Microsoft Defender for Identity 简介
Microsoft Defender for Identity 是一种基于云的安全解决方案,可利用本地 Active Directory 信号来识别、检测和调查针对组织的高级威胁、已遭入侵标识和恶意内部行为。
Microsoft Defender for Identity 提供以下优点:
- 使用基于学习的分析来监视用户、实体行为和活动。
- 保护存储在 Active Directory 中的用户标识和凭据
- 发现并调查整个击杀链中的可疑用户活动和高级攻击
- 在简单的时间线上提供明确的事件信息,以实现快速会审
监视和分析用户行为和活动
Microsoft Defender for Identity 可监视和分析你网络中用户活动和信息,例如权限和组成员身份。 然后,它将为每位用户创建行为基线。 然后,Microsoft Defender for Identity 通过自适应内置智能识别攻击,可深入了解可疑活动和事件,显示组织面的高级威胁、泄露的用户和预览体验成员威胁。 Microsoft Defender for Identity 的专有感官可监视组织域控制器,从每个设备提供针对每个用户活动的综合视图。
保护用户身份并减少攻击面
Microsoft Defender for Identity 提供有关身份配置和建议的安全最佳做法的有价值的见解。 通过安全报告和用户配置文件分析,Microsoft Defender for Identity 可帮助显著减少组织的攻击面,使泄露用户凭据和发起攻击更加困难。 Microsoft Defender for Identity 的可视迁移路径可帮助你快速准确了解攻击者可以如何稍后在组织内部移动以泄露敏感帐户并帮助提前防止这些风险。 Microsoft Defender for Identity 安全报告可帮助识别使用清晰密码进行身份验证的用户和设备,并提供有关可改进组织安全性并改进策略的更多见解。
识别整个网络攻击杀伤链中的可疑活动和高级攻击
通常,对任何可访问的实体(例如低特权用户)发起攻击,然后迅速横向移动,直到攻击者获得对重要资产(如敏感帐户、域管理员和高度敏感数据)的访问权限。 Microsoft Defender for Identity 具有多种跨 Kill 链的检测,从 重新搜索 到 泄露的凭据 到 进行 和 域搜索。
例如,在侦察阶段,攻击者利用 LDAP 侦察来获取有关域环境的关键信息。 帮助攻击者映射域结构以及识别特权帐户以供以后使用的信息。 此检测是基于执行可疑 LDAP 枚举查询或针对敏感组的查询的计算机触发的。
暴力攻击是入侵凭据的常见方法。 这是指攻击者尝试在不同帐户上使用多个密码进行身份验证,直到找到正确的密码,或者在大规模密码喷洒中使用对至少一个帐户有效的一个密码。 一旦找到,攻击者就使用经过身份验证的帐户登录。 Microsoft Defender for Identity 可在发现使用 Kerberos、NTLM 或使用密码发生的多个身份验证故障时检测此情况。
下一阶段是攻击者尝试使用 pass-the-ticket 等在你的环境中横向移动。 Pass-the-ticket 是一种横向移动技术,攻击者从其中一台计算机上窃取 Kerberos 票证,并通过它重新使用窃取的票证来访问另一台计算机。 在此检测中,Kerberos 票证正在两台(或更多台)不同的计算机上使用。
最终,攻击者希望建立域支配地位。 例如,一种方法是 DCShadow 攻击。 此攻击旨在使用恶意复制来更改目录对象。 通过使用复制过程创建恶意域控制器,可以从任何计算机执行此攻击。 如果出现这种情况,当网络中的计算机尝试注册为域控制器时,Microsoft Defender for Identity 会触发警报。
这不是完整的一组检测,但它会显示 Microsoft Defender 标识涵盖的检测范围。