Was ist Microsoft Defender for Identity?
Microsoft Defender for Identity (ehemals Azure Advanced Threat Protection bzw. Azure ATP) ist eine cloudbasierte Sicherheitslösung, die Signale Ihres lokalen Active Directory nutzt, um komplexe Bedrohungen, gefährdete Identitäten und schädliche Insideraktionen gegen Ihre Organisation zu identifizieren und zu erkennen, und die Sie bei der Untersuchung dieser Bedrohungen unterstützt.
Defender for Identity bietet SecOp-Analysten und Sicherheitsexperten, die Probleme beim Erkennen komplexe Angriffe in Hybridumgebungen haben, folgende Funktionen:
- Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter Analyse
- Schutz von in Active Directory gespeicherten Benutzeridentitäten und Anmeldeinformationen
- Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill Chain
- Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen Selektierung
Überwachung und Analyse von Benutzerverhalten und -aktivitäten
Defender for Identity überwacht und analysiert netzwerkübergreifend Benutzeraktivitäten und -informationen, wie z.B. Berechtigungen und Gruppenmitgliedschaften, und erstellt dabei für jeden Benutzer eine verhaltensbasierte Baseline. Anschließend identifiziert Defender for Identity Anomalien bei integrierter adaptiver Intelligenz und gewährt Ihnen Einblicke in verdächtige Aktivitäten und Ereignisse. Dabei werden Ihnen komplexe Bedrohungen, gefährdete Benutzer und Insider-Bedrohungen Ihrer Organisation angezeigt. Die geschützten Sensoren von Defender for Identity überwachen Domänencontroller der Organisation. Dadurch wird von jedem Gerät aus ein umfassender Überblick für alle Benutzeraktivitäten geboten.
Schutz von Benutzeridentitäten und Verringern der Angriffsfläche
Defender for Identity gewährt Ihnen wertvolle Einblicke in Identitätskonfigurationen und stellt empfohlene bewährte Methoden für die Sicherheit bereit. Mithilfe von Defender for Identity können Sie durch Sicherheitsberichte und die Analyse von Benutzerprofilen die Angriffsfläche Ihrer Organisation deutlich reduzieren, wodurch auch die Gefährdung von Benutzeranmeldeinformationen sowie die Gefährdung durch einen Angriff verringert werden kann. Mithilfe der visuellen Lateral Movement-Pfade von Defender for Identity verstehen Sie schnell, wie genau sich ein Angreifer lateral innerhalb Ihrer Organisation bewegen kann, um sensible Konten zu gefährden. Die Lösung unterstützt Sie dabei, diese Risiken im Vorhinein zu vermeiden. Zudem können Sie mithilfe der Sicherheitsberichte von Defender for Identity Benutzer und Geräte identifizieren, die sich mit Klartextkennwörtern authentifizieren, und weitere Einblicke gewinnen, um den Sicherheitsstatus und die Richtlinien Ihrer Organisation zu verbessern.
Schutz von AD FS in Hybridumgebungen
AD FS (Active Directory-Verbunddienste) spielt bei der Authentifizierung in Hybridumgebungen eine wichtige Rolle in der modernen Infrastruktur. Defender for Identity schützt die AD FS in Ihrer Umgebung, indem lokale Angriffe auf die AD FS lokal erkannt und Einblicke in die von den AD FS generierten Authentifizierungsereignisse gewährt werden. Weitere Informationen finden Sie unter Microsoft Defender for Identity in Active Directory-Verbunddienste (AD FS).
Identifizieren verdächtiger Aktivitäten und erweiterter Angriffe über die Kill Chain des Cyberangriffs
Angriffe werden in der Regel gegen eine beliebige zugängliche Entität gestartet, wie z.B. einen Benutzer mit geringfügigen Berechtigungen, und verschieben sich anschließend schnell seitwärts, bis der Angreifer Zugriff auf wertvolle Objekte erhält (z.B. sensible Konten, Domänenadministratoren und streng vertrauliche Daten). Defender for Identity erkennt diese komplexen Bedrohungen von Grund auf während der gesamten Kill Chain des Cyberangriffs:
Reconnaissance
Identifizieren nicht autorisierter Benutzer und der Versuche von Angreifern, Informationen zu erhalten. Angreifer suchen nach Informationen zu Benutzernamen, der Gruppenmitgliedschaft von Benutzern, Geräten zugewiesenen IP-Adressen, Ressourcen und mehr, wobei sie eine Vielzahl von Methoden verwenden.
