Introdução ao Microsoft Defender para Identidade

  • 35 minutos

O Microsoft Defender para Identidade é uma solução de segurança baseada em nuvem que aproveita os sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização.

Os benefícios do Microsoft Defender para Identidade:

O Microsoft Defender para Identidade oferece os seguintes benefícios:

  • Monitorar usuários, comportamento da entidade e atividades usando análises baseadas no aprendizado.
  • Proteger as identidades e credenciais do usuário armazenadas no Active Directory.
  • Identificar e investigar as atividades suspeitas de usuários e ataques avançados na cadeia de extermínio.
  • Fornecer informações claras sobre incidentes em uma linha do tempo simples para uma triagem rápida.

Monitorar e perfilar o comportamento e as atividades do usuário

O Microsoft Defender para Identidade monitora e analisa as atividades e informações do usuário em sua rede, como permissões e afiliações a grupos. Em seguida, ele cria uma linha de base comportamental para cada usuário. Em seguida, o Microsoft Defender para Identidade identifica anomalias com inteligência incorporada adaptativa, fornecendo informações sobre atividades e eventos suspeitos, revelando as ameaças avançadas, usuários comprometidos e ameaças internas que sua organização enfrenta. Os sensores proprietários do Microsoft Defender para Identidade monitoram os controladores de domínio organizacionais, fornecendo uma visão abrangente de todas as atividades do usuário em cada dispositivo.

Visão geral das atividades do usuário:

Proteger a identidade dos usuários e reduzir a superfície de ataque

O Microsoft Defender para Identidade fornece insights inestimáveis sobre configurações de identidade e práticas recomendadas de segurança sugeridas. Por meio de relatórios de segurança e análises de perfil de usuário, o Microsoft Defender para Identidade ajuda a reduzir drasticamente a superfície de ataque organizacional, tornando mais difícil comprometer as credenciais do usuário e antecipar um ataque. Os Caminhos de Movimento Lateral visual do Microsoft Defender para Identidade ajudam você a entender rapidamente exatamente como um invasor pode se mover lateralmente dentro de sua organização para comprometer contas confidenciais e auxilia na prevenção desses riscos antecipadamente. Os relatórios de segurança do Microsoft Defender para Identidade ajudam a identificar usuários e dispositivos que se autenticam usando senhas de texto não criptografado e fornecem percepções adicionais para melhorar sua postura e políticas de segurança organizacional.

Relatório de Segurança das sugestões de melhoria do usuário:

Identificar atividades suspeitas e ataques avançados na cadeia de destruição de ciberataques

Normalmente, são lançados ataques contra uma entidades acessíveis, como um usuário pouco privilegiado, e depois se movem rapidamente de forma lateral até que o atacante tenha acesso a ativos valiosos - como contas confidenciais, administradores de domínio e dados altamente confidenciais. O Microsoft Defender para Identidade tem uma grande variedade de detecções em toda a cadeia de Eliminação, desde o reconhecimento até credenciais comprometidas, movimentos laterais e domínio do domínio.

Movimento lateral através da cadeia de destruição:

Por exemplo, na fase de reconhecimento, o reconhecimento LDAP é usado por atacantes para obter informações críticas do ambiente de domínio. Informações que ajudam os invasores a mapearem a estrutura do domínio, assim como a identificarem contas privilegiadas para uso posterior. Essa detecção é acionada com base em computadores que realizam consultas de enumeração LDAP suspeitas ou consultas que visam grupos confidenciais.

Os ataques com força bruta são uma forma comum de comprometer as credenciais. ;Isso ocorre quando um atacante tenta se autenticar com várias senhas em diferentes contas até que uma senha correta seja encontrada ou ao usar uma senha em um spray de senha em larga escala que funcione para pelo menos uma conta. Uma vez encontrado, o atacante efetua o login usando a conta autenticada. O Microsoft Defender para Identidade pode detectar isso quando percebe várias falhas de autenticação que ocorrem usando Kerberos, NTLM ou uso de um spray de senha.

A próxima etapa é quando os atacantes tentam se mover lateralmente pelo seu ambiente, usando, por exemplo, o recurso pass-the-ticket. Pass-the-ticket é uma técnica de movimento lateral em que os atacantes roubam um bilhete Kerberos de um computador e o usam para obter acesso a outro computador, reutilizando o bilhete roubado. Nessa detecção, um bilhete Kerberos está sendo usado em dois (ou mais) computadores diferentes.

Em última análise, os atacantes querem estabelecer o domínio. Um método, por exemplo, é o ataque DCShadow. Esse ataque é projetado para mudar objetos de diretório usando replicação maliciosa. Esse ataque pode ser realizado de qualquer máquina pela criação de um controle de domínio desonestos usando um processo de replicação. Se isso ocorrer, o Microsoft Defender para Identidade dispara um alerta quando uma máquina na rede tenta se registrar como um controlador de domínio não autorizado.

Este não é o conjunto completo de detecções, mas mostra a amplitude das capas do Microsoft Defender para Identidade.