什么是 Microsoft Defender for Identity？

Microsoft Defender for Identity（以前稱(chēng)為Azure高級(jí)威脅防護(hù)，也稱(chēng)為Azure ATP）是一個(gè)基于云的安全解決方案，可利用本地Active Directory信號(hào)識(shí)別、檢測(cè)并調(diào)查針對(duì)組織的高級(jí)威脅、身份盜用和惡意內(nèi)部操作。

Defender for Identity可以使SecOp分析員和安全專(zhuān)業(yè)人員能夠在混合環(huán)境中檢測(cè)高級(jí)攻擊，以便：

·使用基于學(xué)習(xí)的分析監(jiān)視用戶(hù)、實(shí)體行為和活動(dòng)

·保護(hù)存儲(chǔ)在Active Directory中的用戶(hù)標(biāo)識(shí)和憑據(jù)

·識(shí)別并調(diào)查整個(gè)殺傷鏈中的可疑用戶(hù)活動(dòng)和高級(jí)攻擊

·提供關(guān)于簡(jiǎn)單時(shí)間線(xiàn)的明確事件信息，以進(jìn)行快速會(huì)審

監(jiān)視和配置用戶(hù)行為和活動(dòng)

Defender for Identity監(jiān)視并分析網(wǎng)絡(luò)中的用戶(hù)活動(dòng)和信息（例如權(quán)限和組成員身份），為每個(gè)用戶(hù)創(chuàng)建行為基線(xiàn)。然后，Defender for Identity通過(guò)自適應(yīng)內(nèi)置智能識(shí)別異常情況，讓你深入了解可疑活動(dòng)和事件、揭示組織面臨的高級(jí)威脅、用戶(hù)侵害和內(nèi)部威脅。Defender for Identity的專(zhuān)有傳感器監(jiān)視組織域控制器，提供每個(gè)設(shè)備中所有用戶(hù)活動(dòng)的全面視圖。

保護(hù)用戶(hù)標(biāo)識(shí)并減少攻擊面

Defender for Identity提供有關(guān)標(biāo)識(shí)配置和建議的安全最佳做法的寶貴見(jiàn)解。通過(guò)安全報(bào)告和用戶(hù)配置文件分析，Defender for Identity可以顯著減少組織攻擊面，使入侵用戶(hù)憑據(jù)和推進(jìn)攻擊更加艱難。Defender for Identity的可視橫向移動(dòng)路徑有助于快速準(zhǔn)確地了解攻擊者如何在組織內(nèi)橫向移動(dòng)以入侵敏感帳戶(hù)并協(xié)助提前預(yù)防這些風(fēng)險(xiǎn)。Defender for Identity安全報(bào)告有助于識(shí)別使用明文密碼進(jìn)行身份驗(yàn)證的用戶(hù)和設(shè)備，并提供其他見(jiàn)解以改善組織安全狀況和策略。

識(shí)別網(wǎng)絡(luò)攻擊殺傷鏈中的可疑活動(dòng)和高級(jí)攻擊

通常情況下，會(huì)針對(duì)任何可訪(fǎng)問(wèn)實(shí)體（例如低權(quán)限用戶(hù)）發(fā)起攻擊，然后快速橫向移動(dòng)，直到攻擊者獲得對(duì)有價(jià)值資產(chǎn)（如敏感帳戶(hù)、域管理員和高度敏感數(shù)據(jù)）的訪(fǎng)問(wèn)權(quán)限。Defender for Identity能在整個(gè)網(wǎng)絡(luò)攻擊殺傷鏈中從源頭識(shí)別這些高級(jí)威脅：

偵測(cè)

發(fā)現(xiàn)未授權(quán)用戶(hù)和攻擊者獲取信息的企圖。攻擊者使用各種方法搜索用戶(hù)名、用戶(hù)的組成員身份、分配給設(shè)備的IP地址、資源等信息。

泄露的憑據(jù)

識(shí)別使用暴力攻擊、失敗的身份驗(yàn)證、用戶(hù)組成員身份更改以及其他方法來(lái)入侵用戶(hù)憑據(jù)的嘗試。

橫向移動(dòng)

檢測(cè)利用諸如Pass the Ticket、Pass the Hash、Overpass the Hash等方法在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)以進(jìn)一步控制敏感用戶(hù)的嘗試。

域控制

如果通過(guò)域控制器上的遠(yuǎn)程代碼執(zhí)行以及DC Shadow、惡意域控制器復(fù)制、黃金票證活動(dòng)等方法實(shí)現(xiàn)域控制，則突出顯示攻擊者行為。

調(diào)查警報(bào)和用戶(hù)活動(dòng)

Defender for Identity旨在降低一般警報(bào)噪音，在簡(jiǎn)單的實(shí)時(shí)組織攻擊時(shí)間線(xiàn)中僅提供相關(guān)、重要的安全警報(bào)。Defender for Identity攻擊時(shí)間線(xiàn)視圖使你可以輕松地專(zhuān)注于重要事項(xiàng)，充分利用智能分析。使用Defender for Identity快速調(diào)查威脅并深入了解組織中的用戶(hù)、設(shè)備和網(wǎng)絡(luò)資源。與Microsoft Defender for Endpoint的無(wú)縫集成通過(guò)額外檢測(cè)并抵御操作系統(tǒng)上的高級(jí)持久威脅，增添了另一層增強(qiáng)的安全屏障。

Defender for Identity的其他資源

開(kāi)始使用免費(fèi)試用版

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

在Microsoft技術(shù)社區(qū)中關(guān)注Defender for Identity

https://aka.ms/MDIcommunity

加入Defender for Identity Yammer社區(qū)

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

訪(fǎng)問(wèn)Defender for Identity產(chǎn)品頁(yè)

https://www.microsoft.com/microsoft-365/security/identity-defender

后續(xù)步驟

我們建議分三個(gè)階段部署Defender for Identity：

階段1

設(shè)置Defender for Identity，以保護(hù)主要環(huán)境。利用Defender for Identity的快速部署模型可以立即開(kāi)始保護(hù)組織。安裝Defender for Identity

設(shè)置敏感帳戶(hù)和蜜標(biāo)帳戶(hù)。

審核報(bào)告和橫向移動(dòng)路徑。

階段2

保護(hù)組織中的所有域控制器和林。

監(jiān)視所有警報(bào)-調(diào)查橫向移動(dòng)和域控制警報(bào)。

使用安全警報(bào)指南了解威脅和會(huì)審潛在攻擊。

第3階段

將Defender for Identity警報(bào)集成到SecOp工作流中。