إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يساعد Microsoft Defender for Identity المؤسسات على اكتشاف الهجمات المستندة إلى الهوية والتحقيق فيها والاستجابة لها عبر البيئات المحلية والسحابية والمختلطة. غالبا ما يستهدف المهاجمون الهويات مثل المستخدمين والتطبيقات وحسابات الخدمة للوصول، وتصعيد الامتيازات، والحفاظ على الاستمرار.
يراقب Defender for Identity إشارات الهوية من Active Directory محلي Microsoft Entra ID، حلول IAM الأخرى (على سبيل المثال، Okta). يحلل هذه الإشارات باستخدام التحليلات السلوكية والتحليل الذكي للمخاطر وأنماط الهجوم المعروفة للكشف عن النشاط المشبوه عبر دورة حياة هجوم الهوية الكاملة. تتضمن التنبيهات سياق التحقيق في مدخل Microsoft Defender، مما يساعد فرق الأمان على فهم ما حدث، ولماذا يهم، وكيفية الاستجابة.
أمان الهوية
Microsoft Defender for Identity هو مكون أساسي من Microsoft Identity Security. يركز أمن الهوية على حماية الهويات من خلال توفير رؤية لتغطية الهوية ووضعها، واكتشاف التهديدات المستندة إلى الهوية، وتمكين التحقيق والاستجابة عبر أنظمة الهوية والتطبيقات والبنية الأساسية.
يقوم Defender for Identity ببث إشارات الهوية إلى مدخل Microsoft Defender، حيث ترتبط بالبيانات من نقاط النهاية والبريد الإلكتروني وتطبيقات SaaS وأحمال العمل السحابية ومصادر الأمان الأخرى. يساعد هذا الارتباط فرق الأمان على تحديد السلوك الشاذ وتتبع حركة المهاجم والاستجابة من خلال الحوادث الموحدة التي تعكس النطاق الكامل للهجوم بدلا من التنبيهات المعزولة.
قدرات Defender for Identity
يقدم Defender for Identity حلا حديثا للكشف عن تهديدات الهوية من خلال:
- تقييمات استباقية لوضع أمان الهوية
- الكشف عن التهديدات في الوقت الحقيقي باستخدام التحليلات والذكاء السلوكي
- التحقيق في الأنشطة المشبوهة مع سياق حادث واضح وقابل للتنفيذ
- إجراءات المعالجة للهويات المخترقة
منع الخروقات من خلال تقييمات وضع أمان الهوية الاستباقية
يساعد Defender for Identity المؤسسات على تقليل سطح هجوم الهوية بشكل استباقي. وهو يقيم تكوينات الهوية ويسلط الضوء على نقاط الضعف الأمنية التي يستغلها المهاجمون عادة، ما يسمح للفرق بمعالجة المخاطر قبل إساءة استخدامها.
تتضمن قدرات الوضع الرئيسية ما يلي:
- تقييمات وضع أمان الهوية المتوفرة من خلال Microsoft Secure Score
- تحديد التكوينات والتعرضات الخطرة
- تحليل مسارات الحركة الجانبية التي تكشف كيف يمكن للمهاجم اجتياز البيئة
تساعد هذه الرؤى المؤسسات على تعزيز مرونة الهوية وتقليل احتمالية نجاح التسوية.
الكشف عن التهديدات المستندة إلى الهوية
تم تصميم Defender for Identity للكشف عن التهديدات التي تستهدف الهويات على وجه التحديد، بما في ذلك الهويات البشرية وغير uman مثل حسابات الخدمة وحسابات المزامنة والتطبيقات. يعتمد الكشف على التحليلات السلوكية وارتباط الإشارة بدلا من الأحداث الفردية.
