Como o Microsoft Defender for Identity pode ajudar a sua organização a se defender de ataques avançados

Marcio Dearo

O Microsoft Defender for Identity é uma solução de segurança da Microsoft que protege as identidades dos usuários e as credenciais armazenadas no Active Directory, detectando e investigando ameaças avançadas, identidades comprometidas e ações maliciosas dentro da sua organização. Neste artigo, vamos explicar o que é o Defender for Identity, como ele funciona e quais são os seus benefícios.

O que é o Microsoft Defender for Identity?

O Microsoft Defender for Identity (anteriormente conhecido como Azure ATP ou Proteção Avançada contra Ameaças do Azure) é uma solução de segurança baseada em nuvem que aproveita os sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas dirigidas à sua organização.

O Defender for Identity monitora e analisa as atividades dos usuários e as informações na sua rede, como permissões e associação de grupo, criando uma linha de base comportamental para cada usuário. Depois, o Defender for Identity identifica anomalias com inteligência interna adaptável, fornecendo insights sobre atividades e eventos suspeitos, revelando as ameaças avançadas, os usuários comprometidos e as ameaças internas voltadas para a sua organização.

Como o Microsoft Defender for Identity funciona?

O Microsoft Defender for Identity usa sensores proprietários que monitoram os controladores de domínio da organização, oferecendo uma visão abrangente de todas as atividades dos usuários de todos os dispositivos. Os sensores capturam os dados do tráfego de rede e os enviam para a instância do Defender for Identity na nuvem, onde são analisados por algoritmos de machine learning e comparados com perfis comportamentais e padrões de ataque conhecidos. O Defender for Identity gera alertas quando detecta atividades suspeitas ou maliciosas, como movimentação lateral, pass-the-hash, pass-the-ticket, ataques de brute force, entre outros. Os alertas são apresentados em um portal intuitivo que mostra uma linha do tempo simples dos incidentes, com informações claras sobre o ator, a vítima, o método e o impacto do ataque. O portal também permite aos analistas de segurança investigarem os alertas com mais profundidade, visualizando os detalhes das entidades envolvidas, os caminhos de movimentação lateral possíveis e as evidências forenses. Além disso, o Defender for Identity se integra com outras soluções de segurança da Microsoft, como o Microsoft 365 Defender, o Microsoft Defender for Endpoint e o Microsoft Sentinel, para fornecer uma visão holística e unificada da segurança da sua organização.

Quais são os benefícios do Microsoft Defender for Identity?

O Defender for Identity oferece vários benefícios para a sua organização, tais como:

Proteger as identidades dos usuários e reduzir a superfície de ataque: O Defender for Identity fornece insights valiosos sobre as configurações de identidade e as melhores práticas de segurança sugeridas. Por meio de relatórios de segurança e análise de perfil do usuário, ajuda a reduzir significativamente a superfície de ataque da sua organização, dificultando o comprometimento das credenciais dos usuários e o avanço de um ataque. Ele também ajuda a prevenir os riscos de movimentação lateral antecipadamente, mostrando como um invasor pode se mover lateralmente dentro da sua organização para comprometer contas sensíveis.

Identificar e investigar ameaças avançadas em toda a cadeia do ataque cibernético: O Defender for Identity permite aos analistas de segurança identificar e investigar atividades suspeitas e ataques avançados em toda a cadeia do ataque cibernético, desde a exploração inicial até a persistência, o privilégio escalonamento e a “exfiltração” de dados usando inteligência artificial e machine learning para detectar anomalias comportamentais e padrões de ataque conhecidos, fornecendo alertas acionáveis com contexto relevante e evidências forenses. O Defender for Identity também facilita a triagem e a resposta aos incidentes, apresentando uma linha do tempo simples dos incidentes, com informações claras sobre o ator, a vítima, o método e o impacto do ataque.

Proteger os AD FS em ambientes híbridos: O Defender for Identity também protege os Serviços de Federação do Active Directory (AD FS) em ambientes híbridos, monitorando e analisando as solicitações de autenticação federada entre o Active Directory local e o Azure Active Directory. Ele detecta e alerta sobre ataques que visam os AD FS, como ataques de retransmissão, ataques de token de segurança roubado e ataques de token de segurança falsificado. O Defender for Identity também ajuda a proteger os usuários que acessam recursos na nuvem, como o Microsoft 365, usando as credenciais do Active Directory local.

Conclusão

O produto é excelente para monitorar e analisar as atividades dos usuários e as informações na sua rede, identificando anomalias com inteligência interna adaptável, gerando alertas acionáveis com contexto relevante e evidências forenses, e se integrando com outras soluções de segurança da Microsoft fornecendo uma visão holística e unificada da postura de segurança da sua organização. Se você quer saber mais sobre o Microsoft Defender for Identity, entre em contato conosco da Wtsnet, uma empresa especializada em soluções Microsoft.