O Microsoft Defender for Identity (anteriormente Azure Advanced Threat Protection, também conhecido como Azure ATP) é uma solução de segurança baseada em nuvem que aproveita seus sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas dirigido à sua organização.

O Defender for Identity permite que analistas de SecOp e profissionais de segurança que lutam para detectar ataques avançados em ambientes híbridos:

• Monitore usuários, comportamento de entidades e atividades com análises baseadas em aprendizagem
• Proteja as identidades e credenciais dos usuários armazenadas no Active Directory
• Identifique e investigue atividades suspeitas de usuários e ataques avançados em toda a cadeia de destruição
• Fornece informações claras sobre o incidente em um cronograma simples para uma triagem rápida

Monitore e crie perfis de comportamento e atividades do usuário

O Defender for Identity monitora e analisa as atividades e informações do usuário em sua rede, como permissões e associação a grupos, criando uma linha de base comportamental para cada usuário. O Defender for Identity então identifica anomalias com inteligência incorporada adaptativa, dando a você insights sobre atividades e eventos suspeitos, revelando as ameaças avançadas, usuários comprometidos e ameaças internas que sua organização enfrenta. Os sensores do Defender for Identity monitoram os controladores de domínio organizacionais, fornecendo uma visão abrangente de todas as atividades do usuário em cada dispositivo.

Proteja as identidades dos usuários e reduza a superfície de ataque

O Defender for Identity fornece insights inestimáveis ​​sobre configurações de identidade e práticas recomendadas de segurança sugeridas. Por meio de relatórios de segurança e análises de perfil de usuário, o Defender for Identity ajuda a reduzir drasticamente a superfície de ataque organizacional, tornando mais difícil comprometer as credenciais do usuário e antecipar um ataque. Os Caminhos de Movimento Lateral Visuais do Defender for Identity ajudam você a entender rapidamente exatamente como um invasor pode se mover lateralmente dentro de sua organização para comprometer contas confidenciais e auxilia na prevenção antecipada desses riscos. Os relatórios de segurança do Defender for Identity ajudam a identificar usuários e dispositivos que se autenticam usando senhas de texto não criptografado e fornecem percepções adicionais para melhorar sua postura e políticas de segurança organizacional.

Protegendo o AD FS em ambientes híbridos

Os Serviços de Federação do Active Directory (AD FS) desempenham um papel importante na infraestrutura de hoje quando se trata de autenticação em ambientes híbridos. O Defender for Identity protege o AD FS em seu ambiente, detectando ataques locais no AD FS e fornecendo visibilidade dos eventos de autenticação gerados pelo AD FS.

Identifique atividades suspeitas e ataques avançados em toda a cadeia de destruição de ataques cibernéticos

Normalmente, os ataques são lançados contra qualquer entidade acessível, como um usuário de baixo privilégio, e depois movem-se rapidamente lateralmente até que o invasor obtenha acesso a ativos valiosos – como contas confidenciais, administradores de domínio e dados altamente confidenciais. O Defender for Identity identifica essas ameaças avançadas na origem em toda a cadeia de destruição de ataques cibernéticos:

Reconhecimento

Identifique usuários desonestos e tentativas de invasores de obter informações. Os invasores estão procurando informações sobre nomes de usuários, membros de grupos de usuários, endereços IP atribuídos a dispositivos, recursos e muito mais, usando uma variedade de métodos.

Credenciais comprometidas

Identifique tentativas de comprometer as credenciais do usuário usando ataques de força bruta, autenticações com falha, alterações na associação do grupo de usuários e outros métodos.

Movimentos laterais

Detectar tentativas de se mover lateralmente dentro da rede para obter maior controle de usuários sensíveis, utilizando métodos como Passar o Tíquete, Passar o Hash, Passar o Hash e muito mais.

Domínio do “domínio”

Destacando o comportamento do invasor se o domínio do domínio for alcançado, por meio da execução remota de código no controlador de domínio e métodos como DC Shadow, replicação do controlador de domínio mal-intencionado, atividades do Golden Ticket e muito mais.

Investigue alertas e atividades do usuário

O Defender for Identity foi projetado para reduzir o ruído de alerta geral, fornecendo apenas alertas de segurança relevantes e importantes em um cronograma de ataque organizacional simples e em tempo real. A visualização da linha do tempo do ataque do Defender for Identity permite que você se concentre facilmente no que é importante, aproveitando a inteligência da análise inteligente. Use o Defender for Identity para investigar ameaças rapidamente e obter percepções em toda a organização para usuários, dispositivos e recursos de rede. A integração perfeita com o Microsoft Defender for Endpoint fornece outra camada de segurança aprimorada por detecção e proteção adicional contra ameaças persistentes avançadas no sistema operacional.

Visite a página do produto Defender for Identity

https://www.microsoft.com/microsoft-365/security/identity-defender

Saiba mais sobre a arquitetura do Defender for Identity

Defender for Identity Architecture