Рекомендации перед наступательным тестированием безопасности для Microsoft Defender для удостоверений

В этой статье приведены рекомендации и элементы, которые необходимо просмотреть, прежде чем приступить к тестированию наступательной безопасности для Microsoft Defender для удостоверений.

Распространенные проблемы, влияющие на тестирование

Ниже приведены некоторые распространенные проблемы, которые могут повлиять на наступательное тестирование безопасности.

Проблемы с защитой инфраструктуры

• Неполная защита инфраструктуры. Разверните датчики Microsoft Defender для удостоверений на всех контроллерах домена.
• Отсутствует Microsoft Defender для конечной точки. Защита конечных точек добавляет возможности обнаружения для действий в инфраструктуре удостоверений, которые не могут быть охвачены только обнаружением на основе удостоверений.

Проблемы с точностью обнаружения

• Недостаточный период обучения. Период обучения для оповещений используется для настройки обнаружения оповещений. Без этого периода обучения обнаружение будет не столь точным.
• Использование учетных записей с установленными административными шаблонами. Избегайте использования пользователей или компьютеров, которые регулярно выполняют административные задачи, так как система изучает их как обычное поведение. Вместо этого используйте:
  • Существующий компьютер. Используйте компьютер, на который не выполняются действия администрирования или имитации атак.
  • Существующий стандартный пользователь. Используйте пользователя, который не регулярно выполняет действия администрирования или имитации атак.

Проблемы, связанные с конфигурацией

• Несоответствие конфигурации сети. Датчики, работающие в VMware, могут столкнуться с проблемами работоспособности Microsoft Defender для удостоверений. См. статью Проблемы с датчиком виртуальной машины VMware.
• Разрешение неработоспособных сетевых имен (NNR): эта проблема может привести к проблемам с определенными обнаружениями.
• Неполное моделирование атаки. Тестируйте фактические сценарии атак, а не отдельные TTP. Обнаружение Defender для удостоверений сосредоточено на полных историях атак. Выполнение только одного сегмента цепочки завершения без других шагов приводит к неполным результатам и снижению результатов обнаружения.
• Несовместимые средства тестирования на проникновение. Некоторые средства могут возвращать ложные результаты. Перекрестная проверка соответствующие журналы аудита для подтверждения успешных атак.

