Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Microsoft Defender for Identity segít a szervezeteknek észlelni, kivizsgálni és megválaszolni az identitásalapú támadásokat a helyszíni, a felhőbeli és a hibrid környezetekben. A támadók gyakran céloznak meg identitásokat, például felhasználókat, alkalmazásokat és szolgáltatásfiókokat a hozzáférés megszerzéséhez, a jogosultságok eszkalálásához és az adatmegőrzés fenntartásához.
A Defender for Identity figyeli a helyi Active Directory és a Microsoft Entra ID, más IAM-megoldások (például Okta) identitásjeleit. Ezeket a jeleket viselkedéselemzéssel, fenyegetésfelderítéssel és ismert támadási mintákkal elemzi, hogy észlelje a gyanús tevékenységeket a teljes identitástámadási életciklus során. A riasztások tartalmazzák a vizsgálati környezetet a Microsoft Defender portálon, segítenek a biztonsági csapatoknak megérteni, hogy mi történt, miért fontos, és hogyan lehet reagálni.
Identitásbiztonság
Microsoft Defender for Identity a Microsoft Identity Security alapvető összetevője. Az Identity Security az identitások védelmére összpontosít azáltal, hogy betekintést nyújt az identitások lefedettségébe és állapotába, észleli az identitásalapú fenyegetéseket, valamint lehetővé teszi a vizsgálatot és a választ az identitásrendszerekben, alkalmazásokban és infrastruktúrában.
A Defender for Identity az identitásjeleket a Microsoft Defender portálra streameli, ahol a végpontokból, e-mailekből, SaaS-alkalmazásokból, felhőbeli számítási feladatokból és más biztonsági forrásokból származó adatokkal vannak korrelálva. Ez a korreláció segít a biztonsági csapatoknak azonosítani a rendellenes viselkedést, nyomon követni a támadó mozgását, és egységes incidenseken keresztül reagálni, amelyek az izolált riasztások helyett a támadás teljes hatókörét tükrözik.
A Defender for Identity képességei
A Defender for Identity modern identitásfenyegetés-észlelési megoldást nyújt a következőkkel:
- Proaktív identitásbiztonsági állapotértékelések
- Valós idejű fenyegetésészlelés elemzések és viselkedési intelligencia használatával
- Gyanús tevékenységek vizsgálata világos, végrehajtható incidenskörnyezettel
- Sérült identitások szervizelési műveletei
Biztonsági incidensek megelőzése proaktív identitásbiztonsági állapotértékelésekkel
A Defender for Identity segít a szervezeteknek proaktív módon csökkenteni az identitás támadási felületét. Kiértékeli az identitáskonfigurációkat, és kiemeli azokat a biztonsági hiányosságokat, amelyeket a támadók gyakran kihasználnak, és lehetővé teszi a csapatok számára a kockázatok kezelését, mielőtt visszaélnének velük.
A legfontosabb testtartási képességek a következők:
- A Microsoft biztonsági pontszámán keresztül elérhető identitásbiztonsági állapotértékelések
- Kockázatos konfigurációk és kitettségek azonosítása
- Oldalirányú mozgási útvonalak elemzése, amelyekből kiderül, hogy egy támadó hogyan haladhat be a környezetbe
Ezek az elemzések segítenek a szervezeteknek az identitás rugalmasságának megerősítésében és a sikeres kompromisszum esélyének csökkentésében.
Identitásalapú fenyegetések észlelése
A Defender for Identity olyan fenyegetések észlelésére szolgál, amelyek kifejezetten identitásokat céloznak meg, beleértve az emberi és nem uman identitásokat, például a szolgáltatásfiókokat, a szinkronizálási fiókokat és az alkalmazásokat. Az észlelés nem egyetlen eseményen, hanem viselkedéselemzésen és jel-korreláción alapul.
