Esplorare Microsoft Defender per identità
Microsoft Defender per identità, in precedenza Azure Advanced Threat Protection (Azure ATP), è una soluzione di sicurezza basata sul cloud. Microsoft Defender per identità sfrutta i segnali di Active Directory locali per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le attività svolte da utenti interni malintenzionati ai danni dell'organizzazione. Microsoft Defender per identità consente agli analisti e ai professionisti che si occupano di sicurezza di rilevare gli attacchi avanzati negli ambienti ibridi per:
- Monitorare gli utenti, il comportamento delle entità e le attività con l'analisi basata sull'apprendimento
- Proteggi le identità e le credenziali degli utenti archiviate in Active Directory
- Identificare e analizzare attività utente sospette e attacchi avanzati in tutta la kill chain
- Fornire informazioni chiare sugli eventi imprevisti su una sequenza temporale semplice per la valutazione rapida
Flusso del processo per Microsoft Defender per identità
Microsoft Defender per identità è costituito dai componenti seguenti:
Portale di Microsoft Defender per identità: consente la creazione dell'istanza di Defender per identità, visualizza i dati ricevuti dai sensori di Defender per identità e consente di monitorare, gestire e analizzare le minacce nell'ambiente di rete.
Sensori di Microsoft Defender per identità: possono essere installati direttamente nei server seguenti:
- Controller di dominio: il sensore monitora direttamente il traffico del controller di dominio, senza la necessità di un server dedicato o la configurazione del mirroring delle porte.
- Active Directory Federated Services (AD FS): il sensore monitora direttamente il traffico di rete e gli eventi di autenticazione.
Servizio cloud di Microsoft Defender per identità: viene eseguito nell'infrastruttura di Azure e attualmente è distribuito in USA, Europa e Asia. Il servizio cloud di Microsoft Defender per identità è connesso a Microsoft Intelligent Security Graph.