Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Defender for Identity pomáhá organizacím zjišťovat, prošetřovat a reagovat na útoky založené na identitách v místních, cloudových a hybridních prostředích. Útočníci často cílí na identity, jako jsou uživatelé, aplikace a účty služeb, aby získali přístup, eskalují oprávnění a udržovali trvalost.
Defender for Identity monitoruje signály identit z místní Active Directory a Microsoft Entra ID jiných řešení IAM (například Okta). Analyzuje tyto signály pomocí analýzy chování, analýzy hrozeb a známých vzorů útoků a detekuje podezřelé aktivity v rámci celého životního cyklu útoku identity. Výstrahy zahrnují kontext šetření na portálu Microsoft Defender, který pomáhá bezpečnostním týmům pochopit, co se stalo, proč na tom záleží a jak reagovat.
Zabezpečení identit
Microsoft Defender for Identity je základní součástí Microsoft Identity Security. Zabezpečení identit se zaměřuje na ochranu identit tím, že poskytuje přehled o pokrytí a stavu identit, detekuje hrozby založené na identitách a umožňuje šetření a reakci napříč systémy identit, aplikacemi a infrastrukturou.
Defender for Identity streamuje signály identity do portálu Microsoft Defender, kde korelují s daty z koncových bodů, e-mailů, aplikací SaaS, cloudových úloh a dalších zdrojů zabezpečení. Tato korelace pomáhá bezpečnostním týmům identifikovat neobvyklé chování, sledovat pohyb útočníka a reagovat prostřednictvím jednotných incidentů, které místo izolovaných výstrah odrážejí celý rozsah útoku.
Možnosti služby Defender for Identity
Defender for Identity poskytuje moderní řešení detekce hrozeb identit s využitím:
- Posouzení stavu zabezpečení proaktivní identity
- Detekce hrozeb v reálném čase s využitím analýzy a analýzy chování
- Vyšetřování podezřelých aktivit s jasným kontextem incidentu s možností reakce
- Nápravné akce pro ohrožené identity
Prevence porušení s využitím proaktivního posouzení stavu zabezpečení identit
Defender for Identity pomáhá organizacím aktivně snižovat prostor pro útoky na identity. Vyhodnocuje konfigurace identit a upozorňuje na slabá místa zabezpečení, která útočníci běžně využívají, a umožňuje týmům řešit rizika před jejich zneužitím.
Mezi klíčové možnosti stavu patří:
- Posouzení stavu zabezpečení identity dostupná prostřednictvím skóre zabezpečení Microsoftu
- Identifikace rizikových konfigurací a expozic
- Analýza cest laterálního pohybu, která ukazuje, jak by útočník mohl procházet prostředím
Tyto přehledy pomáhají organizacím posílit odolnost identit a snížit pravděpodobnost úspěšného ohrožení zabezpečení.
Detekce hrozeb založených na identitách
Defender for Identity je navržený tak, aby rozpoznal hrozby, které cílí konkrétně na identity, včetně lidských i jiných identit, jako jsou účty služeb, synchronizační účty a aplikace. Detekce je založená na analýze chování a korelaci signálů, nikoli na jednotlivých událostech.
Defender for Identity monitoruje a analyzuje aktivity identit, například:
- Chování ověřování a autorizace
- Zneužití přihlašovacích údajů a riziková přihlášení
- Eskalace oprávnění a podezřelé změny členství v rolích nebo skupinách
- Pokusy o laterální pohyb v rámci prostředí
- Neobvyklé chování související s účty služeb a dalšími identitami, které nejsou lidmi
Následující tabulka ukazuje, jak detekce Defenderu for Identity odpovídají klíčovým fázím útoku založeného na identitě:
| Fáze útoku | Detekce služby Defender for Identity |
|---|---|
| Průzkum | Identifikuje podezřelé aktivity zjišťování, jako jsou pokusy o výčet uživatelských jmen, členství ve skupinách, IP adresy a prostředky. |
| Ohrožené přihlašovací údaje | Detekuje pokusy o ohrožení přihlašovacích údajů pomocí technik, jako jsou hrubá síla, opakované neúspěšné ověřování a podezřelé změny členství ve skupině uživatelů. |
| Laterální pohyb | Detekuje pokusy o laterálně přesun a rozšíření kontroly citlivých identit a napříč různými prostředími. |
| Dominantní doména služby AD | Zvýrazňuje chování spojené s úplným ohrožením domény, jako je vzdálené spuštění kódu na řadičích domény, dcShadow, replikace škodlivého řadiče domény a aktivita zlatého lístku. |
Útočníci často začínají s jakoukoli přístupnou identitou a pak se laterálně přesouvají k cílům s vysokou hodnotou, jako jsou privilegované účty, jako jsou správci domény, globální správce, správci aplikací a citlivá data. Defender for Identity pomáhá toto chování včas identifikovat tím, že vytváří profily chování pro uživatele, zařízení a účty a detekuje odchylky, které značí aktivitu útočníka.
Zkoumání hrozeb identit
Defender for Identity generuje výstrahy, které jsou obohacené o kontext, jako jsou ovlivněné identity, související aktivity a techniky útočníka. Analytici můžou pomocí tohoto kontextu ověřit podezřelé chování a pochopit, co se stalo.
Defender for Identity také podporuje pracovní postupy prošetření a proaktivního vyhledávání identit. Entity identit a ověřovací aktivita jsou k dispozici na portálu Microsoft Defender, což umožňuje bezpečnostním týmům zkoumat vzory aktivit a vyhledávat další hrozby založené na identitách mezi cloudovými, místními a hybridními uživateli.
Reakce na útoky založené na identitách
Defender for Identity podporuje odpověď:
- Korelace upozornění identity do sjednocených incidentů v Microsoft Defender
- Poskytování kontextu identity (uživatelů, účtů, rolí a indikátorů laterálního pohybu) k určení rozsahu dopadu akcí a určení jejich priority
- Povolení nápravných akcí na portálu Microsoft Defender pro ovlivněné identity a související entity
prostředí portálu Microsoft Defender
Portál Microsoft Defender poskytuje jednotné prostředí pro monitorování, prošetřování a reagování na hrozby identity. Na portálu můžou bezpečnostní týmy:
- Zobrazení výstrah založených na identitě a korelovaných incidentů
- Zkoumání vztahů mezi uživateli, zařízeními a identitou
- Sledování stavu zabezpečení identit a doporučení k nápravě
- Provádění akcí odpovědí na ohrožené identity
Díky tomu, že defender for Identity přispívá do jednotných incidentů s bohatým kontextem identity, pomáhá týmům zabezpečení pochopit chování útočníka, určit prioritu rizik a podniknout kroky k přerušení útoků založených na identitách v celé organizaci.
Přehled architektury
Microsoft Defender for Identity používá jednoduché senzory, konektory rozhraní API a cloudovou analytickou službu spravovanou na portálu Microsoft Defender.
Senzory běží na vaší infrastruktuře identit a místně zachytují a parsují relevantní síťový provoz a události Windows. Konektory rozhraní API integrují externí systémy pro správu identit a přístupu (IAM), které poskytují komplexní ochranu identit.
Do cloudové služby Defender for Identity se odesílají jenom požadované signály, které minimalizují dopad na výkon a vyhýbají se složitým změnám sítě.
Cloudová služba analyzuje signály identity a integruje je s dalšími úlohami Microsoft Defender a přispívá tak ke korelaci výstrah a incidentů napříč Microsoft Defender XDR.