使用適用于身分識別的 Defender 零信任
明確驗證 | 使用最低權限存取權 | 假設缺口 |
---|---|---|
一律根據所有可用的資料點進行驗證及授權。 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則和資料保護來限制使用者存取。 | 將爆炸半徑和區段存取降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 |
適用于身分識別的 Defender 是零信任策略的主要元件,以及具有Microsoft Defender 全面偵測回應的 XDR 部署。 適用于身分識別的 Defender 會使用 Active Directory 訊號來偵測突然的帳戶變更,例如許可權提升或高風險橫向移動,以及報告安全性小組修正容易惡意探索的身分識別問題,例如不受限制的 Kerberos 委派。
監視零信任
監視零信任時,請確定檢閱並減輕來自適用于身分識別的 Defender 的開啟警示,以及其他安全性作業。 您也可以在 Microsoft Defender 全面偵測回應 中使用 進階搜捕查詢,以尋找身分識別、裝置和雲端應用程式之間的威脅。
例如,您可以使用進階搜捕來探索攻擊者的 橫向移動路徑 ,然後查看相同的身分識別是否涉及其他偵測。
提示
使用 Microsoft Defender 全面偵測回應 、雲端原生安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案將警示內嵌至 Microsoft Sentinel,以提供安全性作業中心 (SOC) 單一窗格,以監視整個企業的安全性事件。
下一步
深入瞭解零信任,以及如何使用 零信任 指引中心 來建置企業級策略和架構 。
如需詳細資訊,請參閱