什么是 Microsoft Defender for Identity?
Microsoft Defender for Identity 是一种基于云的安全解决方案,可帮助保护整个组织中的标识监视。
Defender for Identity 与 Microsoft Defender XDR 完全集成,并利用来自本地 Active Directory 和云标识的信号来帮助更好地识别、检测和调查针对组织的高级威胁。
部署 Defender for Identity,帮助 SecOp 团队跨混合环境提供新式标识威胁检测 (ITDR) 解决方案,包括:
- 使用主动标识安全状态评估来防止违规行为
- 使用实时分析和数据智能来检测威胁
- 使用清晰、可操作的事件信息来调查可疑活动
- 使用对被盗用标识的自动响应来应对攻击
Defender for Identity 以前称为 Azure 高级威胁防护 (Azure ATP)。
重要
使用旧版 Defender for Identity 门户的客户现在会自动重定向到 Microsoft Defender XDR,并且无法恢复到旧版门户。
有关更多信息,请参阅我们的博客文章和 Microsoft Defender XDR 中的 Microsoft Defender for Identity。
保护用户标识并减少攻击面
Defender for Identity 提供有关标识配置和建议的安全最佳做法的宝贵见解。 通过安全报告和用户配置文件分析,Defender for Identity 可以显着减少组织攻击面,使入侵用户凭据和推进攻击更加艰难。
主动评估标识状态
Defender for Identity 提供对标识安全状态的清晰视图,可帮助识别和解决安全问题,以免被攻击者利用。
例如:
Defender for Identity 的 横向移动路径 可帮助你快速了解攻击者如何在组织中横向移动。 横向移动路径可能会危及敏感帐户,Defender for Identity 可帮助提前防范这些风险。
Microsoft 安全功能分数提供的 Defender for Identity 安全评估提供了额外的见解,以改进组织安全状况和策略。
检测新式标识环境中的威胁
新式标识环境通常同时跨越本地和云。 Defender for Identity 使用整个环境中的数据,包括域控制器、Active Directory 联合身份验证服务 (AD FS) 和 Active Directory 证书服务 (AD CS),为你提供标识环境的完整视图。
默认情况下,Defender for Identity 传感器会监视域控制器流量。 对于 AD FS/AD CS 服务器,请确保安装相关的传感器类型,以便进行完整的标识监视。
有关详细信息,请参阅:
- 使用 Microsoft Defender XDR 部署 Microsoft Defender for Identity
- Active Directory 联合身份验证服务 (AD FS) 上的 Microsoft Defender for Identity
识别网络攻击杀伤链中的可疑活动
通常情况下,会针对任何可访问实体(例如低权限用户)发起攻击。 攻击者会快速横向移动,直到获取对有价值的资产(如敏感帐户、域管理员和高度敏感数据)的访问权限。
Defender for Identity 可以在整个网络攻击链上从源头识别高级威胁:
威胁 | 在 Defender for Identity 中... |
---|---|
侦查 | 识别恶意用户和攻击者想要获取信息的企图。 攻击者使用各种方法搜索有关用户名、用户组成员身份、分配给设备的 IP 地址、资源等信息。 |
被盗用的凭据 | 识别使用暴力攻击、失败的身份验证、用户组成员身份更改和其他方法破坏用户凭据的尝试。 |
横向移动 | 使用“票证传递”、“哈希传递”、“哈希跨越”等方法,检测在网络内部横向移动以进一步控制敏感用户的尝试。 |
域控制 | 如果已实现域控制,请查看突出显示的攻击者行为。 例如,攻击者可能会在域控制器上远程运行代码,或使用 DC Shadow、恶意域控制器复制、黄金票证活动等方法。 |
有关更多信息,请参阅 Microsoft Defender for Identity 中的安全警报。
调查警报和用户活动
Defender for Identity 旨在降低一般警报噪音,在简单的实时组织攻击时间线中提供相关的重要安全警报的优先级列表。
与 Microsoft Defender XDR 的无缝集成通过关联来自其他域的数据提供了另一层增强的安全性,从而提高用户、设备和网络资源的可见性和准确性。
相关内容
使用下表查找有关 Defender for Identity 的更多资源: