Descrivere Microsoft Defender per identità

  • 4 minuti

Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali provenienti dai server dell'infrastruttura di gestione delle identità locali per rilevare minacce, ad esempio l'escalation dei privilegi o lo spostamento laterale ad alto rischio, e segnala problemi di identità facilmente sfruttati.

A livello generale, il funzionamento di Microsoft Defender per identità è il seguente:

  • Microsoft Defender per identità usa sensori basati su software installati nei server dell'infrastruttura di gestione delle identità locali, ovvero controller di dominio e server che eseguono Active Directory Federated Services e Servizi certificati Active Directory.

  • Il sensore di Defender per identità accede ai registri eventi necessari direttamente dai server. Dopo che i log e il traffico di rete sono stati analizzati dal sensore, Defender per identità invia al servizio cloud. Il servizio cloud Defender per identità usa i dati/segnali ottenuti per fornire una soluzione IDTR (Identity Threat Detection and Response). Microsoft Defender per identità offre ai professionisti della sicurezza che gestiscono ambienti ibridi le funzionalità necessarie per:

    • Prevenire le violazioni, valutando in modo proattivo il la postura di sicurezza delle identità.
    • Rilevare le minacce, usando l'analisi in tempo reale e Data Intelligence.
    • Analizzare le attività sospette, usando informazioni chiare e di utilità pratica sugli eventi imprevisti.
    • Rispondere agli attacchi, usando la risposta automatica alle identità compromesse.

  • La configurazione del servizio e i segnali e le informazioni dettagliate generate dal servizio Microsoft Defender per identità vengono esposte tramite il portale di Microsoft Defender che fornisce ai team di sicurezza un'esperienza unificata per l'analisi e la risposta agli attacchi.

Diagramma di Defender per identità. Il diagramma mostra un controller di dominio e ad AD FS che inviano segnali a Defender per identità. Defender per identità invia e riceve segnali da Microsoft Defender XDR, che riceve segnali da endpoint, Office 365 e app cloud.

Valutare in modo proattivo la postura di sicurezza delle identità

Defender per identità offre una visione chiara della postura di sicurezza delle identità, consentendo di identificare e risolvere i problemi di sicurezza prima che possano essere sfruttati da utenti malintenzionati. Ad esempio, Microsoft Defender per identità monitora continuamente l'ambiente per identificare gli account sensibili con i percorsi di spostamento laterale più rischiosi che espongono un rischio per la sicurezza e segnala questi account per facilitare la gestione dell'ambiente. Le valutazioni della sicurezza di Defender per identità, disponibili in Microsoft Secure Score, offrono informazioni aggiuntive per migliorare la postura e i criteri di sicurezza dell'organizzazione.

Rilevare le minacce, usando l'analisi in tempo reale e Data Intelligence

Defender per identità monitora e analizza le attività e le informazioni degli utenti in tutta la rete, ad esempio le autorizzazioni e l'appartenenza ai gruppi, creando una baseline comportamentale per ogni utente. Identifica quindi le anomalie per mezzo di funzionalità di intelligenza adattiva integrata e offre informazioni dettagliate su attività ed eventi sospetti rivelando gli attacchi avanzati, gli utenti compromessi e le minacce interne all'organizzazione. Defender per identità identifica queste minacce avanzate all'origine e nell'intera kill chain dell'attacco informatico:

  • Ricognizione - Identificare i tentativi di ottenere informazioni eseguiti da utenti non autorizzati e malintenzionati.
  • Credenziali compromesse - Identificare i tentativi di violazione delle credenziali utente attraverso attacchi di forza bruta, autenticazioni non riuscite, modifiche dell'appartenenza ai gruppi di utenti e altri metodi.
  • Movimenti laterali - Rilevare i tentativi di spostamento laterale all'interno della rete per ottenere un ulteriore controllo degli utenti sensibili.
  • Dominanza del dominio: consente di visualizzare il comportamento degli utenti malintenzionati se gli attori delle minacce ottengono il controllo su Active Directory, definito dominanza del dominio, tramite l'esecuzione remota del codice nel controller di dominio o altri metodi.

Analizzare gli avvisi e le attività degli utenti

Defender per identità è progettato in modo da ridurre la frequenza complessiva degli avvisi, visualizzando solo avvisi importanti che riguardano la sicurezza in una semplice sequenza temporale degli attacchi all'organizzazione in tempo reale.

Usare la vista della sequenza temporale degli attacchi e l'analisi intelligente di Defender per identità per restare focalizzati sugli eventi importanti. Ricorrere a Defender per identità anche per analizzare rapidamente le minacce e acquisire informazioni dettagliate a livello di organizzazione per utenti, dispositivi e risorse di rete.

Microsoft Defender per identità protegge quindi le organizzazioni da identità compromesse, minacce avanzate e attività svolte da utenti interni malintenzionati.

Azioni correttive

Microsoft Defender per identità supporta azioni correttive da eseguire direttamente sulle identità locali. Alcuni esempi:

  • Disabilitare l'utente in Active Directory: questo approccio impedirà temporaneamente a un utente di accedere alla rete locale. Ciò consente di impedire agli utenti compromessi di spostarsi lateralmente e provare a esfiltrare i dati o compromettere ulteriormente la rete.

  • Reimpostare la password utente: verrà richiesto all'utente di modificare la password al successivo accesso, in modo da garantire che questo account non possa essere usato per ulteriori tentativi di rappresentazione.

A seconda dei ruoli di Microsoft Entra ID assegnati, è possibile che vengano visualizzate azioni di Microsoft Entra ID aggiuntive, ad esempio richiedere agli utenti di accedere di nuovo e confermare un utente come compromesso.

Microsoft Defender per identità nel portale di Microsoft Defender

Microsoft Defender per identità viene usato tramite il portale di Microsoft Defender. Il portale di Defender è la posizione centrale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft e consente quindi agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione.

Il nodo Identità nel pannello di spostamento sinistro del portale Microsoft Defender include quanto segue:

  • Il dashboard di Microsoft Defender per identità fornisce informazioni dettagliate critiche e dati in tempo reale sul rilevamento e la risposta a minacce alle identità (ITDR).

  • La pagina Problemi di integrità elenca eventuali problemi di integrità correnti per la distribuzione e i sensori di Defender per identità, segnalando eventuali problemi rilevati nella distribuzione di Defender per identità.

  • Nella pagina degli strumenti sono elencate informazioni aggiuntive che consentono di gestire l'ambiente di Microsoft Defender per identità. Gli esempi includono uno script di idoneità che è possibile eseguire per determinare se sono presenti tutti i prerequisiti di Microsoft Defender per identità, un modulo di PowerShell con una raccolta di funzioni progettate per configurare e convalidare l'ambiente per l'uso di Microsoft Defender per identità e altro ancora.

Le impostazioni, le autorizzazioni, gli eventi imprevisti e gli avvisi, i report e altre funzionalità sono disponibili anche tramite il portale di Microsoft Defender. Altre informazioni sono illustrate nell'unità "Descrivere il portale di Microsoft Defender", inclusa in questo modulo.