Введение в Microsoft Defender для удостоверений

  • 35 мин

Microsoft Defender для удостоверений — это облачное решение для обеспечения безопасности, использующее ваши локальные сигналы Active Directory для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных внутренних действий, направленных против вашей организации.

Преимущества Microsoft Defender для удостоверений.

Microsoft Defender для удостоверений обеспечивает следующие преимущества.

  • Мониторинг поведения и действий пользователей и объектов с помощью аналитики, основанной на обучении.
  • Защита удостоверений и учетных данных пользователей, хранящихся в Active Directory.
  • Выявление и расследование подозрительных действий пользователей и сложных атак по всей цепочке их этапов.
  • Предоставление четкой информации об инциденте на простой временной шкале для его оперативного рассмотрения.

Отслеживание и оценка поведения и действий пользователя

Microsoft Defender для удостоверений отслеживает и анализирует действия пользователей и информацию в сети, например разрешения и принадлежность к группам. Затем определяются базовые показатели поведения для каждого пользователя. После этого Microsoft Defender для удостоверений с помощью адаптивных встроенных средств искусственного интеллекта выявляет аномалии, предоставляя вам подробные сведения о подозрительных действиях и событиях, обнаруживая сложные угрозы, скомпрометированных пользователей и внутренние угрозы для вашей организации. Специальные датчики Microsoft Defender для удостоверений отслеживают контроллеры домена организации, благодаря чему можно получить исчерпывающее представление обо всех действиях пользователей на каждом из устройств.

Обзор действий пользователей.

Защитите удостоверения пользователей и уменьшите количество направлений атак

Microsoft Defender для удостоверений предоставляет полезные сведения о конфигурациях удостоверений и рекомендации по обеспечению безопасности. Благодаря отчетам о безопасности и аналитическим сведениям о профилях пользователей Microsoft Defender для удостоверений позволяет значительно уменьшить количество направлений атак в вашей организации, усложнив компрометацию учетных данных пользователей и проведение атаки. Визуализация в Microsoft Defender для удостоверений обходных путей для возможных атак помогает быстро понять, как злоумышленник может изнутри организации обходными путями скомпрометировать конфиденциальные учетные записи, а также способствует заблаговременному уменьшению таких рисков. Отчеты о безопасности Microsoft Defender для удостоверений позволяют определить пользователей и устройства, проверка подлинности которых выполняется с использованием паролей с открытым текстом, а также предоставляют дополнительные сведения о том, как улучшить состояние безопасности и усовершенствовать соответствующие политики в организации.

Предложения отчета о безопасности по улучшениям, касающимся пользователей.

Определение подозрительных действий и сложных атак на всех этапах цепочки кибератак

Обычно атаки направляются против какого-нибудь доступного объекта, например пользователя с низкими привилегиями, а затем быстро меняют направление, пока атакующий не получит доступ к таким ценным ресурсам, как конфиденциальные учетные записи, администраторы домена или секретные данные. Решение Microsoft Defender для удостоверений способно обнаруживать большой диапазон действий в цепочке этапов атаки от рекогносцировки и компрометации учетных данных до использования обходных путей и подчинения домена.

Обходные пути в цепочке этапов атаки.

Например, на этапе рекогносцировки для сбора важной информации о среде домена атакующими используется рекогносцировка средствами протокола LDAP. Информация, с помощью которой злоумышленники определяют структуру доменов, а также идентифицируют привилегированные учетные записи для их использования в будущем. Такое обнаружение происходит вследствие выполнения компьютерами подозрительных запросов перечисления LDAP или запросов, направленных на конфиденциальные группы.

Атаки методом применения грубой силы являются распространенным способом компрометации учетных данных. Такой атакой является попытка атакующего пройти проверку подлинности путем подбора многочисленных паролей в разных учетных записях до тех пор, пока не будет найден нужный пароль, или с использованием одного пароля для его распыления по многим учетным записям с тем, чтобы он подошел хотя бы к одной из них. Найдя правильный пароль, атакующий входит в систему через соответствующую учетную запись. Microsoft Defender для удостоверений может определить такую ситуацию, если заметит многочисленные ошибки проверки подлинности Kerberos или NTLM, а также распыление пароля по многим учетным записям.

Следующий этап заключается в попытке атакующего пройти по обходному пути в вашей среде, например с использованием атаки "передача билета". Атака "передача билета" — это метод использования обходных путей, при котором атакующие крадут билет Kerberos с одного компьютера, а затем повторно используют украденный билет для доступа к другому компьютеру. При этом определяется, что на разных компьютерах использован один и тот же билет Kerberos.

Конечной целью атакующих является установление контроля над доменом. Одним из примеров этого является атака DCShadow Эта атака предназначена для изменения объектов каталога с помощью вредоносной репликации. Эту атаку можно выполнить с любого компьютера, создав с помощью процесса репликации фальшивый контроллер домена. В этом случае Microsoft Defender для удостоверений запустит оповещение при попытке компьютера в сети зарегистрироваться в качестве фальшивого контроллера домена.

Это не полный набор типов атак, обнаруживаемых Microsoft Defender для удостоверений, но из него можно понять широту диапазона возможностей этого решения.