Che cos'è Microsoft Defender per identità?

Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che consente di proteggere il monitoraggio delle identità nell'organizzazione.

Defender per identità è completamente integrato con Microsoft Defender XDR e sfrutta i segnali provenienti sia da Active Directory locale che dalle identità cloud per facilitare l'identificazione, il rilevamento e l'analisi delle minacce avanzate dirette all'organizzazione.

Distribuire Defender per identità per aiutare i team di SecOp a offrire una soluzione di rilevamento delle minacce alle identità (ITDR) moderna in ambienti ibridi, tra cui:

  • Prevenire violazioni, usando valutazioni proattive del comportamento di sicurezza delle identità
  • Rilevare le minacce usando l'analisi in tempo reale e l'intelligence dei dati
  • Analizzare le attività sospette, usando informazioni sugli eventi imprevisti chiari e interattivi
  • Rispondere agli attacchi, usando la risposta automatica alle identità compromesse

Defender per identità era precedentemente noto come Azure Advanced Threat Protection (Azure ATP).

Importante

I clienti che usano il portale classico di Defender per identità vengono ora reindirizzati automaticamente a Microsoft Defender XDR, senza alcuna opzione per ripristinare il portale classico.

Per altre informazioni, vedere il post di blog e Microsoft Defender per identità in Microsoft Defender XDR.

Proteggere le identità degli utenti e ridurre la superficie di attacco

Defender per identità offre informazioni preziose sulle configurazioni delle identità e procedure consigliate per la sicurezza consigliate. Grazie ai report sulla sicurezza e all'analisi dei profili utente, Defender per identità consente di ridurre notevolmente la superficie di attacco dell'organizzazione, rendendo più difficile compromettere le credenziali utente e avanzare un attacco.

Valutare in modo proattivo il comportamento di identità

Defender per identità offre una visione chiara del comportamento di sicurezza delle identità, consentendo di identificare e risolvere i problemi di sicurezza prima che possano essere sfruttati da utenti malintenzionati.

Ad esempio:

  • I percorsi di spostamento laterale di Defender per identità consentono di comprendere rapidamente in che modo un utente malintenzionato può spostarsi in un secondo momento all'interno dell'organizzazione. I percorsi di spostamento laterale possono compromettere gli account sensibili e Defender per identità consente di evitare tali rischi in anticipo.

  • Le valutazioni della sicurezza di Defender per identità, disponibili in Microsoft Secure Score, offrono informazioni aggiuntive per migliorare il comportamento e i criteri di sicurezza dell'organizzazione.

Rilevare le minacce in ambienti di identità moderni

Gli ambienti di gestione delle identità moderni si estendono spesso sia in locale che nel cloud. Defender per identità usa i dati provenienti da tutto l'ambiente, inclusi controller di dominio, Active Directory Federation Services (AD FS) e Servizi certificati Active Directory (AD CS) per offrire una visualizzazione completa dell'ambiente di gestione delle identità.

I sensori defender per identità monitorano il traffico del controller di dominio per impostazione predefinita. Per i server AD FS/SERVIZI certificati Active Directory, assicurarsi di installare il tipo di sensore pertinente per il monitoraggio completo delle identità.

Per altre informazioni, vedi:

Identificare le attività sospette nella kill chain di attacchi informatici

In genere gli attacchi vengono lanciati contro qualsiasi entità accessibile, come un utente con privilegi limitati. Gli utenti malintenzionati si spostano rapidamente in un secondo momento fino a quando non ottengono l'accesso ad asset importanti, ad esempio account sensibili, amministratori di dominio e dati altamente sensibili.

Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain degli attacchi informatici:

Minaccia In Defender per identità ...
Ricognizione Identificare i tentativi di utenti non autorizzati e utenti malintenzionati di ottenere informazioni.

Gli utenti malintenzionati cercano informazioni sui nomi utente, l'appartenenza ai gruppi degli utenti, gli indirizzi IP assegnati a dispositivi, risorse e altro ancora, usando vari metodi.
Credenziali compromesse Identificare i tentativi di compromissione delle credenziali utente usando attacchi di forza bruta, autenticazioni non riuscite, modifiche all'appartenenza ai gruppi di utenti e altri metodi.
Movimenti laterali Rilevare i tentativi di spostarsi lateralmente all'interno della rete per ottenere un ulteriore controllo degli utenti sensibili, usando metodi come Pass the Ticket, Pass the Hash, Overpass the Hash e altro ancora.
Dominanza del dominio Visualizzare il comportamento dell'utente malintenzionato evidenziato se si ottiene la dominanza del dominio. Ad esempio, gli utenti malintenzionati potrebbero eseguire codice in remoto nel controller di dominio o usare metodi come DC Shadow, replica di controller di dominio dannoso, attività Golden Ticket e altro ancora.

Per altre informazioni, vedere Avvisi di sicurezza in Microsoft Defender per identità.

Analizzare gli avvisi e le attività degli utenti

Defender per identità è progettato per ridurre il disturbo generale degli avvisi, fornendo un elenco con priorità degli avvisi di sicurezza rilevanti e importanti in una sequenza temporale di attacco aziendale semplice e in tempo reale.

L'integrazione senza problemi con Microsoft Defender XDR offre un altro livello di sicurezza avanzata correlando i dati di altri domini, per una maggiore visibilità e accuratezza tra utenti, dispositivi e risorse di rete.

Per altre informazioni, vedere Analizzare gli asset e Analizzare gli avvisi di sicurezza.

Usare la tabella seguente per trovare altre risorse su Defender per identità:

Tipo di risorsa Riferimenti
Ulteriori informazioni - Distribuire Microsoft Defender per identità
- Domande frequenti sulle licenze e sulla privacy
- Domande frequenti su Defender per identità
- Uso degli avvisi di sicurezza
- Architettura di Defender per identità
- Zero Trust con Defender per identità
Partecipare alle community - Seguire Defender per identità in Microsoft TechCommunity
- Partecipare alla community di Yammer defender per identità
- Leggere il blog di Defender per identità
Roadmap Vedere la roadmap futura per Defender per identità
Pagina del prodotto Visitare la pagina del prodotto Defender per identità
Versione di valutazione gratuita Avviare una versione di valutazione gratuita