Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender for Identity hilft Organisationen, identitätsbasierte Angriffe in lokalen, Cloud- und Hybridumgebungen zu erkennen, zu untersuchen und darauf zu reagieren. Angreifer zielen häufig auf Identitäten wie Benutzer, Anwendungen und Dienstkonten ab, um Zugriff zu erhalten, Berechtigungen zu eskalieren und Persistenz aufrechtzuerhalten.
Defender for Identity überwacht Identitätssignale von lokales Active Directory und Microsoft Entra ID, anderen IAM-Lösungen (z. B. Okta). Es analysiert diese Signale mithilfe von Verhaltensanalysen, Threat Intelligence und bekannten Angriffsmustern, um verdächtige Aktivitäten über den gesamten Lebenszyklus von Identitätsangriffen zu erkennen. Warnungen umfassen den Untersuchungskontext im Microsoft Defender-Portal, der Sicherheitsteams hilft, zu verstehen, was passiert ist, warum es wichtig ist und wie sie reagieren müssen.
Identitätssicherheit
Microsoft Defender for Identity ist eine Kernkomponente von Microsoft Identity Security. Identity Security konzentriert sich auf den Schutz von Identitäten, indem sie Einblicke in die Identitätsabdeckung und den Status bietet, identitätsbasierte Bedrohungen erkennt und Untersuchung und Reaktion über Identitätssysteme, Anwendungen und Infrastruktur hinweg ermöglicht.
Defender for Identity streamt Identitätssignale in das Microsoft Defender-Portal, wo sie mit Daten von Endpunkten, E-Mails, SaaS-Anwendungen, Cloudworkloads und anderen Sicherheitsquellen korreliert werden. Diese Korrelation hilft Sicherheitsteams, anomales Verhalten zu identifizieren, Angreiferbewegungen nachzuverfolgen und durch einheitliche Vorfälle zu reagieren, die den gesamten Umfang eines Angriffs und nicht isolierte Warnungen widerspiegeln.
Defender for Identity-Funktionen
Defender for Identity bietet eine moderne Lösung zur Erkennung von Identitätsrisiken mit:
- Proaktive Bewertungen des Identitätssicherheitsstatus
- Bedrohungserkennung in Echtzeit mithilfe von Analysen und Verhaltensintelligenz
- Untersuchung verdächtiger Aktivitäten mit klarem, umsetzbarem Incidentkontext
- Korrekturaktionen für kompromittierte Identitäten
Verhindern von Sicherheitsverletzungen mit proaktiven Identitätssicherheitsbewertungen
Defender for Identity hilft Organisationen dabei, ihre Angriffsfläche für Identitätsangriffe proaktiv zu reduzieren. Es bewertet Identitätskonfigurationen und hebt Sicherheitsschwächen hervor, die Angreifer häufig ausnutzen, sodass Teams Risiken angehen können, bevor sie missbraucht werden.
Zu den wichtigsten Funktionen für den Status gehören:
- Identitätssicherheitsstatusbewertungen, die über die Microsoft-Sicherheitsbewertung verfügbar sind
- Identifizierung riskanter Konfigurationen und Expositionen
- Analyse von Lateral Movement-Pfaden, die aufdecken, wie ein Angreifer die Umgebung durchqueren kann
Diese Erkenntnisse helfen Organisationen dabei, die Identitätsresilienz zu stärken und die Wahrscheinlichkeit einer erfolgreichen Kompromittierung zu verringern.
Erkennen identitätsbasierter Bedrohungen
Defender for Identity wurde entwickelt, um Bedrohungen zu erkennen, die speziell auf Identitäten abzielen, einschließlich menschlicher und nicht umaner Identitäten wie Dienstkonten, Synchronisierungskonten und Anwendungen. Die Erkennung basiert auf Verhaltensanalysen und Signalkorrelationen anstelle einzelner Ereignisse.
Defender for Identity überwacht und analysiert Identitätsaktivitäten, z. B.:
- Authentifizierungs- und Autorisierungsverhalten
- Missbrauch von Anmeldeinformationen und riskante Anmeldungen
- Rechteausweitung und verdächtige Änderungen an Rollen- oder Gruppenmitgliedschaften
- Lateral Movement-Versuche innerhalb der Umgebung
- Ungewöhnliches Verhalten im Zusammenhang mit Dienstkonten und anderen nicht menschlichen Identitäten
Die folgende Tabelle zeigt, wie Defender for Identity-Erkennungen an den wichtigsten Phasen eines identitätsbasierten Angriffs ausgerichtet sind:
| Angriffsphase | Defender for Identity-Erkennungen |
|---|---|
| Reconnaissance | Identifiziert verdächtige Ermittlungsaktivitäten, z. B. Versuche, Benutzernamen, Gruppenmitgliedschaften, IP-Adressen und Ressourcen aufzulisten. |
| Kompromittierte Anmeldeinformationen | Erkennt Versuche, Anmeldeinformationen mithilfe von Techniken wie Brute-Force, wiederholten fehlgeschlagenen Authentifizierungen und verdächtigen Änderungen an der Benutzergruppenmitgliedschaft zu kompromittieren. |
| Laterale Bewegung | Erkennt Versuche, seitlich zu verschieben und die Kontrolle über vertrauliche Identitäten und über verschiedene Umgebungen hinweg zu erweitern. |
| AD-Domänendominanz | Hebt das Verhalten im Zusammenhang mit einer vollständigen Domänengefährdung hervor, z. B. Remotecodeausführung auf Domänencontrollern, DCShadow, böswillige Domänencontrollerreplikation und Golden Ticket-Aktivität. |
Angreifer beginnen häufig mit jeder zugänglichen Identität und bewegen sich dann seitlich zu hochwertigen Zielen wie privilegierten Konten wie Domänenadministratoren, globalen Administratoren, Anwendungsadministratoren und vertraulichen Daten. Defender for Identity hilft dabei, diese Verhaltensweisen frühzeitig zu identifizieren, indem Verhaltensprofile für Benutzer, Geräte und Konten erstellt und Abweichungen erkannt werden, die auf Angreiferaktivitäten hinweisen.
Untersuchen von Identitätsbedrohungen
Defender for Identity generiert Warnungen, die mit Kontext wie betroffenen Identitäten, verwandten Aktivitäten und Angreifertechniken angereichert sind. Analysten können diesen Kontext verwenden, um verdächtiges Verhalten zu überprüfen und zu verstehen, was passiert ist.
Defender for Identity unterstützt auch Workflows zur Identitätsuntersuchung und -suche. Identitätsentitäten und Authentifizierungsaktivitäten sind im Microsoft Defender-Portal verfügbar, sodass Sicherheitsteams Aktivitätsmuster untersuchen und nach zusätzlichen identitätsbasierten Bedrohungen für Cloud-, lokale und Hybridbenutzer suchen können.
Reagieren auf identitätsbasierte Angriffe
Defender for Identity unterstützt Die Antwort wie folgt:
- Korrelieren von Identitätswarnungen mit einheitlichen Vorfällen in Microsoft Defender
- Bereitstellen des Identitätskontexts (Benutzer, Konten, Rollen und Lateral Movement-Indikatoren) zum Festlegen von Auswirkungen und Priorisieren von Aktionen
- Aktivieren von Korrekturaktionen im Microsoft Defender-Portal für betroffene Identitäten und verwandte Entitäten
Microsoft Defender Portal
Das Microsoft Defender-Portal bietet eine einheitliche Oberfläche für die Überwachung, Untersuchung und Reaktion auf Identitätsbedrohungen. Über das Portal können Sicherheitsteams:
- Anzeigen von identitätsbasierten Warnungen und korrelierten Vorfällen
- Untersuchen von Benutzern, Geräten und Identitätsbeziehungen
- Nachverfolgen von Identitätssicherheitsstatus und Korrekturempfehlungen
- Ausführen von Antwortaktionen für kompromittierte Identitäten
Defender for Identity unterstützt Sicherheitsteams dabei, das Verhalten von Angreifern zu verstehen, Risiken zu priorisieren und Maßnahmen zu ergreifen, um identitätsbasierte Angriffe in den organization zu unterbrechen.
Architekturübersicht
Microsoft Defender for Identity verwendet einfache Sensoren, API-Connectors und einen cloudbasierten Analysedienst, der im Microsoft Defender-Portal verwaltet wird.
Sensoren werden in Ihrer Identitätsinfrastruktur ausgeführt und erfassen und analysieren lokal relevanten Netzwerkdatenverkehr und Windows-Ereignisse. API-Connectors integrieren externe IAM-Systeme (Identity and Access Management), um einen umfassenden Identitätsschutz bereitzustellen.
Nur die erforderlichen Signale werden an den Defender for Identity-Clouddienst gesendet, wodurch die Auswirkungen auf die Leistung minimiert und komplexe Netzwerkänderungen vermieden werden.
Der Clouddienst analysiert Identitätssignale und integriert sie in andere Microsoft Defender Workloads, wodurch Identitätsintelligenz zu korrelierten Warnungen und Vorfällen in Microsoft Defender XDR beiträgt.