与其他 Microsoft 工具集成
Microsoft Defender for Identity 云服务在 Azure 基础结构上运行,当前在美国、欧洲和亚洲部署。 Microsoft Defender for Identity 云服务连接到 Microsoft 智能安全图。 这使 Microsoft Defender for Identity 能够与 Microsoft Defender for Cloud Apps 集成,作为 Microsoft Defender XDR 监视策略的一部分。
集成到 Microsoft Defender for Cloud Apps 后,你将能够查看组织中所有用户的本地活动。 你还将在你的用户中获得高级见解,将警报和可疑活动结合到你的云和本地环境中。 此外,来自 Microsoft Defender for Identity 的策略将显示在“Microsoft Defender for Cloud Apps 策略”页面上。 以下屏幕截图显示了 Microsoft Defender for Cloud Apps 中的 Microsoft Defender 标识报告。
Microsoft Defender for Identity 还可将 Microsoft Defender for Identity 与 Microsoft Defender for Endpoint 集成,实现更完整的威胁防护解决方案。 尽管 Microsoft Defender for Identity 监视域控制器上的流量,Microsoft Defender for Endpoint 可监视终结点,同时提供可保护环境的单个界面。 集成 Microsoft Defender for终结点和 Microsoft Defender for Identity 后,可单击终结点,在 Microsoft Defender for Endpoint 门户中查看 Microsoft Defender for Identity 警报。
如果对系统运行进程的深入了解,分析员可以找到导致网络受损的事件序列。 在下面的屏幕截图中,出现了指向系统上安装的恶意软件的高严重性警报。
单击警报,验证使用工具 Mimikatz 发生的 Pass-Hash (PtH) 攻击。 在警报操作下,我们还可以查看凭据窃取事件的时间轴。
