Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per identità consente alle organizzazioni di rilevare, analizzare e rispondere agli attacchi basati sulle identità in ambienti locali, cloud e ibridi. Gli utenti malintenzionati hanno spesso come destinazione identità come utenti, applicazioni e account del servizio per ottenere l'accesso, inoltrare i privilegi e mantenere la persistenza.
Defender per identità monitora i segnali di identità provenienti da Active Directory locale e Microsoft Entra ID, altre soluzioni IAM ,ad esempio Okta. Analizza questi segnali usando l'analisi comportamentale, l'intelligence sulle minacce e i modelli di attacco noti per rilevare attività sospette durante l'intero ciclo di vita degli attacchi di identità. Gli avvisi includono il contesto di indagine nel portale di Microsoft Defender, consentendo ai team di sicurezza di comprendere cosa è successo, perché è importante e come rispondere.
Sicurezza delle identità
Microsoft Defender per identità è un componente principale di Microsoft Identity Security. Identity Security è incentrato sulla protezione delle identità fornendo visibilità sulla copertura e il comportamento delle identità, rilevando le minacce basate sull'identità e abilitando indagini e risposte tra sistemi di identità, applicazioni e infrastruttura.
Defender per identità trasmette i segnali di identità nel portale di Microsoft Defender, in cui sono correlati ai dati provenienti da endpoint, posta elettronica, applicazioni SaaS, carichi di lavoro cloud e altre origini di sicurezza. Questa correlazione consente ai team di sicurezza di identificare comportamenti anomali, tenere traccia dello spostamento degli utenti malintenzionati e rispondere tramite eventi imprevisti unificati che riflettono l'intero ambito di un attacco anziché avvisi isolati.
Funzionalità di Defender per identità
Defender per identità offre una soluzione moderna di rilevamento delle minacce per le identità con:
- Valutazioni proattive del comportamento di sicurezza delle identità
- Rilevamento delle minacce in tempo reale tramite l'analisi e l'intelligence comportamentale
- Indagine di attività sospette con contesto di evento imprevisto chiaro e interattivo
- Azioni di correzione per identità compromesse
Evitare violazioni con valutazioni proattive del comportamento di sicurezza delle identità
Defender per identità consente alle organizzazioni di ridurre in modo proattivo la superficie di attacco delle identità. Valuta le configurazioni delle identità ed evidenzia i punti deboli della sicurezza che gli utenti malintenzionati sfruttano comunemente, consentendo ai team di affrontare i rischi prima che vengano abusati.
Le principali funzionalità di postura includono:
- Valutazioni del comportamento di sicurezza delle identità disponibili tramite Microsoft Secure Score
- Identificazione di configurazioni ed esposizioni rischiose
- Analisi dei percorsi di spostamento laterale che rivelano come un utente malintenzionato potrebbe attraversare l'ambiente
Queste informazioni dettagliate consentono alle organizzazioni di rafforzare la resilienza delle identità e ridurre la probabilità di compromissione.
Rilevare le minacce basate sull'identità
Defender per identità è progettato per rilevare minacce destinate in modo specifico alle identità, incluse le identità umane e non, ad esempio account di servizio, account di sincronizzazione e applicazioni. Il rilevamento si basa sull'analisi comportamentale e sulla correlazione del segnale anziché su singoli eventi.
Defender per identità monitora e analizza le attività di identità, ad esempio:
- Comportamento di autenticazione e autorizzazione
- Uso improprio delle credenziali e accessi rischiosi
- Escalation dei privilegi e modifiche sospette all'appartenenza a ruoli o gruppi
- Tentativi di spostamento laterale all'interno dell'ambiente
- Comportamento anomalo correlato agli account del servizio e ad altre identità non umane
Nella tabella seguente viene illustrato l'allineamento dei rilevamenti di Defender per identità alle fasi chiave di un attacco basato su identità:
| Fase di attacco | Rilevamento di Defender per identità |
|---|---|
| Ricognizione | Identifica attività di individuazione sospette, ad esempio tentativi di enumerare nomi utente, appartenenza a gruppi, indirizzi IP e risorse. |
| Credenziali compromesse | Rileva i tentativi di compromissione delle credenziali usando tecniche come la forza bruta, le autenticazioni ripetute non riuscite e le modifiche sospette all'appartenenza ai gruppi di utenti. |
| Movimento laterale | Rileva i tentativi di spostamento lateralmente ed espandere il controllo delle identità sensibili e in ambienti diversi. |
| Dominanza del dominio di Active Directory | Evidenzia il comportamento associato alla compromissione completa del dominio, ad esempio l'esecuzione di codice remoto nei controller di dominio, DCShadow, la replica di controller di dominio dannoso e l'attività Golden Ticket. |
Gli utenti malintenzionati spesso iniziano con qualsiasi identità accessibile e quindi si spostano lateralmente verso destinazioni di valore elevato, ad esempio account con privilegi, ad esempio amministratori di dominio, amministratori globali, amministratori di applicazioni e dati sensibili. Defender per identità consente di identificare questi comportamenti in anticipo creando profili comportamentali per utenti, dispositivi e account e rilevando deviazioni che indicano attività degli utenti malintenzionati.
Analizzare le minacce all'identità
Defender per identità genera avvisi arricchiti con contesto, ad esempio identità interessate, attività correlate e tecniche di attacco. Gli analisti possono usare questo contesto per convalidare comportamenti sospetti e comprendere cosa è successo.
Defender per identità supporta anche i flussi di lavoro di analisi e ricerca delle identità. Le entità di identità e l'attività di autenticazione sono disponibili all'interno del portale di Microsoft Defender, consentendo ai team di sicurezza di analizzare i modelli di attività e cercare altre minacce basate sull'identità tra utenti cloud, locali e ibridi.
Rispondere agli attacchi basati sull'identità
Defender per identità supporta la risposta tramite:
- Correlazione degli avvisi di identità in eventi imprevisti unificati in Microsoft Defender
- Fornire il contesto di identità (utenti, account, ruoli e indicatori di spostamento laterale) per definire l'ambito dell'impatto e assegnare priorità alle azioni
- Abilitazione delle azioni di correzione nel portale di Microsoft Defender per le identità interessate e le entità correlate
esperienza del portale di Microsoft Defender
Il portale Microsoft Defender offre un'esperienza unificata per il monitoraggio, l'analisi e la risposta alle minacce all'identità. Dal portale i team di sicurezza possono:
- Visualizzare gli avvisi basati sull'identità e gli eventi imprevisti correlati
- Analizzare utenti, dispositivi e relazioni di identità
- Tenere traccia del comportamento di sicurezza delle identità e delle raccomandazioni per la correzione
- Eseguire azioni di risposta sulle identità compromesse
Contribuendo a un contesto di identità completo in eventi imprevisti unificati, Defender per identità consente ai team di sicurezza di comprendere il comportamento degli utenti malintenzionati, assegnare priorità ai rischi e intervenire per interrompere gli attacchi basati su identità nell'organizzazione.
Panoramica dell'architettura
Microsoft Defender per identità usa sensori leggeri, connettori API e un servizio di analisi basato sul cloud gestito nel portale di Microsoft Defender.
I sensori vengono eseguiti nell'infrastruttura di identità, acquisendo e analizzando il traffico di rete pertinente e gli eventi di Windows in locale. I connettori API integrano sistemi IAM (Identity and Access Management) esterni per offrire una protezione completa delle identità.
Solo i segnali necessari vengono inviati al servizio cloud Defender per identità, riducendo al minimo l'impatto sulle prestazioni ed evitando complesse modifiche alla rete.
Il servizio cloud analizza i segnali di identità e li integra con altri carichi di lavoro Microsoft Defender, contribuendo all'intelligence sulle identità per gli avvisi correlati e gli eventi imprevisti in Microsoft Defender XDR.