Microsoft Defender for Identity(以前稱為Azure高級威脅防護��,也稱為Azure ATP)是一個基于云的安全解決方案���,可利用本地Active Directory信號識別、檢測并調(diào)查針對組織的高級威脅��、身份盜用和惡意內(nèi)部操作����。
Microsoft Defender for Identity(以前稱為Azure高級威脅防護����,也稱為Azure ATP)是一個基于云的安全解決方案,可利用本地Active Directory信號識別���、檢測并調(diào)查針對組織的高級威脅����、身份盜用和惡意內(nèi)部操作。
Defender for Identity可以使SecOp分析員和安全專業(yè)人員能夠在混合環(huán)境中檢測高級攻擊�,以便:
·使用基于學(xué)習(xí)的分析監(jiān)視用戶、實體行為和活動
·保護存儲在Active Directory中的用戶標(biāo)識和憑據(jù)
·識別并調(diào)查整個殺傷鏈中的可疑用戶活動和高級攻擊
·提供關(guān)于簡單時間線的明確事件信息�����,以進行快速會審
監(jiān)視和配置用戶行為和活動
Defender for Identity監(jiān)視并分析網(wǎng)絡(luò)中的用戶活動和信息(例如權(quán)限和組成員身份)���,為每個用戶創(chuàng)建行為基線�����。然后�����,Defender for Identity通過自適應(yīng)內(nèi)置智能識別異常情況��,讓你深入了解可疑活動和事件��、揭示組織面臨的高級威脅�、用戶侵害和內(nèi)部威脅����。Defender for Identity的專有傳感器監(jiān)視組織域控制器���,提供每個設(shè)備中所有用戶活動的全面視圖。
保護用戶標(biāo)識并減少攻擊面
Defender for Identity提供有關(guān)標(biāo)識配置和建議的安全最佳做法的寶貴見解��。通過安全報告和用戶配置文件分析�����,Defender for Identity可以顯著減少組織攻擊面����,使入侵用戶憑據(jù)和推進攻擊更加艱難。Defender for Identity的可視橫向移動路徑有助于快速準(zhǔn)確地了解攻擊者如何在組織內(nèi)橫向移動以入侵敏感帳戶并協(xié)助提前預(yù)防這些風(fēng)險��。Defender for Identity安全報告有助于識別使用明文密碼進行身份驗證的用戶和設(shè)備��,并提供其他見解以改善組織安全狀況和策略����。
識別網(wǎng)絡(luò)攻擊殺傷鏈中的可疑活動和高級攻擊
通常情況下��,會針對任何可訪問實體(例如低權(quán)限用戶)發(fā)起攻擊��,然后快速橫向移動��,直到攻擊者獲得對有價值資產(chǎn)(如敏感帳戶、域管理員和高度敏感數(shù)據(jù))的訪問權(quán)限�����。Defender for Identity能在整個網(wǎng)絡(luò)攻擊殺傷鏈中從源頭識別這些高級威脅:
偵測
發(fā)現(xiàn)未授權(quán)用戶和攻擊者獲取信息的企圖�����。攻擊者使用各種方法搜索用戶名�、用戶的組成員身份、分配給設(shè)備的IP地址���、資源等信息���。
泄露的憑據(jù)
識別使用暴力攻擊、失敗的身份驗證��、用戶組成員身份更改以及其他方法來入侵用戶憑據(jù)的嘗試�����。
橫向移動
檢測利用諸如Pass the Ticket����、Pass the Hash�����、Overpass the Hash等方法在網(wǎng)絡(luò)內(nèi)橫向移動以進一步控制敏感用戶的嘗試���。
域控制
如果通過域控制器上的遠程代碼執(zhí)行以及DC Shadow、惡意域控制器復(fù)制��、黃金票證活動等方法實現(xiàn)域控制�����,則突出顯示攻擊者行為�����。
調(diào)查警報和用戶活動
Defender for Identity旨在降低一般警報噪音�,在簡單的實時組織攻擊時間線中僅提供相關(guān)、重要的安全警報�。Defender for Identity攻擊時間線視圖使你可以輕松地專注于重要事項���,充分利用智能分析����。使用Defender for Identity快速調(diào)查威脅并深入了解組織中的用戶、設(shè)備和網(wǎng)絡(luò)資源�。與Microsoft Defender for Endpoint的無縫集成通過額外檢測并抵御操作系統(tǒng)上的高級持久威脅,增添了另一層增強的安全屏障����。
Defender for Identity的其他資源
開始使用免費試用版
https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1
在Microsoft技術(shù)社區(qū)中關(guān)注Defender for Identity
https://aka.ms/MDIcommunity
加入Defender for Identity Yammer社區(qū)
https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893
訪問Defender for Identity產(chǎn)品頁
https://www.microsoft.com/microsoft-365/security/identity-defender
后續(xù)步驟
我們建議分三個階段部署Defender for Identity:
階段1
設(shè)置Defender for Identity,以保護主要環(huán)境���。利用Defender for Identity的快速部署模型可以立即開始保護組織�。安裝Defender for Identity
設(shè)置敏感帳戶和蜜標(biāo)帳戶��。
審核報告和橫向移動路徑�����。
階段2
保護組織中的所有域控制器和林�����。
監(jiān)視所有警報-調(diào)查橫向移動和域控制警報�����。
使用安全警報指南了解威脅和會審潛在攻擊。
第3階段
將Defender for Identity警報集成到SecOp工作流中����。
立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Microsoft Azure��,本站不擁有所有權(quán)���,不承擔(dān)相關(guān)法律責(zé)任���。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持���。如有侵權(quán)�,請聯(lián)系管理員(zzx@kchuhai.com)刪除�����!
閩公網(wǎng)安備 35010202001226號
