Was ist Microsoft Defender for Identity?

Microsoft Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokales Active Directory Signale verwendet, um erweiterte Bedrohungen, kompromittierte Identitäten und böswillige Insideraktionen, die auf Ihre organization gerichtet sind, zu identifizieren, zu erkennen und zu untersuchen.

Defender for Identity bietet SecOp-Analysten und Sicherheitsexperten, die Probleme beim Erkennen komplexe Angriffe in Hybridumgebungen haben, folgende Funktionen:

  • Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter Analyse
  • Schutz von in Active Directory gespeicherten Benutzeridentitäten und Anmeldeinformationen
  • Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill Chain
  • Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen Selektierung

Defender for Identity wurde früher als Azure Advanced Threat Protection (Azure ATP) bezeichnet.

Wichtig

Kunden, die das klassische Defender for Identity-Portal verwenden, werden jetzt automatisch zu Microsoft 365 Defender umgeleitet, ohne dass sie wieder zum klassischen Portal rückgängig machen können.

Weitere Informationen finden Sie in unserem Blogbeitrag und Microsoft Defender for Identity in Microsoft 365 Defender.

Überwachung und Analyse von Benutzerverhalten und -aktivitäten

Defender for Identity überwacht und analysiert netzwerkübergreifend Benutzeraktivitäten und -informationen, wie z.B. Berechtigungen und Gruppenmitgliedschaften, und erstellt dabei für jeden Benutzer eine verhaltensbasierte Baseline. Anschließend identifiziert Defender for Identity Anomalien bei integrierter adaptiver Intelligenz und gewährt Ihnen Einblicke in verdächtige Aktivitäten und Ereignisse. Dabei werden Ihnen komplexe Bedrohungen, gefährdete Benutzer und Insider-Bedrohungen Ihrer Organisation angezeigt. Die geschützten Sensoren von Defender for Identity überwachen Domänencontroller der Organisation. Dadurch wird von jedem Gerät aus ein umfassender Überblick für alle Benutzeraktivitäten geboten.

Schutz von Benutzeridentitäten und Verringern der Angriffsfläche

Defender for Identity bietet Ihnen wertvolle Erkenntnisse zu Identitätskonfigurationen und empfohlenen bewährten Sicherheitsmethoden. Mithilfe von Defender for Identity können Sie durch Sicherheitsberichte und die Analyse von Benutzerprofilen die Angriffsfläche Ihrer Organisation deutlich reduzieren, wodurch auch die Gefährdung von Benutzeranmeldeinformationen sowie die Gefährdung durch einen Angriff verringert werden kann. Die Lateral Movement-Pfade von Defender for Identity helfen Ihnen, schnell zu verstehen, wie sich ein Angreifer seitlich innerhalb Ihrer organization bewegen kann, um vertrauliche Konten zu kompromittieren, und helfen, diese Risiken im Voraus zu verhindern. Defender for Identity-Sicherheitsberichte helfen Ihnen, Benutzer und Geräte zu identifizieren, die sich mithilfe von Klartextkennwörtern authentifizieren, und bieten zusätzliche Erkenntnisse, um den Sicherheitsstatus und die Richtlinien Ihrer Organisation zu verbessern.

Schutz von AD FS in Hybridumgebungen

AD FS (Active Directory-Verbunddienste) spielt bei der Authentifizierung in Hybridumgebungen eine wichtige Rolle in der modernen Infrastruktur. Defender for Identity schützt die AD FS in Ihrer Umgebung, indem lokale Angriffe auf die AD FS lokal erkannt und Einblicke in die von den AD FS generierten Authentifizierungsereignisse gewährt werden. Weitere Informationen finden Sie unter Microsoft Defender for Identity in Active Directory-Verbunddienste (AD FS).

Identifizieren verdächtiger Aktivitäten und erweiterter Angriffe über die Kill Chain des Cyberangriffs

Angriffe werden in der Regel gegen eine beliebige zugängliche Entität gestartet, wie z.B. einen Benutzer mit geringfügigen Berechtigungen, und verschieben sich anschließend schnell seitwärts, bis der Angreifer Zugriff auf wertvolle Objekte erhält (z.B. sensible Konten, Domänenadministratoren und streng vertrauliche Daten). Defender for Identity erkennt diese komplexen Bedrohungen von Grund auf während der gesamten Kill Chain des Cyberangriffs:

Reconnaissance

Identifizieren nicht autorisierter Benutzer und der Versuche von Angreifern, Informationen zu erhalten. Angreifer suchen mithilfe verschiedener Methoden nach Informationen über Benutzernamen, die Gruppenmitgliedschaft der Benutzer, ip-Adressen, die Geräten zugewiesen sind, Ressourcen und vieles mehr.

