Wat is Microsoft Defender for Identity?
Microsoft Defender for Identity (voorheen Azure Advanced Threat Protection, ook wel Azure ATP genoemd) is een cloudbeveiligingsoplossing die gebruikmaakt van uw on-premises Active Directory signalen voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke acties van binnenuit gericht op uw organisatie.
Met Defender for Identity kunnen SecOp-analisten en beveiligingsprofessionals die moeite hebben met het detecteren van geavanceerde aanvallen in hybride omgevingen het volgende doen:
- Gebruikers, entiteitsgedrag en activiteiten bewaken met op leer gebaseerde analyses
- Gebruikersidentiteiten en -referenties beveiligen die zijn opgeslagen in Active Directory
- Verdachte gebruikersactiviteiten en geavanceerde aanvallen in de kill chain identificeren en onderzoeken
- Geef duidelijke informatie over incidenten op een eenvoudige tijdlijn voor snelle sortering
Gebruikersgedrag en -activiteiten bewaken en analyseren
Defender for Identity bewaakt en analyseert gebruikersactiviteiten en -informatie in uw netwerk, zoals machtigingen en groepslidmaatschap, en maakt een gedragsbasislijn voor elke gebruiker. Defender for Identity identificeert vervolgens afwijkingen met adaptieve ingebouwde intelligentie, waardoor u inzicht krijgt in verdachte activiteiten en gebeurtenissen, waarbij de geavanceerde bedreigingen, gecompromitteerde gebruikers en interne bedreigingen voor uw organisatie worden onthuld. De eigen sensoren van Defender for Identity bewaken domeincontrollers van de organisatie en bieden een uitgebreide weergave voor alle gebruikersactiviteiten vanaf elk apparaat.
Gebruikersidentiteiten beveiligen en de kwetsbaarheid voor aanvallen verminderen
Defender for Identity biedt u waardevolle inzichten in identiteitsconfiguraties en aanbevolen beveiligingsprocedures. Met behulp van beveiligingsrapporten en gebruikersprofielanalyses helpt Defender for Identity de kwetsbaarheid voor aanvallen van uw organisatie aanzienlijk te verminderen, waardoor het moeilijker wordt om gebruikersreferenties te misbruiken en een aanval uit te voeren. De visuele paden voor lateral movement van Defender for Identity helpen u snel precies te begrijpen hoe een aanvaller zich lateraal binnen uw organisatie kan bewegen om gevoelige accounts te compromitteren en helpt deze risico's vooraf te voorkomen. Defender for Identity-beveiligingsrapporten helpen u gebruikers en apparaten te identificeren die worden geverifieerd met behulp van wachtwoorden zonder tekst en bieden aanvullende inzichten om de beveiligingspostuur en het beleid van uw organisatie te verbeteren.
Ad FS beveiligen in hybride omgevingen
Active Directory Federation Services (AD FS) speelt een belangrijke rol in de huidige infrastructuur als het gaat om verificatie in hybride omgevingen. Defender for Identity beveiligt de AD FS in uw omgeving door on-premises aanvallen op de AD FS te detecteren en inzicht te bieden in verificatiegebeurtenissen die worden gegenereerd door de AD FS. Zie Microsoft Defender for Identity on Active Directory Federation Services (AD FS) voor meer informatie.
Verdachte activiteiten en geavanceerde aanvallen in de kill-chain voor cyberaanvallen identificeren
Normaal gesproken worden aanvallen gestart tegen een toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en worden ze vervolgens snel lateraal verplaatst totdat de aanvaller toegang krijgt tot waardevolle activa, zoals gevoelige accounts, domeinbeheerders en zeer gevoelige gegevens. Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele kill chain voor cyberaanvallen:
Reconnaissance
Identificeer malafide gebruikers en pogingen van aanvallers om informatie te verkrijgen. Aanvallers zoeken op verschillende manieren naar informatie over gebruikersnamen, groepslidmaatschap van gebruikers, IP-adressen die zijn toegewezen aan apparaten, resources en meer.
Verdachte referenties
Identificeer pogingen om gebruikersreferenties in gevaar te brengen met behulp van beveiligingsaanvallen, mislukte verificaties, wijzigingen in gebruikersgroepslidmaatschap en andere methoden.
Zijwaartse bewegingen
Detecteer pogingen om zich lateraal binnen het netwerk te verplaatsen om meer controle te krijgen over gevoelige gebruikers, waarbij gebruik wordt gemaakt van methoden zoals Pass the Ticket, Pass the Hash, Overpass the Hash en meer.
Domeindominantie
Het gedrag van aanvallers markeren als domeindominantie wordt bereikt, door externe code-uitvoering op de domeincontroller en methoden zoals DC Shadow, schadelijke domeincontrollerreplicatie, Golden Ticket-activiteiten en meer.
Waarschuwingen en gebruikersactiviteiten onderzoeken
Defender for Identity is ontworpen om algemene waarschuwingsruis te verminderen en biedt alleen relevante, belangrijke beveiligingswaarschuwingen in een eenvoudige, realtime tijdlijn voor aanvallen van de organisatie. Met de tijdlijnweergave voor aanvallen van Defender for Identity kunt u zich eenvoudig concentreren op wat belangrijk is, door gebruik te maken van de intelligentie van slimme analyses. Gebruik Defender for Identity om snel bedreigingen te onderzoeken en inzicht te krijgen in de hele organisatie voor gebruikers, apparaten en netwerkresources. Naadloze integratie met Microsoft Defender voor Eindpunt biedt nog een extra beveiligingslaag door extra detectie en bescherming tegen geavanceerde permanente bedreigingen op het besturingssysteem.
Aanvullende resources voor Defender for Identity
Gratis proefversie starten
https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1
Defender for Identity-roadmap
Bekijk de komende roadmap voor Defender for Identity
Volg Defender for Identity op Microsoft Tech Community
Word lid van de Yammer-community van Defender for Identity
https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893
Defender for Identity-blog
Ga naar de productpagina van Defender for Identity
https://www.microsoft.com/microsoft-365/security/identity-defender
Meer informatie over Defender for Identity-architectuur
Defender for Identity-architectuur
Veelgestelde vragen
Veelgestelde vragen over Defender for Identity
Bekijk onze video's
Uw beveiligingspostuur verbeteren met Defender for Identity : identificeer bekende slechte praktijken en los deze proactief op, waardoor uw omgeving gezonder wordt en beter bestand is tegen slechte actoren. Bekijk de YouTube-video.
Incidentonderzoek met Defender for Identity : informatie over het detecteren, onderzoeken en reageren op geavanceerde bedreigingen die gericht zijn op identiteiten en domeincontrollers met Defender for Identity. Te beginnen met een waarschuwing in Defender for Identity laten we zien hoe die informatie in een incident is gecorreleerd, hoe we bedreigingen kunnen opsporen met behulp van informatie die is vastgelegd door Defender for Identity en hoe we een automatische incidentreactie kunnen initiƫren om het incident te herstellen voordat het zich ontwikkelt tot een groter probleem. Bekijk de YouTube-video.
Volgende stappen
Aan de slag met Microsoft Defender for Identity implementeren met Microsoft 365 Defender.