Wat is Microsoft Defender for Identity?

Microsoft Defender for Identity (voorheen Azure Advanced Threat Protection, ook wel Azure ATP genoemd) is een cloudbeveiligingsoplossing die gebruikmaakt van uw on-premises Active Directory signalen voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke acties van binnenuit gericht op uw organisatie.

Met Defender for Identity kunnen SecOp-analisten en beveiligingsprofessionals die moeite hebben met het detecteren van geavanceerde aanvallen in hybride omgevingen het volgende doen:

• Gebruikers, entiteitsgedrag en activiteiten bewaken met op leer gebaseerde analyses
• Gebruikersidentiteiten en -referenties beveiligen die zijn opgeslagen in Active Directory
• Verdachte gebruikersactiviteiten en geavanceerde aanvallen in de kill chain identificeren en onderzoeken
• Geef duidelijke informatie over incidenten op een eenvoudige tijdlijn voor snelle sortering

Gebruikersgedrag en -activiteiten bewaken en analyseren

Defender for Identity bewaakt en analyseert gebruikersactiviteiten en -informatie in uw netwerk, zoals machtigingen en groepslidmaatschap, en maakt een gedragsbasislijn voor elke gebruiker. Defender for Identity identificeert vervolgens afwijkingen met adaptieve ingebouwde intelligentie, waardoor u inzicht krijgt in verdachte activiteiten en gebeurtenissen, waarbij de geavanceerde bedreigingen, gecompromitteerde gebruikers en interne bedreigingen voor uw organisatie worden onthuld. De eigen sensoren van Defender for Identity bewaken domeincontrollers van de organisatie en bieden een uitgebreide weergave voor alle gebruikersactiviteiten vanaf elk apparaat.

Gebruikersidentiteiten beveiligen en de kwetsbaarheid voor aanvallen verminderen

Defender for Identity biedt u waardevolle inzichten in identiteitsconfiguraties en aanbevolen beveiligingsprocedures. Met behulp van beveiligingsrapporten en gebruikersprofielanalyses helpt Defender for Identity de kwetsbaarheid voor aanvallen van uw organisatie aanzienlijk te verminderen, waardoor het moeilijker wordt om gebruikersreferenties te misbruiken en een aanval uit te voeren. De visuele paden voor lateral movement van Defender for Identity helpen u snel precies te begrijpen hoe een aanvaller zich lateraal binnen uw organisatie kan bewegen om gevoelige accounts te compromitteren en helpt deze risico's vooraf te voorkomen. Defender for Identity-beveiligingsrapporten helpen u gebruikers en apparaten te identificeren die worden geverifieerd met behulp van wachtwoorden zonder tekst en bieden aanvullende inzichten om de beveiligingspostuur en het beleid van uw organisatie te verbeteren.

Ad FS beveiligen in hybride omgevingen

Active Directory Federation Services (AD FS) speelt een belangrijke rol in de huidige infrastructuur als het gaat om verificatie in hybride omgevingen. Defender for Identity beveiligt de AD FS in uw omgeving door on-premises aanvallen op de AD FS te detecteren en inzicht te bieden in verificatiegebeurtenissen die worden gegenereerd door de AD FS. Zie Microsoft Defender for Identity on Active Directory Federation Services (AD FS) voor meer informatie.

Verdachte activiteiten en geavanceerde aanvallen in de kill-chain voor cyberaanvallen identificeren

Normaal gesproken worden aanvallen gestart tegen een toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en worden ze vervolgens snel lateraal verplaatst totdat de aanvaller toegang krijgt tot waardevolle activa, zoals gevoelige accounts, domeinbeheerders en zeer gevoelige gegevens. Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele kill chain voor cyberaanvallen:

Reconnaissance

Identificeer malafide gebruikers en pogingen van aanvallers om informatie te verkrijgen. Aanvallers zoeken op verschillende manieren naar informatie over gebruikersnamen, groepslidmaatschap van gebruikers, IP-adressen die zijn toegewezen aan apparaten, resources en meer.

Verdachte referenties

Identificeer pogingen om gebruikersreferenties in gevaar te brengen met behulp van beveiligingsaanvallen, mislukte verificaties, wijzigingen in gebruikersgroepslidmaatschap en andere methoden.

Zijwaartse bewegingen

Detecteer pogingen om zich lateraal binnen het netwerk te verplaatsen om meer controle te krijgen over gevoelige gebruikers, waarbij gebruik wordt gemaakt van methoden zoals Pass the Ticket, Pass the Hash, Overpass the Hash en meer.

Domeindominantie

Het gedrag van aanvallers markeren als domeindominantie wordt bereikt, door externe code-uitvoering op de domeincontroller en methoden zoals DC Shadow, schadelijke domeincontrollerreplicatie, Golden Ticket-activiteiten en meer.

Waarschuwingen en gebruikersactiviteiten onderzoeken

Defender for Identity is ontworpen om algemene waarschuwingsruis te verminderen en biedt alleen relevante, belangrijke beveiligingswaarschuwingen in een eenvoudige, realtime tijdlijn voor aanvallen van de organisatie. Met de tijdlijnweergave voor aanvallen van Defender for Identity kunt u zich eenvoudig concentreren op wat belangrijk is, door gebruik te maken van de intelligentie van slimme analyses. Gebruik Defender for Identity om snel bedreigingen te onderzoeken en inzicht te krijgen in de hele organisatie voor gebruikers, apparaten en netwerkresources. Naadloze integratie met Microsoft Defender voor Eindpunt biedt nog een extra beveiligingslaag door extra detectie en bescherming tegen geavanceerde permanente bedreigingen op het besturingssysteem.

Aanvullende resources voor Defender for Identity

Gratis proefversie starten

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Defender for Identity-roadmap

Bekijk de komende roadmap voor Defender for Identity

Volg Defender for Identity op Microsoft Tech Community

https://aka.ms/MDIcommunity

Word lid van de Yammer-community van Defender for Identity

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Defender for Identity-blog

Defender for Identity-blog

Ga naar de productpagina van Defender for Identity

https://www.microsoft.com/microsoft-365/security/identity-defender

Meer informatie over Defender for Identity-architectuur

Defender for Identity-architectuur

Veelgestelde vragen

Veelgestelde vragen over Defender for Identity

Bekijk onze video's

Uw beveiligingspostuur verbeteren met Defender for Identity : identificeer bekende slechte praktijken en los deze proactief op, waardoor uw omgeving gezonder wordt en beter bestand is tegen slechte actoren. Bekijk de YouTube-video.

Incidentonderzoek met Defender for Identity : informatie over het detecteren, onderzoeken en reageren op geavanceerde bedreigingen die gericht zijn op identiteiten en domeincontrollers met Defender for Identity. Te beginnen met een waarschuwing in Defender for Identity laten we zien hoe die informatie in een incident is gecorreleerd, hoe we bedreigingen kunnen opsporen met behulp van informatie die is vastgelegd door Defender for Identity en hoe we een automatische incidentreactie kunnen initiëren om het incident te herstellen voordat het zich ontwikkelt tot een groter probleem. Bekijk de YouTube-video.

Volgende stappen

Aan de slag met Microsoft Defender for Identity implementeren met Microsoft 365 Defender.

Zie ook

• Licentieverlening en privacy
• Veelgestelde vragen over Defender for Identity
• Werken met beveiligingswaarschuwingen
• Bekijk het Defender for Identity-forum.