يراقب Defender for Identity نشاط الهوية ويحلله مثل:
- سلوك المصادقة والتخويل
- إساءة استخدام بيانات الاعتماد وتسجيل الدخول الخطر
- تصعيد الامتيازات وتغييرات الدور أو عضوية المجموعة المشبوهة
- محاولات الحركة الجانبية داخل البيئة
- السلوك غير الطبيعي المتعلق بحسابات الخدمة والهويات الأخرى غير البشرية
يوضح الجدول التالي كيفية محاذاة اكتشافات Defender for Identity مع المراحل الرئيسية للهجوم المستند إلى الهوية:
| مرحلة الهجوم | اكتشافات Defender for Identity |
|---|---|
| الاستطلاع | يحدد نشاط الاكتشاف المشبوه، مثل محاولات تعداد أسماء المستخدمين وعضوية المجموعة وعناوين IP والموارد. |
| بيانات الاعتماد المخترقة | يكتشف محاولات اختراق بيانات الاعتماد باستخدام تقنيات مثل القوة الغاشمة والمصادقات الفاشلة المتكررة والتغييرات المشبوهة في عضوية مجموعة المستخدمين. |
| الحركة الجانبية | يكتشف محاولات التنقل أفقيا وتوسيع التحكم في الهويات الحساسة وعبر بيئات مختلفة. |
| هيمنة مجال AD | يسلط الضوء على السلوك المقترن باختراق المجال الكامل، مثل تنفيذ التعليمات البرمجية عن بعد على وحدات التحكم بالمجال و DCShadow والنسخ المتماثل لوحدة التحكم بالمجال الضارة ونشاط Golden Ticket. |
غالبا ما يبدأ المهاجمون بأي هوية يمكن الوصول إليها ثم ينتقلون أفقيا نحو أهداف ذات قيمة عالية مثل الحسابات المتميزة مثل مسؤولي المجال والمسؤول العام ومسؤولي التطبيقات والبيانات الحساسة. يساعد Defender for Identity في تحديد هذه السلوكيات في وقت مبكر من خلال إنشاء ملفات تعريف سلوكية للمستخدمين والأجهزة والحسابات واكتشاف الانحرافات التي تشير إلى نشاط المهاجم.
التحقيق في تهديدات الهوية
ينشئ Defender for Identity تنبيهات يتم إثراؤها بالسياق مثل الهويات المتأثرة والنشاط ذي الصلة وتقنيات المهاجم. يمكن للمحللين استخدام هذا السياق للتحقق من صحة السلوك المشبوه وفهم ما حدث.
يدعم Defender for Identity أيضا مهام سير عمل التحقق من الهوية والتتبع. تتوفر كيانات الهوية ونشاط المصادقة داخل مدخل Microsoft Defender، ما يمكن فرق الأمان من التحقيق في أنماط النشاط والبحث عن تهديدات إضافية تستند إلى الهوية عبر السحابة والمستخدمين المحليين والمختلطين.
الاستجابة للهجمات المستندة إلى الهوية
يدعم Defender for Identity الاستجابة من خلال:
- ربط تنبيهات الهوية بالحوادث الموحدة في Microsoft Defender
- توفير سياق الهوية (المستخدمين والحسابات والأدوار ومؤشرات الحركة الجانبية) لتحديد نطاق التأثير وتحديد أولويات الإجراءات
- تمكين إجراءات المعالجة في مدخل Microsoft Defender للهويات المتأثرة والكيانات ذات الصلة
تجربة مدخل Microsoft Defender
يوفر مدخل Microsoft Defender تجربة موحدة لمراقبة تهديدات الهوية والتحقيق فيها والاستجابة لها. من المدخل، يمكن لفرق الأمان:
- عرض التنبيهات المستندة إلى الهوية والحوادث المرتبطة
- التحقيق في المستخدمين والأجهزة وعلاقات الهوية
- تعقب وضع أمان الهوية وتوصيات المعالجة
- تنفيذ إجراءات الاستجابة على الهويات المخترقة
من خلال المساهمة في سياق هوية غني في الحوادث الموحدة، يساعد Defender for Identity فرق الأمان على فهم سلوك المهاجم وتحديد أولويات المخاطر واتخاذ إجراء لتعطيل الهجمات المستندة إلى الهوية عبر المؤسسة.
نظرة عامة على البنية
يستخدم Microsoft Defender for Identity أجهزة استشعار خفيفة الوزن وموصلات API وخدمة تحليلات مستندة إلى السحابة تتم إدارتها في مدخل Microsoft Defender.
تعمل أجهزة الاستشعار على البنية الأساسية للهوية الخاصة بك، وتلتقط نسبة استخدام الشبكة ذات الصلة وأحداث Windows وتحليلها محليا. تدمج موصلات واجهة برمجة التطبيقات أنظمة إدارة الهوية والوصول الخارجية (IAM)، لتوفير حماية شاملة للهوية.
يتم إرسال الإشارات المطلوبة فقط إلى خدمة Defender for Identity السحابية، ما يقلل من تأثير الأداء ويتجنب التغييرات المعقدة في الشبكة.
تحلل الخدمة السحابية إشارات الهوية وتدمجها مع أحمال العمل Microsoft Defender الأخرى، وتسهم في التحليل الذكي للهوية للتنبيهات والحوادث المرتبطة عبر Microsoft Defender XDR.