Контрольный список рекомендаций

Рекомендация	Описание	Ссылки на документацию по связанным задачам
Убедитесь, что Defender для удостоверений развернут на всех контроллерах домена.	Развертывание на всех контроллерах домена гарантирует, что вы получаете все сигналы для обнаружения угроз. Отсутствие полной защиты может привести к пропущенным обнаружениям или ложноположительным результатам.	Общие сведения о развертывании Microsoft Defender для удостоверений
Убедитесь, что Defender для удостоверений развернут на всех серверах AD FS, AD CS и Microsoft Entra Connect.	Развертывание на всех этих серверах гарантирует, что вы получаете все сигналы для обнаружения угроз. Отсутствие полной защиты может привести к пропущенным обнаружениям или ложноположительным результатам.	Настройка датчиков для AD FS, AD CS и Microsoft Entra Connect
Проверка работоспособности датчиков Defender для удостоверений	Очень важно, чтобы датчик был работоспособным и сообщал, как ожидается, для обеспечения оптимальной производительности. Наличие неработоспособного датчика может привести к пропущенным обнаружениям. Перед выполнением тестов просмотрите все оповещения о работоспособности.	проблемы с работоспособностью Microsoft Defender для удостоверений
Рассмотрите возможность интеграции с Microsoft XDR	Defender для удостоверений предоставляет оповещения об угрозах на основе удостоверений. Интеграция с Microsoft Defender XDR позволяет сопоставлять эти оповещения с другими сигналами, чтобы получить более полное представление об угрозах и потенциальных решениях. Microsoft Defender XDR — это единый набор корпоративной защиты перед взломом и после взлома, который изначально координирует обнаружение, предотвращение, исследование и реагирование между конечными точками, удостоверениями, электронной почтой и приложениями для обеспечения интегрированной защиты от сложных атак.	Microsoft Defender.
Проверка конфигурации сбора событий Windows	Оптимальный сбор событий необходим для эффективного анализа и обнаружения угроз в Defender для удостоверений. Проверьте конфигурацию перед выполнением тестов.	- Настройка коллекции событий Windows для контроллеров - доменаНастройка коллекции событий Windows для AD CS - Настройка коллекции событий Windows для AD FS - Настройка коллекции событий Windows для Microsoft Entra Connect - Использование PowerShell для проверка конфигурации
Убедитесь, что NNR настроен правильно	NNR является критически важным компонентом Defender для удостоверений. Defender для удостоверений использует NNR для корреляции между необработанными действиями, содержащими IP-адреса, и компьютерами, участвующими в каждом действии. Defender для удостоверений профилирует сущности, включая компьютеры, и создает оповещения системы безопасности о подозрительных действиях. Важно правильно настроить NNR для успешного развертывания и помочь обнаружить сложные угрозы.	Настройка разрешения сетевых имен (NNR) для Microsoft Defender для удостоверений
Убедитесь, что у вас есть учетная запись службы каталогов (DSA)	Хотя DSA является необязательным в некоторых сценариях, рекомендуется настроить DSA для Defender для удостоверений для полной защиты безопасности. При настройке DSA: — DSA подключается к контроллеру домена при запуске. — DSA запрашивает у контроллера домена данные о сущностях, видимых в сетевом трафике, отслеживаемых событиях и отслеживаемых действиях трассировки событий Windows (ETW). DSA требуется для следующих функций и функций: — при работе с датчиком, установленным на сервере AD FS или AD CS. — Доступ к контейнеру DeletedObjects для сбора сведений об удаленных пользователях и компьютерах. — Для сопоставления доменов и доверия, которое происходит при запуске датчика и снова каждые 10 минут. — запрашивать другие домены через LDAP для получения сведений при обнаружении действий из сущностей в этих других доменах.	Учетные записи службы каталогов для Microsoft Defender для удостоверений
Проверка периодов обучения оповещений	Оповещения используют периоды обучения, чтобы создать профиль шаблонов, а затем различать допустимые и подозрительные действия. Каждое оповещение включает в логику обнаружения определенные условия, такие как пороговые значения и фильтрация популярных действий. Проверьте эти оповещения , чтобы убедиться, что они соответствуют требуемым периодам обучения.	Обзор оповещений
Проверка пороговых значений оповещений	Пороговый уровень оповещения влияет на количество оповещений, получаемых для этого триггера. Пороговое значение по умолчанию для всех оповещений — Высокое. Для отдельных оповещений можно настроить пороговое значение Высокий, Средний или Низкий. Снижение порогового значения оповещения увеличивает количество оповещений, создаваемых Microsoft Defender для удостоверений. Оповещения, которые активируются, если для порогового значения задано значение Среднее или Низкое , содержат текст, указывающий пороговое значение оповещения. При включении кнопки Рекомендуемый тестовый режим для всех пороговых уровней оповещений устанавливается значение Низкий. При низком пороговом значении вы получите больше оповещений, в том числе связанных с допустимым трафиком и действиями. Этот параметр может быть полезен для получения дополнительных данных в непроизводственной среде, в которой недостаточно данных или профилей для истории сущностей. Снижение порогового значения до низкого также приводит к большему количества ложных срабатываний и не рекомендуется для рабочих сред.	Настройка пороговых значений оповещений или включение рекомендуемого тестового режима
Ознакомьтесь с рекомендациями по оценке безопасности для Defender для удостоверений	Выполнение рекомендаций по оценке безопасности помогает улучшить состояние безопасности и повысить эффективность Defender для удостоверений при обнаружении угроз.	Оценка безопасности (Майкрософт)

Периоды обучения оповещений системы безопасности

Перед началом тестирования системы безопасности убедитесь, что периоды обучения для оповещений, перечисленных ниже, выполнены.

Оповещение	Период обучения
Рекогносцировка сопоставления сети (DNS) (Внешняя идентификация 2007 г.)	Восемь дней с начала мониторинга контроллера домена
Разведывательная разведка членства пользователей и групп (SAMR) (Внешняя идентификация 2021 г.)	Четыре недели на контроллер домена, начиная с первого сетевого действия SAMR для конкретного контроллера домена
Предполагаемое использование Golden Ticket (понижение уровня шифрования) (Внешняя идентификация 2009 г.)	Через пять дней с начала мониторинга контроллера домена
Подозрительные добавления в конфиденциальные группы (Внешняя идентификация 2024 г.)	Четыре недели на контроллер домена, начиная с первого события
Предполагаемая атака методом подбора (Kerberos, NTLM) (Внешняя идентификация 2023 г.)	Одна неделя
Рекогносцировка субъекта безопасности (LDAP) (Внешняя идентификация 2038 г.)	15 дней на компьютер, начиная с дня первого события, наблюдаемого с компьютера
Предполагаемая сквозная хэш-атака (тип принудительного шифрования) (Внешняя идентификация 2008 г.)	Один месяц
Подозрительное VPN-подключение (Внешняя идентификация 2025 г.)	30 дней с момента первого VPN-подключения и по крайней мере 5 VPN-подключений за последние 30 дней на пользователя

Связанные материалы

• Общие сведения об операциях безопасности Microsoft Defender XDR.