Gefährdete Anmeldeinformationen
Identifizieren von Versuchen zur Gefährdung von Benutzeranmeldeinformationen über Brute-Force-Angriffe, fehlgeschlagene Authentifizierungen, Änderungen der Gruppenmitgliedschaft von Benutzern und weitere Methoden.
Seitliche Verschiebungen
Erkennen von Versuchen zur seitlichen Verschiebung innerhalb des Netzwerks, um mithilfe von Methoden wie „Pass-the-Ticket“, „Pass-the-Hash“, „Overpass-the-Hash“ und mehr weitere Kontrolle über sensible Benutzer zu erlangen.
Domänendominanz
Hervorheben des Angreiferverhaltens bei Erreichen der Domänendominanz über die Ausführung von Remotecode auf dem Domänencontroller und Methoden wie „DC Shadow“, die böswillige Replikation des Domänencontrollers, Golden Ticket-Aktivitäten und mehr.
Untersuchen von Warnungen und Benutzeraktivitäten
Defender for Identity wurde dafür konzipiert, die Anzahl allgemeiner Warnungen zu reduzieren, damit nur relevante, wichtige Sicherheitswarnungen in einer übersichtlichen Zeitskala mit gegen die Organisation gerichteten Angriffen in Echtzeit bereitgestellt werden können. Dank der Defender for Identity-Ansicht mit Zeitskala zu Angriffen können Sie sich problemlos aufs Wesentliche konzentrieren und intelligente Analysen wirksam einsetzen. Verwenden Sie Defender for Identity, um Bedrohungen ohne großen Aufwand zu untersuchen und organisationsübergreifend Einblicke für Benutzer, Geräte und Netzwerkressourcen zu gewinnen. Die nahtlose Integration mit Microsoft Defender für Endpunkt bietet durch zusätzliche Erkennung und Schutz vor erweiterten dauerhaften Bedrohungen für das Betriebssystem eine weitere erweiterte Sicherheitsebene.
Zusätzliche Ressourcen für Defender for Identity
Kostenlosen Test starten
https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1
Defender for Identity-Roadmap
Roadmap für Defender for Identity
Der Tech-Community für Defender for Identity unter Microsoft folgen
Der Yammer-Community für Defender for Identity beitreten
https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893
Defender for Identity-Blog
Die Produktseite von Defender for Identity besuchen
https://www.microsoft.com/microsoft-365/security/identity-defender
Weitere Informationen zur Defender for Identity-Architektur
Defender for Identity Architektur
Häufig gestellte Fragen
Häufig gestellte Fragen zu Defender for Identity
Videos
Stärken Ihren Sicherheitsstatus mit Defender for Identity: Identifizieren und proaktives Beheben bekannter fehlerhafter Methoden, um einen besseren Integritätszustand für Ihre Umgebung und eine höhere Resilienz vor böswilligen Akteuren zu erzielen. Schauen Sie sich das YouTube-Video an.
Untersuchen von Incidents mit Defender for Identity – Erfahren Sie, wie Sie komplexe Bedrohungen für Identitäten und Domänencontroller mit Defender for Identity erkennen, untersuchen und darauf reagieren. Beginnend mit einer Warnung in Defender for Identity wird veranschaulicht, wie Informationen zu einem Incident korreliert werden, wie mithilfe der von Defender for Identity erfassten Informationen nach Bedrohungen gesucht wird, und wie wir eine automatische Reaktion auf Incidents initiieren können, um den Incident zu beheben, bevor er zu einem größeren Problem wird. Schauen Sie sich das YouTube-Video an.
Ausblick
Erste Schritte mit Bereitstellen von Microsoft Defender for Identity mit Microsoft 365 Defender.