Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для удостоверений помогает организациям обнаруживать, исследовать атаки на основе удостоверений и реагировать на них в локальных, облачных и гибридных средах. Злоумышленники часто нацеливается на удостоверения, такие как пользователи, приложения и учетные записи служб, для получения доступа, повышения привилегий и поддержания сохраняемости.
Defender для удостоверений отслеживает сигналы идентификации от локальная служба Active Directory и Microsoft Entra ID, других решений IAM (например, Okta). Он анализирует эти сигналы с помощью поведенческой аналитики, аналитики угроз и известных шаблонов атак для обнаружения подозрительных действий на протяжении всего жизненного цикла атаки удостоверений. Оповещения включают контекст исследования на портале Microsoft Defender, помогая группам безопасности понять, что произошло, почему это важно и как реагировать.
Безопасность удостоверений
Microsoft Defender для удостоверений является основным компонентом Microsoft Identity Security. Безопасность идентификации сосредоточена на защите удостоверений, обеспечивая видимость покрытия и состояния удостоверений, обнаруживая угрозы на основе удостоверений, а также позволяя выполнять исследования и реагирование в системах идентификации, приложениях и инфраструктуре.
Defender для удостоверений передает сигналы идентификации на портал Microsoft Defender, где они сопоставляются с данными из конечных точек, электронной почты, приложений SaaS, облачных рабочих нагрузок и других источников безопасности. Эта корреляция помогает группам безопасности выявлять аномальное поведение, отслеживать перемещение злоумышленников и реагировать на них с помощью унифицированных инцидентов, которые отражают полное область атаки, а не изолированные оповещения.
Возможности Defender для удостоверений
Defender для удостоверений предоставляет современное решение для обнаружения угроз идентификации с помощью:
- Упреждающие оценки состояния безопасности удостоверений
- Обнаружение угроз в режиме реального времени с помощью аналитики и анализа поведения
- Исследование подозрительных действий с четким контекстом инцидента
- Действия по исправлению для скомпрометированных удостоверений
Предотвращение нарушений с помощью упреждающих оценок состояния безопасности удостоверений
Defender для удостоверений помогает организациям упреждающе сократить количество направлений атак удостоверений. Он оценивает конфигурации удостоверений и выявляет слабые места безопасности, которыми обычно пользуются злоумышленники, что позволяет командам устранять риски, прежде чем они будут злоупотреблять.
Ключевые возможности позывов включают в себя:
- Оценки состояния безопасности удостоверений, доступные с помощью оценки безопасности Майкрософт
- Выявление рискованных конфигураций и рисков
- Анализ путей бокового смещения, который показывает, как злоумышленник может пройти через среду
Эти аналитические сведения помогают организациям повысить устойчивость удостоверений и снизить вероятность успешного компрометации.
Обнаружение угроз на основе удостоверений
Defender для удостоверений предназначен для обнаружения угроз, специально предназначенных для удостоверений, в том числе удостоверений человека и других удостоверений, таких как учетные записи служб, учетные записи синхронизации и приложения. Обнаружение основано на анализе поведения и корреляции сигналов, а не на отдельных событиях.
Defender для удостоверений отслеживает и анализирует такие действия удостоверений, как:
- Поведение проверки подлинности и авторизации
- Злоупотребление учетными данными и рискованные входы
- Повышение привилегий и подозрительные изменения в роли или членстве в группах
- Попытки бокового смещения в среде
- Аномальное поведение, связанное с учетными записями служб и другими удостоверениями, не связанными с людьми
В следующей таблице показано, как обнаружения Defender для удостоверений соответствуют ключевым этапам атаки на основе удостоверений.
| Этап атаки | Обнаружение Defender для удостоверений |
|---|---|
| Рекогносцировка | Определяет подозрительные действия обнаружения, такие как попытки перечисления имен пользователей, членства в группах, IP-адресов и ресурсов. |
| Скомпрометированные учетные данные | Обнаруживает попытки компрометации учетных данных с помощью таких методов, как метод подбора, повторяющиеся неудачные проверки подлинности и подозрительные изменения членства в группах пользователей. |
| Боковое смещение | Обнаруживает попытки бокового перемещения и расширения управления конфиденциальными удостоверениями в разных средах. |
| Доминирование домена AD | Выделяет поведение, связанное с полным компрометацией домена, например удаленное выполнение кода на контроллерах домена, DCShadow, репликацию вредоносного контроллера домена и действие Golden Ticket. |
Злоумышленники часто начинают с любого доступного удостоверения, а затем переходят в сторону высокоценных целевых объектов, таких как привилегированные учетные записи, такие как администраторы домена, глобальные администраторы, администраторы приложений и конфиденциальные данные. Defender для удостоверений помогает идентифицировать это поведение на ранней стадии, создавая профили поведения для пользователей, устройств и учетных записей и обнаруживая отклонения, указывающие на активность злоумышленников.
Исследование угроз удостоверений
Defender для удостоверений создает оповещения, обогащенные контекстом, например затронутыми удостоверениями, связанными действиями и методами злоумышленников. Аналитики могут использовать этот контекст, чтобы проверить подозрительное поведение и понять, что произошло.
Defender для удостоверений также поддерживает рабочие процессы исследования удостоверений и охоты. Сущности удостоверений и действия проверки подлинности доступны на портале Microsoft Defender, что позволяет группам безопасности исследовать шаблоны действий и искать дополнительные угрозы на основе удостоверений для облачных, локальных и гибридных пользователей.
Реагирование на атаки на основе удостоверений
Defender для удостоверений поддерживает ответы:
- Сопоставление оповещений удостоверений с унифицированными инцидентами в Microsoft Defender
- Предоставление контекста удостоверений (пользователей, учетных записей, ролей и индикаторов бокового перемещения) для область влияния и определения приоритетов действий
- Включение действий по исправлению на портале Microsoft Defender для затронутых удостоверений и связанных сущностей
интерфейс портала Microsoft Defender
Портал Microsoft Defender предоставляет единый интерфейс для мониторинга, изучения угроз идентификации и реагирования на них. На портале группы безопасности могут:
- Просмотр оповещений на основе удостоверений и связанных инцидентов
- Изучение связей пользователей, устройств и удостоверений
- Отслеживание состояния безопасности удостоверений и рекомендации по исправлению
- Выполнение действий реагирования на скомпрометированные удостоверения
Предоставляя широкий контекст удостоверений в унифицированные инциденты, Defender для удостоверений помогает группам безопасности понимать поведение злоумышленников, определять приоритеты рисков и принимать меры для нарушения атак на основе удостоверений в организации.
Обзор архитектуры
Microsoft Defender для удостоверений использует упрощенные датчики, соединители API и облачную службу аналитики, управляемую на портале Microsoft Defender.
Датчики работают в инфраструктуре удостоверений, записывая и анализируя соответствующий сетевой трафик и события Windows локально. Соединители API интегрируют внешние системы управления удостоверениями и доступом (IAM), чтобы обеспечить комплексную защиту идентификации.
В облачную службу Defender для удостоверений отправляются только необходимые сигналы, что сводит к минимуму влияние на производительность и позволяет избежать сложных изменений в сети.
Облачная служба анализирует сигналы идентификации и интегрирует их с другими рабочими нагрузками Microsoft Defender, что способствует интеллектуальному анализу удостоверений для коррелированных оповещений и инцидентов в Microsoft Defender XDR.