A Defender for Identity figyeli és elemzi az identitással kapcsolatos tevékenységeket, például:
- Hitelesítés és engedélyezés viselkedése
- Hitelesítő adatokkal való visszaélés és kockázatos bejelentkezések
- Jogosultságok eszkalálása és gyanús szerepkör- vagy csoporttagság-módosítások
- Oldalirányú mozgási kísérletek a környezetben
- Szolgáltatásfiókokkal és más nem emberi identitásokkal kapcsolatos rendellenes viselkedés
Az alábbi táblázat bemutatja, hogy a Defender for Identity észlelései hogyan igazodnak az identitásalapú támadások fő szakaszaihoz:
| Támadási szakasz | A Defender for Identity észlelései |
|---|---|
| Felderítés | Azonosítja a gyanús felderítési tevékenységeket, például a felhasználónevek, csoporttagságok, IP-címek és erőforrások számbavételére tett kísérleteket. |
| Hitelesítő adatok biztonsága sérült | Észleli a hitelesítő adatok feltörésére tett kísérleteket olyan technikákkal, mint a találgatásos támadás, az ismétlődő sikertelen hitelesítések és a felhasználói csoporttagság gyanús módosításai. |
| Oldalirányú mozgás | Észleli a bizalmas identitások és a különböző környezetek közötti oldalirányú áthelyezésre tett kísérleteket, és kiterjeszti a vezérlést. |
| Az AD-tartomány dominanciája | Kiemeli a teljes tartomány feltöréséhez kapcsolódó viselkedést, például a távoli kódvégrehajtást a tartományvezérlőkön, a DCShadow-t, a rosszindulatú tartományvezérlő-replikációt és az aranyjegyes tevékenységet. |
A támadók gyakran bármilyen elérhető identitással kezdődnek, majd oldalirányban haladnak olyan magas értékű célok felé, mint a kiemelt fiókok, például a tartományi rendszergazdák, a globális rendszergazda, az alkalmazás-rendszergazdák és a bizalmas adatok. A Defender for Identity segít ezeknek a viselkedéseknek a korai azonosításában azáltal, hogy viselkedési profilokat hoz létre a felhasználók, eszközök és fiókok számára, és észleli a támadó tevékenységére utaló eltéréseket.
Identitásfenyegetések vizsgálata
A Defender for Identity olyan riasztásokat hoz létre, amelyek olyan környezetekkel vannak gazdagítva, mint az érintett identitások, a kapcsolódó tevékenységek és a támadó technikák. Az elemzők ezzel a környezettel ellenőrizhetik a gyanús viselkedést, és megérthetik, mi történt.
A Defender for Identity támogatja az identitásvizsgálati és veszélyforrás-keresési munkafolyamatokat is. Az identitásentitások és a hitelesítési tevékenységek a Microsoft Defender portálon érhetők el, így a biztonsági csapatok megvizsgálhatják a tevékenységmintákat, és további identitásalapú fenyegetéseket kereshetnek a felhőben, a helyszínen és a hibrid felhasználókban.
Válasz identitásalapú támadásokra
A Defender for Identity a következő módon támogatja a választ:
- Identitásriasztások összekapcsolása egyesített incidensekké a Microsoft Defender
- Identitáskörnyezet (felhasználók, fiókok, szerepkörök és oldalirányú mozgásjelzők) biztosítása a hatás hatókörének meghatározásához és a műveletek rangsorolásához
- Szervizelési műveletek engedélyezése az Microsoft Defender portálon az érintett identitások és kapcsolódó entitások számára
Microsoft Defender portál felülete
A Microsoft Defender portál egységes felületet biztosít az identitással kapcsolatos fenyegetések monitorozásához, kivizsgálásához és megválaszolásához. A portálon a biztonsági csapatok az alábbiakat végezhetik el:
- Identitásalapú riasztások és korrelált incidensek megtekintése
- Felhasználók, eszközök és identitáskapcsolatok vizsgálata
- Az identitásbiztonsági állapot és a szervizelési javaslatok nyomon követése
- Válaszműveletek végrehajtása sérült identitásokon
Azáltal, hogy gazdag identitáskörnyezetet ad hozzá az egyesített incidensekhez, a Defender for Identity segít a biztonsági csapatoknak megérteni a támadók viselkedését, rangsorolni a kockázatokat, és lépéseket tenni az identitásalapú támadások megzavarása érdekében a szervezetben.
Architektúra áttekintése
Microsoft Defender for Identity egyszerűsített érzékelőket, API-összekötőket és a Microsoft Defender portálon felügyelt felhőalapú elemzési szolgáltatást használ.
Az érzékelők az identitásinfrastruktúrán futnak, és helyileg rögzítik és elemzik a releváns hálózati forgalmat és a Windows-eseményeket. Az API-összekötők külső identitás- és hozzáférés-kezelési (IAM) rendszereket integrálnak az átfogó identitásvédelem biztosítása érdekében.
A Rendszer csak a szükséges jeleket küldi el a Defender for Identity felhőszolgáltatásnak, minimalizálva a teljesítményre gyakorolt hatást, és elkerüli az összetett hálózati változásokat.
A felhőszolgáltatás elemzi az identitásjeleket, és integrálja őket más Microsoft Defender számítási feladatokkal, hozzájárulva az identitásintelligencia-funkciókhoz a különböző Microsoft Defender XDR kapcsolódó riasztásokhoz és incidensekhez.