什么是 Microsoft Defender for Identity?

Microsoft Defender for Identity(以前称为 Azure 高级威胁防护,也称为 Azure ATP)是一个基于云的安全解决方案,可利用本地 Active Directory 信号识别、检测并调查针对组织的高级威胁、身份盗用和恶意内部操作。

Defender for Identity 可以使 SecOp 分析员和安全专业人员能够在混合环境中检测高级攻击,以便:

  • 使用基于学习的分析监视用户、实体行为和活动
  • 保护存储在 Active Directory 中的用户标识和凭据
  • 识别并调查整个杀伤链中的可疑用户活动和高级攻击
  • 提供关于简单时间线的明确事件信息,以进行快速会审

监视和分析用户行为和活动

Defender for Identity 监视并分析网络中的用户活动和信息(例如权限和组成员身份),为每个用户创建行为基线。 然后,Defender for Identity 通过自适应内置智能识别异常情况,让你深入了解可疑活动和事件、揭示组织面临的高级威胁、用户侵害和内部威胁。 Defender for Identity 的专有传感器监视组织域控制器,提供每个设备中所有用户活动的全面视图。

保护用户标识并减少攻击面

Defender for Identity 提供有关标识配置和建议的安全最佳做法的宝贵见解。 通过安全报告和用户配置文件分析,Defender for Identity 可以显着减少组织攻击面,使入侵用户凭据和推进攻击更加艰难。 Defender for Identity 的可视横向移动路径有助于快速准确地了解攻击者如何在组织内横向移动以入侵敏感帐户并协助提前预防这些风险。 Defender for Identity 安全报告有助于识别使用明文密码进行身份验证的用户和设备,并提供其他见解以改善组织安全状况和策略。

在混合环境中保护 AD FS

当在混合环境中进行身份验证时,Active Directory 联合身份验证服务 (AD FS) 在当今的基础结构中扮演着重要的角色。 Defender for Identity 通过检测 AD FS 上的本地攻击,并提供 AD FS 生成的身份验证事件的可见性,来保护环境中的 AD FS。

识别网络攻击杀伤链中的可疑活动和高级攻击

通常情况下,会针对任何可访问实体(例如低权限用户)发起攻击,然后快速横向移动,直到攻击者获得对有价值资产(如敏感帐户、域管理员和高度敏感数据)的访问权限。 Defender for Identity 能在整个网络攻击杀伤链中从源头识别这些高级威胁:

侦测

发现未授权用户和攻击者获取信息的企图。 攻击者使用各种方法搜索用户名、用户的组成员身份、分配给设备的 IP 地址、资源等信息。

泄露的凭据

识别使用暴力攻击、失败的身份验证、用户组成员身份更改以及其他方法来入侵用户凭据的尝试。

横向移动

检测利用诸如 Pass the Ticket、Pass the Hash、Overpass the Hash 等方法在网络内横向移动以进一步控制敏感用户的尝试。

域控制

如果通过域控制器上的远程代码执行以及 DC Shadow、恶意域控制器复制、黄金票证活动等方法实现域控制,则突出显示攻击者行为。

调查警报和用户活动

Defender for Identity 旨在降低一般警报噪音,在简单的实时组织攻击时间线中仅提供相关、重要的安全警报。 Defender for Identity 攻击时间线视图使你可以轻松地专注于重要事项,充分利用智能分析。 使用 Defender for Identity 快速调查威胁并深入了解组织中的用户、设备和网络资源。 与 Microsoft Defender for Endpoint 的无缝集成通过额外检测并抵御操作系统上的高级持久威胁,增添了另一层增强的安全屏障。

Defender for Identity 的其他资源

开始使用免费试用版

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

在 Microsoft 技术社区上关注 Defender for Identity

https://aka.ms/MDIcommunity

加入 Defender for Identity Yammer 社区

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

访问 Defender for Identity 产品页

https://www.microsoft.com/microsoft-365/security/identity-defender

深入了解 Defender for Identity 体系结构

Defender for Identity 体系结构

观看我们的视频

使用 Defender for Identity 增强安全状态 - 识别并主动解决已知的不良行为,使环境处于更健康的运行状态,并且更灵活地应对不良参与方 - 观看 YouTube 视频

使用 Defender for Identity 进行事件调查 - 了解如何使用 Defender for Identity 检测、调查和响应针对身份和域控制器的高级威胁。 从 Defender for Identity 中的警报开始,我们将演示如何将信息与事件相关联,如何使用 Defender for Identity 捕获的信息来查找威胁,以及如何在事件发展成更大的问题之前启动自动事件响应以修正该事件 - 观看 YouTube 视频

后续步骤

我们建议分三个阶段部署 Defender for Identity:

阶段 1

  1. 设置 Defender for Identity,以保护主要环境。 利用 Defender for Identity 的快速部署模型可以立即开始保护组织。 安装 Defender for Identity
  2. 设置敏感帐户蜜标帐户
  3. 审核报告和横向移动路径

阶段 2

  1. 保护组织中的所有域控制器和
  2. 监视所有警报 - 调查横向移动和域控制警报。
  3. 使用安全警报指南了解威胁和会审潜在攻击。

第 3 阶段

  1. 将 Defender for Identity 警报集成到 SecOp 工作流中。

另请参阅