Vue d’ensemble du labo des alertes de sécurité Microsoft Defender pour Identity

Vous souhaitez tester des alertes Defender pour Identity spécifiques ? Vous trouverez quelques exemples d’alertes Defender pour Identity et découvrirez comment les déclencher dans Exemples de playbooks pour Microsoft Defender pour Identity.

Vous souhaitez apprendre à configurer votre environnement Defender pour Identity et à le tester avec quelques alertes ? Poursuivez la lecture de cette vue d’ensemble.

Labo des alertes de sécurité Defender pour Identity

L’objectif de la vue d’ensemble du labo des alertes de sécurité Microsoft Defender pour Identity est d’illustrer les fonctionnalités de Defender pour Identity concernant l’identification et la détection des activités suspectes et des attaques potentielles du réseau. Ce labo en quatre parties explique comment installer et configurer un environnement fonctionnel pour tester certaines détections discrètes de Defender pour Identity. Ce labo se concentre sur les fonctionnalités de Defender pour Identity basées sur les signatures. Ce labo n’inclut ni le Machine Learning avancé, ni les détections de comportements basées sur utilisateur ou l’entité, car celles-ci nécessitent une période d’apprentissage avec un trafic réseau réel pouvant aller jusqu’à 30 jours.

Configuration du laboratoire

Le premier labo de cette série de quatre explique comment créer un labo permettant de tester les détections discrètes de Defender pour Identity. Il comprend des informations sur les ordinateurs, les utilisateurs et les outils nécessaires pour configurer le labo et effectuer ses playbooks. Les instructions supposent que vous connaissez bien la configuration d’un contrôleur de domaine et les stations de travail pour une utilisation de labo, ainsi que d’autres tâches administratives. Plus votre labo est proche de la configuration suggérée, plus les procédures de test de Defender pour Identity seront faciles à suivre. Une fois le labo configuré, utilisez les playbooks des alertes de sécurité Defender pour Identity pour les tests.

Playbook de reconnaissance

Le deuxième labo de cette série de quatre consiste en un playbook de reconnaissance. Les activités de reconnaissance permettent aux attaquants d’acquérir une compréhension approfondie et d’effectuer le mappage complet de votre environnement pour une utilisation ultérieure. Le playbook présente certaines des fonctionnalités de Defender pour Identity concernant l’identification et la détection des activités suspectes liées à des attaques potentielles en utilisant des exemples tirés d’outils de piratage et d’attaque courants et accessibles au public.

Playbook de mouvement latéral

Le playbook de mouvement latéral est le troisième de la série de quatre labos. Les mouvements latéraux sont effectués par un attaquant qui tente de prendre le contrôle du domaine. Lors de l’exécution de ce playbook, vous verrez les services de détection de menaces de type chemin de mouvement latéral et d’alertes de sécurité de Defender pour Identity en simulant des mouvements latéraux dans votre labo.

Playbook de contrôle du domaine

Le dernier labo de la série de quatre correspond au playbook de contrôle du domaine. Pendant la phase de contrôle du domaine, un attaquant a déjà obtenu des informations d’identification légitimes pour accéder à votre contrôleur de domaine et tente d’obtenir le contrôle persistant du domaine. Vous allez simuler des méthodes de contrôle du domaine courantes pour voir la détection des menaces axée sur le contrôle du domaine et les services d’alertes de sécurité de Defender pour Identity.

Étapes suivantes