Vad är Microsoft Defender for Identity?

Microsoft Defender for Identity (tidigare Azure Advanced Threat Protection, även kallat Azure ATP) är en molnbaserad säkerhetslösning som utnyttjar dina lokal Active Directory-signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder riktade mot din organisation.

Defender for Identity gör det möjligt för SecOp-analytiker och säkerhetsexperter som arbetar med att identifiera avancerade attacker i hybridmiljöer att:

• Övervaka användare, entitetsbeteende och aktiviteter med inlärningsbaserad analys
• Skydda användaridentiteter och autentiseringsuppgifter som lagras i Active Directory
• Identifiera och undersöka misstänkta användaraktiviteter och avancerade attacker i hela händelsekedjan
• Ange tydlig incidentinformation på en enkel tidslinje för snabb tred

Övervaka och analysera användarbeteende och aktiviteter

Defender for Identity övervakar och analyserar användaraktiviteter och information i nätverket, till exempel behörigheter och gruppmedlemskap, och skapar en beteendebaslinje för varje användare. Defender for Identity identifierar sedan avvikelser med anpassningsbar inbyggd intelligens, vilket ger dig insikter om misstänkta aktiviteter och händelser, vilket avslöjar avancerade hot, komprometterade användare och insiderhot som din organisation står inför. Defender for Identitys tillverkarspecifika sensorer övervakar organisationens domänkontrollanter, vilket ger en heltäckande vy för alla användaraktiviteter från varje enhet.

Skydda användaridentiteter och minska angreppsytan

Defender for Identity ger dig värdefulla insikter om identitetskonfigurationer och rekommenderade säkerhetsmetoder. Med hjälp av säkerhetsrapporter och analys av användarprofiler kan Defender for Identity avsevärt minska din organisations angreppsyta, vilket gör det svårare att kompromettera användarautentiseringsuppgifter och gå vidare med en attack. Defender for Identitys visuella laterala rörelsesökvägar hjälper dig att snabbt förstå exakt hur en angripare kan röra sig lateralt i organisationen för att kompromettera känsliga konton och hjälpa till att förhindra dessa risker i förväg. Säkerhetsrapporter i Defender for Identity hjälper dig att identifiera användare och enheter som autentiserar med lösenord i klartext och ger ytterligare insikter för att förbättra organisationens säkerhetsposition och principer.

Skydda AD FS i hybridmiljöer

Active Directory Federation Services (AD FS) (AD FS) spelar en viktig roll i dagens infrastruktur när det gäller autentisering i hybridmiljöer. Defender for Identity skyddar AD FS i din miljö genom att identifiera lokala attacker på AD FS och ge insyn i autentiseringshändelser som genereras av AD FS.

Identifiera misstänkta aktiviteter och avancerade attacker i händelsekedjan för cyberattacker

Vanligtvis startas attacker mot en tillgänglig entitet, till exempel en låg privilegierad användare, och sedan snabbt flyttas i sidled tills angriparen får tillgång till värdefulla tillgångar , till exempel känsliga konton, domänadministratörer och mycket känsliga data. Defender for Identity identifierar dessa avancerade hot vid källan i hela händelsekedjan för cyberattacker:

Rekognosering

Identifiera falska användare och angripares försök att få information. Angripare söker efter information om användarnamn, användares gruppmedlemskap, IP-adresser som tilldelats till enheter, resurser med mera med hjälp av en mängd olika metoder.

Avslöjade autentiseringsuppgifter

Identifiera försök att kompromettera användarautentiseringsuppgifter med råstyrkattacker, misslyckade autentiseringar, ändringar av användargruppmedlemskap och andra metoder.

Laterala rörelser

Identifiera försök att flytta lateralt i nätverket för att få ytterligare kontroll över känsliga användare med hjälp av metoder som Pass the Ticket, Pass the Hash, Overpass the Hash med mera.

Domändominans

Markera angriparens beteende om domändominans uppnås, via fjärrkörning av kod på domänkontrollanten och metoder som DC Shadow, replikering av skadliga domänkontrollanter, Golden Ticket-aktiviteter med mera.

Undersöka aviseringar och användaraktiviteter

Defender for Identity är utformat för att minska det allmänna aviseringsbruset och ger endast relevanta, viktiga säkerhetsaviseringar på en enkel tidslinje för organisationsangrepp i realtid. Med tidslinjevyn för Defender for Identity-attacker kan du enkelt fokusera på det som är viktigt, med hjälp av smart analys. Använd Defender för identitet för att snabbt undersöka hot och få insikter i organisationen för användare, enheter och nätverksresurser. Sömlös integrering med Microsoft Defender for Endpoint ger ytterligare ett lager med förbättrad säkerhet genom ytterligare identifiering och skydd mot avancerade permanenta hot i operativsystemet.

Ytterligare resurser för Defender för identitet

Börja en kostnadsfri utvärderingsversion

ali=1

Följ Defender for Identity på Microsoft Tech Community

Gå med i defender for Identity Yammer communityn

feedId=9386893

Besök produktsidan för Defender for Identity

Läs mer om Defender för identitetsarkitektur

Defender för identitetsarkitektur

Titta på våra videor

Förbättra din säkerhetsstatus med Defender for Identity – Identifiera och proaktivt lösa kända dåliga metoder, lämna miljön i ett dåligt tillstånd och mer motståndskraftig mot dåliga aktörer – titta på YouTube-videon

Incidentundersökning med Defender för identitet – Lär dig hur du identifierar, undersöker och svarar på avancerade hot som riktar sig mot identiteter och domänkontrollanter med Defender för identitet. Från och med en avisering i Defender for Identity visar vi hur informationen korreleras till en incident, hur du söker efter hot med hjälp av information som har fångats in av Defender för identitet och hur vi kan initiera en automatisk incidentsvar för att åtgärda incidenten innan den utvecklas till ett större problem – titta på YouTube-videon

Nästa steg

Vi rekommenderar att du distribuerar Defender för identitet i tre faser:

Fas 1

1. Konfigurera Defender för identitet för att skydda dina primära miljöer. Med Defender for Identitys snabba distributionsmodell kan du börja skydda din organisation i dag. Installera Defender för identitet
2. Ange känsliga konton och honeytoken-konton.
3. Granska rapporter och laterala rörelsesökvägar.

Fas 2

1. Skydda alla domänkontrollanter och skogar i din organisation.
2. Övervaka alla aviseringar – undersök aviseringar om domändominans för lateral förflyttning.
3. Arbeta med säkerhetsaviseringsguiden för att förstå hot och hantera potentiella attacker.

Fas 3

1. Integrera Defender för identitetsaviseringar i dina SecOp-arbetsflöden.

Se även

• Vanliga frågor och svar om Defender för identitet
• Arbeta med säkerhetsaviseringar
• Kolla in Defender for Identity-forumet!