借助 Defender for Identity 实现零信任
零信任是一种安全策略,用于设计和实现以下安全原则集:
| 显式验证 | 使用最低特权访问 | 假定数据泄露 |
|---|---|---|
| 始终根据所有可用的数据点进行身份验证和授权。 | 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 | 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。 |
Defender for Identity 是零信任策略以及使用 Microsoft Defender XDR 进行 XDR 部署的一个主要组件。 Defender for Identity 利用 Active Directory 信号检测帐户的突然更改(例如特权升级或高风险横向移动),并报告容易被恶意利用的身份问题(例如不受约束的 Kerberos 委派),以供安全团队进行更正。
监控零信任
当监控零信任时,请确保查看并缓解 Defender for Identity 和其他安全操作中的待处理警报。 你可能还希望利用 Microsoft Defender XDR 中的高级搜寻查询,在各个身份、设备和云应用中查找威胁。
例如,可以使用高级搜寻功能发现攻击者的横向移动路径,然后查看其他检测中是否发现了同一个身份。
提示
利用云原生安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案 Microsoft Defender XDR,将警报引入到 Microsoft Sentinel 中,以便为安全运营中心 (SOC) 提供一个单一管理平台,用来监控企业中的安全事件。
后续步骤
详细了解零信任以及如何利用零信任 指导中心构建企业级策略和体系结构。
有关详细信息,请参阅: