Оценки состояния безопасности в Microsoft Defender для удостоверений

Как правило, организации любого размера имеют ограниченный контроль над тем, могут ли их локальные и облачные приложения и службы привести к уязвимости безопасности для их организации. Проблема ограниченной видимости особенно связана с использованием неподдерживаемых или устаревших компонентов.

Хотя ваша компания может тратить значительное время и усилия на укрепление защиты учетных данных и идентификационной инфраструктуры (например, Active Directory, Active Directory Connect) в рамках постоянной работы, при этом легко упустить из виду распространенные ошибки конфигурации и использование устаревших компонентов, которые создают один из наиболее серьезных рисков для вашей организации.

Исследование безопасности Майкрософт показывает, что большинство атак на идентификацию используют распространенные ошибки конфигурации в Active Directory и продолжают использовать устаревшие компоненты (такие как протокол NTLMv1) для компрометации удостоверений и успешного взлома вашей организации. Чтобы эффективно бороться с этими неправильными настройками и рисками устаревших компонентов, Microsoft Defender для удостоверений теперь предлагает упреждающие оценки безопасности идентификации для обнаружения и рекомендации действий в локальных Active Directory конфигурациях.

Что дают оценки безопасности в Defender for Identity?

Оценки уровня безопасности Defender for Identity доступны в Оценка безопасности (Майкрософт) и включают:

  • Обнаружения и контекстные данные об известных эксплуатируемых компонентах и неправильных конфигурациях, а также соответствующие пути для исправления.

  • Активный мониторинг локальных и облачных идентификационных данных и инфраструктуры удостоверений с выявлением уязвимых мест с помощью существующего датчика Microsoft Defender for Identity.

  • Точные отчеты об оценке текущего состояния безопасности организации для быстрого реагирования и мониторинга эффектов в непрерывном цикле.

Оценка безопасности (Майкрософт) — это измерение состояния безопасности организации, при этом большее число указывает на более рекомендуемые действия. Его можно найти по адресу https://security.microsoft.com/securescore на портале Microsoft Defender.

Классификация оценок состояния безопасности в Defender for Identity

Оценки состояния защищенности в Defender for Identity включают пять ключевых категорий. Каждая категория устраняет определенные риски безопасности удостоверений и предоставляет рекомендации по исправлению.

  • Гибридная безопасность. Определяет неправильные настройки в средах, которые интегрируют локальные (например, Active Directory) и облачные поставщики удостоверений (например, Microsoft Entra ID, Okta). Оценивает риски, связанные с синхронизацией, проверкой подлинности и авторизацией на разных платформах.
  • Инфраструктура идентификации: Обнаруживает ошибки конфигурации и уязвимости в основных компонентах системы идентификации, включая контроллеры домена.
  • Сертификаты. Оценивает службы сертификатов Active Directory (AD CS) на наличие пробелов в безопасности, таких как неправильно настроенные шаблоны сертификатов или слабые параметры центра сертификации. Выявление и устранение этих проблем помогает предотвратить несанкционированный доступ, который может возникнуть из-за уязвимостей, связанных с сертификатами.
  • Групповая политика: Анализирует конфигурации групповой политики, чтобы выявить параметры, которые могут допускать повышение привилегий или несанкционированное латеральное перемещение в сети. Обеспечение безопасности параметров групповой политики помогает поддерживать надлежащие механизмы контроля доступа и конфигурацию системы.
  • Учетные записи. Проверяет пользователей, устройства и группы, чтобы определить риски безопасности, такие как слабые пароли, неактивные учетные записи или неправильные разрешения.
  • Облачные удостоверения. Оценивает конфигурации облачных удостоверений в учетных записях Okta на наличие пробелов в безопасности, таких как отсутствующие параметры MFA или привилегированные учетные записи Okta, а также предоставляет рекомендации по исправлению.

Оценки состояния безопасности в Защитнике доступа для удостоверений

Вы можете просматривать оценки состояния безопасности Defender for Identity на панели мониторинга Оценка безопасности (Майкрософт) на портале Microsoft Defender.

Примечание.

Чтобы просматривать оценки состояния безопасности Microsoft Defender for Identity в Оценка безопасности (Майкрософт), требуется лицензия Microsoft Defender for Identity.

Кроме того, несмотря на то, что оценки шаблонов сертификатов доступны всем клиентам, в среде которых установлена служба сертификации AD CS, оценки центра сертификации доступны только для клиентов, которые установили датчик на сервере AD CS.

Рекомендации по гибридной безопасности будут доступны только в том случае, если Microsoft Defender для датчика удостоверений установлен на серверах, работающих под управлением служб Microsoft Entra Connect.

Дополнительные сведения см. в разделе Настройка датчиков для AD FS, AD CS и Microsoft Entra Connect.

Чтобы получить доступ к оценке состояния безопасности удостоверений:

  1. Откройте панель мониторинга Оценки безопасности (Майкрософт).

  2. Перейдите на вкладку Рекомендуемые действия . Вы можете найти определенное рекомендуемое действие или отфильтровать результаты (например, по категории Удостоверение).

    Снимок экрана: вкладка

  3. Для получения дополнительных сведений выберите оценку.

    Снимок экрана: список оценок с определенной оценкой состояния безопасности, выбранной для подробного просмотра.

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Дальнейшие действия