利用Defender for Identity保护企业身份安全荐

Microsoft Defender for Identity是一个基于云的安全解决方案,利用本地 Active Directory信号识别、检测并调查针对企业内部的高级威胁、身份盗用和恶意内idea怎么读部操作。Defender for Identity之前的名字A企业微信app下载安装zure AforeverTP为微软三大ATP之一,大家应该不陌生。ATP对应的本地部署版本为Advanced Threat Analytics(ATA 已于2021年1ideal月12日结束主流支持。扩展支持将持续到2026年1月。)
Microsoft Defender for Identity体系架构
利用Defender for Identity保护企业身份安全荐
Defender for Identity需要在企业环境中安装传感器,在ATA体系中叫做ATA网idea安装教程关。传感器可以选择ideal直接安装在域控服务器和ADFS服务器上,也可以独立安装安全教育(需要做域控的端口镜像)
传感器会在本地收集相关事件和日志信息,并传输到Defender fforestor Identity门户中,force同时Defender云服务会连接到Microsoft Intelligent Secur企业所得税ity Graph通过机器学习分析安全威胁信号,达到防护、侦测、回应甚至反击的效果,传感器的主要功能如下:

  1. 捕获并检查域控制器网络流量(域控制器的本地流量)
  2. 直接从域控idea制器接收 Windows 事件(需要开启域控的高级审核日志,参考:审核 Windows 事件 8004)。
  3. 从 *** 提供idea接收 RADIUS 记帐itest信息
  4. 从 Active Directory 域检索用户和计算机的数据
  5. 执行用户、组和计算机解析
  6. 将相关数据传输到 Defender fo企业微信app下载安装ritzy Identity 云服务
    管理员通过Denfender门户来监视和响itest应侦测到的可疑活动,针对identification安全事件来进行调查取证。
    通过***时间线,我们可以很容易的快速识别出威胁事件,深入了解可疑idea怎么读企业信息网动的详细过程。
    利用Defender for Identity保护企业身份安全荐
    Defender for identity时间线

下面我们将通过一次内网的oideaverpass-the-hash***的事件来介绍下Deforeignfender fitunes是什么意思or identity如何来监视安全威胁事件的。

  1. **安全教育*通过钓鱼等手段获取了企业内网用户权限和计算机,偷偷潜入开始侦查Domain情况,首先获取域用户和Doit是什么意思呢main Admin名单。
  2. 得知了管理员用户后,继续SMB会话枚举,收集管理员和用户的登录位置,为后续横向移动做准备。
    利用Defender for Identity保护企业身份安全荐
  3. 接下来,抓取本地内存中的用户italy信息,成功收集到了内存中管理员的NTML Hash。
    利用Defender for Identity保护企业身份安全荐
  4. 接下来,利用NTLM Hash来获取Domain Admins权限,把当前的Users用户添加为了Domain Admins。那么,***的这一次获权的***就成功完成。
    利用Defender for Identity保护企业身份安全荐
    利用Defender for Identity保护企业身份安全荐

那么这样一系列的***过程,Defender for Identity是如何来侦查的呢?我们回到Defender Portal,查看时间线,发现刚才的***行为已经产生了警报。如下图中的SMB侦测和overpass-the-hase***。
利用Defender for Identity保护企业身份安全荐
从上图内容,我们发现了azure这idea安装教程个可疑用户,那么可以通过用户行为的时间线来分析***的动作,包括刚才执行的SMB枚举等动作。
利用Defender for Identity保护企业身份安全荐

我们再看看SCCM这台***发起的计算机时间线,这里可以看出sccmadmin这个用户的hash已经泄漏。
利用Defender for Identity保护企业身份安全荐
同时,Defender for identity也会标记出登录用户中的可疑用户。
利用Defender for Identity保护企业身份安全荐
在警报控制台中我们还可以ideal看到sccmadmin在sccm这台计算机中遭到泄露,并利用可疑的kerberos协议在DC进行了身份验证。
利用Defender for Identity保护企业身份安全荐

大多数安全工具无法检测何时使用合法凭据来访问合法资源。尤其在后续还会进行的***链过程,看起来都是合法的访问请求。Defender for Identititemsy可以检测***者使用盗用票证访问的确切资源,提供关键信安全教育平台登录入口息和证据,以确定开始调查的确切位置以及要force采取的补救措施。Defender for Identity 检测和警报信息对信息安全团队都具有重要意义。 不仅可以发现凭据被盗,还可以了解***者使用盗用票证访问和***的资源。