Décrire Microsoft Defender pour Identity

  • 4 minutes

Microsoft Defender pour Identity est une solution de sécurité basée sur le cloud. Elle utilise vos données Active Directory locales (appelées signaux) pour identifier, détecter et investiguer les menaces avancées, les identités compromises et les actions des utilisateurs internes malveillants dirigées contre votre entreprise.

Microsoft Defender pour Identity fournit aux professionnels de la sécurité des fonctionnalités de gestion des environnements hybrides pour :

  • Surveillez les utilisateurs, le comportement des entités et les activités avec des analyses basées sur l’apprentissage.
  • Protéger les identités et les informations d’identification des utilisateurs qui sont stockées dans Active Directory
  • Identifier et investiguer les activités suspectes et les attaques avancées sur toute la chaîne de surveillance des cyberattaques.
  • Fournir des informations claires sur les incidents selon une chronologie simple, permettant un triage rapide

Superviser et analyser le comportement et les activités de l’utilisateur

Defender pour Identity surveille et analyse les activités et les informations des utilisateurs sur votre réseau, notamment les autorisations et les appartenances aux groupes, créant une base de référence du comportement pour chaque utilisateur. Defender pour Identity identifie ensuite les anomalies à l’aide d’une intelligence adaptative intégrée. La solution vous donne des insights sur les activités et les événements suspects, révélant les menaces avancées, les utilisateurs compromis et les menaces internes dans votre organisation.

Protéger les identités et les informations d’identification des utilisateurs qui sont stockées dans Active Directory

Defender pour Identity fournit des insights sur les configurations d’identité et les bonnes pratiques de sécurité suggérées. Avec des rapports de sécurité et une analytique des profils utilisateur, Defender pour Identity vous aide à réduire la surface d’attaque de l’organisation, rendant plus difficile de compromettre les informations d’identification des utilisateurs et la mise en œuvre d’une attaque.

Les rapports de sécurité Defender pour Identity vous aident à identifier les utilisateurs et les appareils qui s’authentifient à l’aide de mots de passe en texte clair. Ils fournissent également des informations supplémentaires sur la façon d’améliorer votre posture et vos stratégies de sécurité.

Pour les environnements hybrides dans lesquels les services de fédération Active Directory (AD FS) sont présents, Defender pour Identity les protège en détectant les attaques locales et en donnant une visibilité sur les événements d’authentification générés par les services AD FS.

Identifier les activités suspectes et les attaques avancées sur toute la chaîne cybercriminelle

En règle générale, les attaques sont lancées sur n’importe quelle entité accessible, par exemple un utilisateur ayant de faibles privilèges. Les attaques progressent ensuite rapidement jusqu’à ce que l’attaquant accède à des ressources précieuses. Ces ressources peuvent inclure des comptes sensibles, des administrateurs de domaine et des données hautement sensibles. Defender pour Identity identifie ces menaces avancées à la source sur toute la chaîne de surveillance des cyberattaques :

  • Reconnaissance : Identifiez les utilisateurs malveillants et les tentatives des attaquants pour obtenir des informations.
  • Informations d’identification compromises : Identifiez les tentatives de compromission des informations d’identification des utilisateurs par des attaques par force brute, des échecs d’authentification, des changements d’appartenance à des groupes d’utilisateurs et d’autres méthodes.
  • Mouvements latéraux : détecte les tentatives de déplacement latéral dans un réseau pour mieux contrôler les utilisateurs sensibles.
  • Dominance du domaine : mise en évidence du comportement d’un attaquant, si la domination du domaine est atteinte, par l’exécution de code à distance sur le contrôleur de domaine ou d’autres méthodes.

Examiner les alertes et les activités des utilisateurs

Defender pour Identity est conçu pour réduire le bruit général des alertes et fournit seulement des alertes de sécurité pertinentes importantes, selon une chronologie simple et en temps réel des attaques de l’organisation.

Pour ne pas perdre de vue ce qui a réellement de l’importance, utilisez l’affichage chronologique des attaques de Defender pour Identity et les informations dérivées de l’analytique intelligente. Vous pouvez également utiliser Defender pour Identity pour détecter rapidement les menaces et obtenir des insights sur l’organisation pour les utilisateurs, les appareils et les ressources réseau.

Microsoft Defender pour Identity protège votre organisation contre les identités compromises, les menaces avancées et les actions malveillantes menées en interne.

A diagram of Defender for Identity. The diagram shows a domain controller and AD FS sending and signals to Defender for Identity. Defender for Identity is sending and receiving signals from Microsoft Defender XDR which gets signals from endpoints, Office 365, and cloud apps.