探索 Microsoft Defender for Identity
Microsoft Defender for Identity(以前称为 Azure 高级威胁防护,又称 Azure ATP)是一种基于云的安全解决方案。 Defender for Identity 使用本地 Active Directory 信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。 Defender for Identity 可以使 SecOp 分析员和安全专业人员能够在混合环境中检测高级攻击,以便:
- 使用基于学习的分析监视用户、实体行为和活动
- 保护存储在 Active Directory 中的用户标识和凭据
- 识别并调查整个杀伤链中的可疑用户活动和高级攻击
- 提供关于简单时间线的明确事件信息,以进行快速会审
Defender for Identity 的进程流
Defender for Identity 包含以下组件:
Defender for Identity 门户 - Defender for Identity 门户允许创建 Defender for Identity 实例,显示从 Defender for Identity 传感器接收的数据,并使你能够监视、管理和调查网络环境中的威胁。
Defender for Identity 传感器 - Defender for Identity 传感器可以直接安装在以下服务器上:
- 域控制器:传感器直接监控域控制器流量,无需专用服务器或端口镜像配置。
- Active Directory 联合身份验证服务 (AD FS):传感器直接监视网络流量和身份验证事件。
Defender for Identity 云服务 - Defender for Identity 云服务在 Azure 基础结构上运行,当前部署在美国、欧洲和亚洲。 Defender for Identity 云服务已连接到 Microsoft 的 Intelligent Security Graph。