Что такое Microsoft Defender для удостоверений?

Microsoft Defender для удостоверений (ранее Расширенная защита от угроз Azure или Azure ATP) — это облачное решение безопасности, которое использует сигналы локальной службы Active Directory для обнаружения и анализа сложных угроз, скомпрометированных удостоверений и вредоносных действий внутренних пользователей, направленных на вашу организацию.

Defender для удостоверений позволяет аналитикам и специалистам службы безопасности, занимающимся выявлением современных угроз в гибридных средах, решать следующие задачи:

  • отслеживать пользователей, поведение сущностей и действия с помощью аналитики на основе обучения;
  • защищать удостоверения и учетные данные пользователей, хранящиеся в Active Directory;
  • выявлять и изучать подозрительные действия пользователей и современные атаки на основе модели цепочки атаки;
  • получать сведения об инцидентах в четко установленные сроки для быстрого рассмотрения.

Мониторинг и анализ поведения и действий пользователей

Defender для удостоверений отслеживает и анализирует действия пользователей в сети и информацию о них, такую как разрешения и членство в группах, формируя базовые показатели для каждого пользователя. Затем Defender для удостоверений определяет аномалии с помощью встроенных адаптивных интеллектуальных функций, предоставляя вам информацию о подозрительных действиях и событиях и выявляя современные угрозы, скомпрометированные учетные записи и внутренние угрозы, направленные на организацию. Собственные датчики Defender для удостоверений отслеживают контроллеры домена организации, что позволяет получать подробное представление обо всех действиях пользователей на каждом устройстве.

Защита удостоверений пользователей и сокращение уязвимой зоны

Defender для удостоверений предоставляет бесценную информацию о конфигурациях удостоверений и рекомендации по обеспечению безопасности. Благодаря отчетам о безопасности и аналитике пользовательских профилей Defender для удостоверений помогает существенно сократить число направлений атак, угрожающих вашей организации, усложняя взлом учетных данных пользователей и затрудняя проведение атак. С помощью визуальных путей бокового смещения в Defender для удостоверений можно быстро узнать, как злоумышленник может перемещаться по сети вашей организации с целью взлома важных учетных записей, и заранее предотвратить эти риски. Отчеты о безопасности Defender для удостоверений помогают выявлять пользователей и устройства, которые проходят проверку подлинности с помощью открытых паролей. Они также предоставляют дополнительную информацию для оптимизации корпоративной защиты и ваших политик.

Защита AD FS в гибридных средах

Службы федерации Active Directory (AD FS) играют важную роль в современной инфраструктуре в том, что касается проверке подлинности в гибридных средах. Defender для удостоверений защищает AD FS в среде, выявляя локальные атаки на AD FS и обеспечивая возможность отслеживать события проверки подлинности, которую выполняет AD FS. Дополнительные сведения см. в разделе Microsoft Defender для удостоверений в службах федерации Active Directory (AD FS).

Выявление подозрительных действий и современных кибератак на основе модели цепочки атаки

Как правило, атаки изначально направлены на доступные объекты, например пользователей с низким уровнем прав, а затем быстро распространяются по горизонтали, пока злоумышленник не получит доступ к ценным ресурсам, например важным учетным записям, в том числе с правами администратора домена, или конфиденциальным данным. Defender для удостоверений позволяет устанавливать источники таких современных угроз, прослеживая всю цепочку кибератаки.

Разведывательная атака

Выявляйте попытки пользователей-мошенников и злоумышленников получить информацию. Злоумышленники ищут сведения об именах пользователей, их членстве в группах, о назначенных устройствам IP-адресах, ресурсах, а также другую информацию самыми разными методами.

Компрометация учетных данных.

Выявляйте попытки получить учетные данные пользователей, обнаруживая атаки методом подбора, неудачные попытки проверки подлинности, изменение членства пользователей в группах и другие подозрительные действия.

Боковое смещение

Определяйте попытки бокового смещения в вашей сети с целью получения контроля над важными учетными записями с использованием таких методов, как Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash и других.

Полное управление доменом

Azure ATP позволяет обнаруживать перехват контроля над доменом, полученный через удаленное выполнение кода на контроллере домена или такими методами, как DC Shadow, несанкционированная репликация контроллера домена и Golden Ticket.

Изучайте оповещения и действия пользователей

В Defender для удостоверений предусмотрено уменьшение общего информационного шума и предоставляются только необходимые и важные оповещения системы безопасности в виде простой временной последовательности, отображающей в реальном времени атаки на уровне организации. Представление временной шкалы атак Defender для удостоверений позволяет сосредоточиться на том, что действительно имеет значение, и использовать интеллектуальные аналитические функции. Defender для удостоверений позволяет быстро анализировать угрозы и получать информацию о пользователях, устройствах и сетевых ресурсах в масштабе всей организации. Тесная интеграция с Microsoft Defender для конечных точек обеспечивает дополнительный уровень безопасности благодаря обнаружению современных постоянных угроз в операционной системе и защите от них.

Дополнительные ресурсы для Defender для удостоверений

Запустите бесплатную пробную версию

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Стратегия развития Defender для удостоверений

Ознакомьтесь с предстоящей стратегией развития Defender для удостоверений

Следите за новостями Defender для удостоверений в Microsoft Tech Community

https://aka.ms/MDIcommunity

Присоединяйтесь к сообществу Defender для удостоверений в Yammer

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Блог по Defender для удостоверений

Блог по Defender для удостоверений

Посетите страницу продукта Defender для удостоверений

https://www.microsoft.com/microsoft-365/security/identity-defender

Дополнительные сведения об архитектуре Defender для удостоверений

Архитектура Defender для удостоверений

Часто задаваемые вопросы

Часто задаваемые вопросы о Defender для удостоверений

Просмотрите наши видеоролики

Повысьте уровень безопасности с помощью Defender для удостоверений. Выявляйте и заранее устраняйте известные ошибки конфигурации, делая свою среду более работоспособной и устойчивой к действиям злоумышленников. Посмотрите видео на YouTube.

Анализ инцидентов с помощью Microsoft Defender для удостоверений. Узнайте, как с помощью Microsoft Defender для удостоверений обнаруживать, анализировать и реагировать на расширенные угрозы, нацеленные на удостоверения и контроллеры домена. Начиная с предупреждения в Defender для удостоверений мы продемонстрируем, как эти сведения соотносятся с инцидентом, как охотиться на угрозы с помощью информации, полученной Defender для удостоверений, и как можно инициировать автоматическое реагирование на инцидент для его устранения, прежде чем он перерастет в более крупную проблему. Посмотрите видео на YouTube.

Что дальше?

Начните со статьи Развертывание Microsoft Defender для удостоверений с помощью Microsoft 365 Defender.

См. также: