Qu’est-ce que Microsoft Defender pour Identity ?

Microsoft Defender pour Identity (anciennement Azure Advanced Threat Protection ou Azure ATP) est une solution de sécurité cloud qui s’appuie sur les signaux de votre annuaire Active Directory local pour identifier, détecter et investiguer les menaces avancées, les identités compromises et les actions d’utilisateurs internes malveillants dirigées contre votre entreprise.

Defender pour Identity permet aux analystes SecOp et aux professionnels de la sécurité chargés de détecter les attaques avancées dans les environnements hybrides de :

  • Surveiller les utilisateurs, ainsi que le comportement et les activités des entités avec une analytique basée sur l’apprentissage
  • Protéger les identités et les informations d’identification des utilisateurs qui sont stockées dans Active Directory
  • Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées tout au long de la chaîne d’annihilation
  • Fournir des informations claires sur les incidents selon une chronologie simple, permettant un triage rapide

Monitoring et analyse du comportement et des activités des utilisateurs

Defender pour Identity supervise et analyse les activités et les informations des utilisateurs sur votre réseau, comme les autorisations et les appartenances aux groupes, créant une base de référence du comportement pour chaque utilisateur. Defender pour Identity identifie ensuite les anomalies avec une intelligence intégrée adaptative, vous donnant des insights sur les activités et les événements suspects, révélant les menaces avancées, les utilisateurs compromis et les menaces internes dans votre organisation. Les capteurs propriétaires de Defender pour Identity supervisent les contrôleurs de domaine de l’organisation et fournissent une vue complète de toutes les activités des utilisateurs sur chaque appareil.

Protéger les identités des utilisateurs et réduire la surface d’attaque

Defender pour Identity vous fournit des insights précieux sur les configurations des identités et suggère les bonnes pratiques de sécurité. Avec des rapports de sécurité et une analytique des profils utilisateur, Defender pour Identity vous permet de réduire considérablement la surface d’attaque de l’organisation, rendant plus difficile de compromettre les informations d’identification des utilisateurs et la mise en œuvre d’une attaque. Les chemins de mouvement latéral visuels de Defender pour Identity vous aident à comprendre rapidement et exactement comment un attaquant peut se déplacer latéralement au sein de votre organisation pour compromettre des comptes sensibles, et vous assistent pour éviter préventivement ces risques. Les rapports de sécurité de Defender pour Identity vous aident à identifier les utilisateurs et les appareils qui s’authentifient avec des mots de passe en texte clair, et fournissent des insights supplémentaires pour améliorer la prise en compte et les stratégies de sécurité.

Protection de AD FS dans des environnements hybrides

Les services de fédération Active Directory (AD FS) jouent un rôle important dans l’infrastructure d’aujourd’hui lorsqu’il s’agit de l’authentification dans des environnements hybrides. Defender pour Identity protège AD FS dans votre environnement en détectant les attaques locales sur AD FS et en fournissant une visibilité des événements d’authentification générés par AD FS. Pour plus d’informations, consultez Microsoft Defender pour Identity sur Active Directory Federation Services (AD FS).

Identifier les activités suspectes et les attaques avancées sur toute la chaîne cybercriminelle

En général, les attaques sont lancées contre des entités accessibles, par exemple un utilisateur avec des privilèges peu élevés, puis rapidement, elles se déplacent latéralement jusqu’à ce que l’attaquant parvienne à accéder à des ressources importantes, comme des comptes sensibles, des administrateurs de domaine et des données hautement sensibles. Defender pour Identity identifie ces menaces avancées à la source dans toute la chaîne d’annihilation des attaques :

Reconnaissance

Identifiez les utilisateurs non autorisés et les tentatives des attaquants pour obtenir des informations. Les attaquants recherchent des informations sur les noms d’utilisateur, l’appartenance des utilisateurs à des groupes, les adresses IP affectées aux appareils, les ressources, etc., selon différentes méthodes.

Informations d’identification compromises

Identifiez les tentatives de compromission des informations d’identification des utilisateurs avec des attaques par force brute, les échecs d’authentification, les changements d’appartenance à des groupes d’utilisateurs et d’autres méthodes.

Déplacements latéraux

Détectez les tentatives de mouvement latéral au sein du réseau pour obtenir plus de contrôle des utilisateurs sensibles, en utilisant des méthodes comme Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash, etc.

Contrôle du domaine

Mise en évidence du comportement des attaquants si la prise de contrôle du domaine est effective, via l’exécution de code à distance sur le contrôleur de domaine et des méthodes comme la mise en mémoire fantôme du contrôleur de domaine, la réplication du contrôleur de domaine malveillant, les activités de Golden Ticket, etc.

Examiner les alertes et les activités des utilisateurs

Defender pour Identity est conçu pour réduire le bruit général des alertes et fournit seulement des alertes de sécurité pertinentes importantes, selon une chronologie simple et en temps réel des attaques de l’organisation. La vue de la chronologie des attaques de Defender pour Identity vous permet de vous concentrer sur ce qui est important, en tirant parti de l’analytique intelligente. Utilisez Defender pour Identity pour détecter rapidement les menaces et obtenir des insights sur l’organisation pour les utilisateurs, les appareils et les ressources réseau. L’intégration fluide avec Microsoft Defender pour point de terminaison fournit une autre couche de sécurité renforcée via une détection et une protection supplémentaires contre les menaces persistantes avancées sur le système d’exploitation.

Ressources supplémentaires pour Defender pour Identity

Démarrer une version d’évaluation gratuite

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Feuille de route de Defender pour Identity

Consultez la feuille de route à venir pour Defender pour Identity

Suivre Defender pour Identity sur Microsoft Tech Community

https://aka.ms/MDIcommunity

Rejoindre la communauté Defender pour Identity sur Yammer

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Blog Defender pour Identity

Blog Defender pour Identity

Visiter la page du produit Defender pour Identity

https://www.microsoft.com/microsoft-365/security/identity-defender

En savoir plus sur l’architecture Defender pour Identity

Architecture de Defender pour Identity

Forum aux questions

Questions fréquentes (FAQ) sur Defender pour Identity

Regardez nos vidéos

Renforcez votre posture de sécurité avec Defender pour Identity : identifiez et résolvez de façon proactive les mauvaises pratiques connues, en garantissant un environnement plus sain et plus résilient face aux intervenants malveillants. Regardez la vidéo YouTube.

Investigation des incidents avec Defender pour Identity : découvrez comment détecter, examiner et répondre aux menaces avancées ciblant les identités et les contrôleurs de domaine avec Defender pour Identity. À partir d’une alerte dans Defender pour Identity, nous allons montrer comment ces informations sont corrélées dans un incident, comment rechercher les menaces en utilisant les informations capturées par Defender pour Identity, et comment nous pouvons lancer une réponse automatique aux incidents pour corriger l’incident avant qu’il ne s’aggrave. Regardez la vidéo YouTube.

Quelle est l’étape suivante ?

Bien démarrer avec Déployer Microsoft Defender pour Identity avec Microsoft 365 Defender.

Voir aussi