Che cos'è Microsoft Defender per identità?

Microsoft Defender per identità (in precedenza Azure Advanced Threat Protection, noto anche come Azure ATP) è una soluzione di sicurezza basata sul cloud che sfrutta i segnali di Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni insider dannose indirizzate all'organizzazione.

Microsoft Defender per identità consente agli analisti e ai professionisti che si occupano di sicurezza di rilevare gli attacchi avanzati negli ambienti ibridi per:

• Monitorare gli utenti, il comportamento delle entità e le attività con analisi basate su Machine Learning
• Proteggere le identità e le credenziali degli utenti archiviate in Active Directory
• Identificare ed esaminare le attività sospette degli utenti e gli attacchi avanzati nella kill chain
• Offrire informazioni chiare sugli eventi imprevisti in una sequenza temporale semplice per velocizzare la valutazione

Monitorare e analizzare il comportamento e le attività degli utenti

Defender for Identity monitora e analizza le attività utente e le informazioni nella rete, ad esempio autorizzazioni e appartenenza a gruppi, creando una baseline di comportamento per ogni utente. Defender for Identity identifica quindi le anomalie con l'intelligenza integrata adattiva, fornendo informazioni dettagliate su attività e eventi sospetti, rivelando le minacce avanzate, gli utenti compromessi e le minacce insider che si trovano nell'organizzazione. I sensori proprietari di Defender for Identity monitorano i controller di dominio dell'organizzazione, offrendo una visualizzazione completa per tutte le attività utente da ogni dispositivo.

Proteggere le identità degli utenti e ridurre la superficie di attacco

Defender for Identity offre informazioni preziose sulle configurazioni delle identità e sulle procedure consigliate per la sicurezza. Grazie ai report di sicurezza e all'analisi dei profili utente, Defender for Identity consente di ridurre notevolmente la superficie di attacco dell'organizzazione, rendendo più difficile compromettere le credenziali utente e avanzare un attacco. I percorsi di spostamento laterale di Defender for Identity consentono di comprendere rapidamente come un utente malintenzionato possa spostarsi in un secondo momento all'interno dell'organizzazione per compromettere gli account sensibili e aiutare a prevenire tali rischi in anticipo. I report di sicurezza di Defender for Identity consentono di identificare gli utenti e i dispositivi che eseguono l'autenticazione usando password di testo crittografato e fornire informazioni aggiuntive per migliorare il comportamento e i criteri di sicurezza dell'organizzazione.

Protezione di AD FS in ambienti ibridi

Active Directory Federation Services (AD FS) svolge un ruolo importante nell'infrastruttura moderna per quanto concerne l'autenticazione in ambienti ibridi. Defender for Identity protegge AD FS nell'ambiente rilevando attacchi locali in AD FS e fornendo visibilità sugli eventi di autenticazione generati da AD FS. Per altre informazioni, vedere Microsoft Defender per identità in Active Directory Federation Services (AD FS).

Identificare le attività sospette e gli attacchi avanzati attraverso la kill chain degli attacchi informatici

In genere, gli attacchi colpiscono le entità accessibili, ad esempio un utente con privilegi limitati, e si spostano lateralmente con rapidità finché l'utente malintenzionato riesce ad accedere alle risorse preziose, ad esempio gli account sensibili, gli amministratori di dominio e i dati strettamente riservati. Defender for Identity identifica queste minacce avanzate all'origine nell'intera catena di attacchi informatici:

Esplorazione

Identificare i tentativi di ottenere informazioni eseguiti da utenti non autorizzati e malintenzionati. Gli utenti malintenzionati cercano informazioni su nomi utente, appartenenza a gruppi degli utenti, indirizzi IP assegnati ai dispositivi, risorse e altro ancora, usando svariati metodi.

Violazione delle credenziali

Identificare i tentativi di violazione delle credenziali utente attraverso attacchi di forza bruta, autenticazioni non riuscite, modifiche dell'appartenenza ai gruppi di utenti e altri metodi.

Movimenti laterali

Rilevare i tentativi di spostarsi lateralmente nella rete per ottenere un ulteriore controllo degli utenti sensibili, usando metodi come Pass the Ticket, Pass the Hash, Overpass the Hash e altro ancora.

Dominanza del dominio

Evidenziare il comportamento degli utenti malintenzionati se viene raggiunta la dominanza del dominio, usando l'esecuzione di codice da remoto nel controller di dominio e diversi metodi tra cui la copia shadow del controller di dominio, la replica dannosa del controller di dominio, le attività Golden Ticket e altro ancora.

Esaminare gli avvisi e le attività degli utenti

Defender per identità è progettato in modo da ridurre la frequenza complessiva degli avvisi, visualizzando solo avvisi importanti che riguardano la sicurezza in una semplice sequenza temporale degli attacchi all'organizzazione in tempo reale. La visualizzazione sequenza temporale degli attacchi Defender for Identity consente di rimanere facilmente incentrati su ciò che conta, sfruttando l'intelligenza dell'analisi intelligente. Usare Defender per identità per analizzare rapidamente le minacce e ottenere informazioni dettagliate sull'organizzazione per utenti, dispositivi e risorse di rete. La perfetta integrazione con Microsoft Defender per endpoint offre un ulteriore livello di sicurezza avanzata grazie al rilevamento e alla protezione contro le minacce avanzate persistenti nel sistema operativo.

Risorse aggiuntive per Defender per identità

Avvia una versione di valutazione gratuita

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Roadmap di Defender for Identity

Vedere la roadmap imminente per Defender per identità

Seguire Defender per identità in Microsoft Tech Community

https://aka.ms/MDIcommunity

Partecipare alla community di Defender for Identity Yammer

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Blog di Defender for Identity

Blog di Defender for Identity

Visitare la pagina del prodotto Defender for Identity

https://www.microsoft.com/microsoft-365/security/identity-defender

Altre informazioni sull'architettura Defender for Identity

Architettura defender per identità

Domande frequenti

Domande frequenti su Defender per identità

Guardare i video dedicati

Rafforzare il comportamento di sicurezza con Defender for Identity - Identificare e risolvere in modo proattivo le procedure non consigliate note, lasciando l'ambiente in uno stato più integro e più resiliente agli attori malintenzionati. Guarda il video di YouTube.

Analisi degli eventi imprevisti con Defender for Identity : informazioni su come rilevare, analizzare e rispondere alle minacce avanzate destinate a identità e controller di dominio con Defender for Identity. A partire da un avviso in Defender for Identity, verrà illustrato come le informazioni sono correlate a un evento imprevisto, come cercare minacce usando le informazioni acquisite da Defender for Identity e come è possibile avviare una risposta automatica agli eventi imprevisti per correggere l'evento imprevisto prima di evolversi in un problema più grande. Guarda il video di YouTube.

Passaggi successivi

Introduzione alla distribuzione di Microsoft Defender per identità con Microsoft 365 Defender.

Vedere anche

• Gestione licenze e privacy
• Domande frequenti su Defender for Identity
• Uso degli avvisi di sicurezza
• Vedere il forum Defender for Identity!