使用 Defender for Identity 零信任
零信任是用于设计和实现以下安全原则集的安全策略:
| 显式验证 | 使用最小特权 | 假定漏洞 |
|---|---|---|
| 始终根据所有可用的数据点进行身份验证和授权。 | 使用实时访问和恰时访问限制用户访问权限, (JIT/JEA) 、基于风险的自适应策略和数据保护。 | 最小化爆炸半径和段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。 |
Defender for Identity 是零信任策略和 XDR 部署的主要组件,Microsoft Defender XDR。 Defender for Identity 使用 Active Directory 信号来检测突然的帐户更改(如特权提升或高风险横向移动),并报告容易被利用的标识问题(如不受约束的 Kerberos 委派),以供安全团队更正。
监视零信任
监视零信任时,请确保查看并缓解来自 Defender for Identity 的未结警报以及其他安全操作。 你可能还希望使用 Microsoft Defender XDR 中的高级搜寻查询来查找跨标识、设备和云应用的威胁。
例如,可以使用高级搜寻来发现攻击者的 横向移动路径,然后查看其他检测中是否涉及相同的标识。
提示
使用 Microsoft Defender XDR、云原生安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案将警报引入Microsoft Sentinel,为安全运营中心 (SOC) 提供单一管理平台,用于监视整个企业的安全事件。
后续步骤
详细了解零信任以及如何使用 零信任 指导中心构建企业级策略和体系结构。
有关更多信息,请参阅: