com o Guia de Alerta de Segurança para entender as ameaças e os ataques em potencial da triagem.

Fase 3

  1. Integre os alertas do Defender para Identidade aos seus fluxos de trabalho de SecOp.

Consulte Também