Gefährdete Anmeldeinformationen

Identifizieren von Versuchen zur Gefährdung von Benutzeranmeldeinformationen über Brute-Force-Angriffe, fehlgeschlagene Authentifizierungen, Änderungen der Gruppenmitgliedschaft von Benutzern und weitere Methoden.

Seitliche Verschiebungen

Erkennen von Versuchen zur seitlichen Verschiebung innerhalb des Netzwerks, um mithilfe von Methoden wie „Pass-the-Ticket“, „Pass-the-Hash“, „Overpass-the-Hash“ und mehr weitere Kontrolle über sensible Benutzer zu erlangen.

Domänendominanz

Hervorheben des Angreiferverhaltens bei Erreichen der Domänendominanz über die Ausführung von Remotecode auf dem Domänencontroller und Methoden wie „DC Shadow“, die böswillige Replikation des Domänencontrollers, Golden Ticket-Aktivitäten und mehr.

Untersuchen von Warnungen und Benutzeraktivitäten

Defender for Identity wurde dafür konzipiert, die Anzahl allgemeiner Warnungen zu reduzieren, damit nur relevante, wichtige Sicherheitswarnungen in einer übersichtlichen Zeitskala mit gegen die Organisation gerichteten Angriffen in Echtzeit bereitgestellt werden können. Die Defender for Identity-Angriffsansicht Zeitleiste ermöglicht Es Ihnen, sich ganz einfach auf das Wesentliche zu konzentrieren, indem Sie die Intelligenz von Smart Analytics verwenden. Verwenden Sie Defender for Identity, um Bedrohungen ohne großen Aufwand zu untersuchen und organisationsübergreifend Einblicke für Benutzer, Geräte und Netzwerkressourcen zu gewinnen. Die nahtlose Integration mit Microsoft Defender for Endpoint bietet eine weitere Ebene erhöhter Sicherheit durch zusätzliche Erkennung und Schutz vor erweiterten persistenten Bedrohungen für das Betriebssystem.

Weitere Ressourcen für Defender for Identity

Kostenlosen Test starten

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Defender for Identity-Roadmap

Roadmap für Defender for Identity

Der Tech-Community für Defender for Identity unter Microsoft folgen

https://aka.ms/MDIcommunity

Der Yammer-Community für Defender for Identity beitreten

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Defender for Identity-Blog

Defender for Identity-Blog

Die Produktseite von Defender for Identity besuchen

https://www.microsoft.com/microsoft-365/security/identity-defender

Weitere Informationen zur Defender for Identity-Architektur

Defender for Identity Architektur

Häufig gestellte Fragen

Häufig gestellte Fragen zu Defender for Identity

Videos

Stärken Ihren Sicherheitsstatus mit Defender for Identity: Identifizieren und proaktives Beheben bekannter fehlerhafter Methoden, um einen besseren Integritätszustand für Ihre Umgebung und eine höhere Resilienz vor böswilligen Akteuren zu erzielen. Schauen Sie sich das YouTube-Video an.

Untersuchen von Incidents mit Defender for Identity – Erfahren Sie, wie Sie komplexe Bedrohungen für Identitäten und Domänencontroller mit Defender for Identity erkennen, untersuchen und darauf reagieren. Beginnend mit einer Warnung in Defender for Identity zeigen wir, wie diese Informationen mit einem Incident korreliert werden, wie sie mithilfe von Defender for Identity erfassten Informationen nach Bedrohungen suchen und wie wir eine automatische Reaktion auf Vorfälle initiieren können, um den Vorfall zu beheben, bevor er sich zu einem größeren Problem entwickelt. Schauen Sie sich das YouTube-Video an.

Ausblick

Erste Schritte mit Bereitstellen von Microsoft Defender for Identity mit Microsoft 365 Defender.

Weitere Informationen