O Microsoft Defender for Identity anteriormente conhecido como Azure Advanced Threat Protection ou Azure ATP é uma solução de segurança na nuvem oferecida pela Microsoft, projectada especificamente para ajudar as empresas a detectar, investigar e responder a ameaças avançadas, actividades maliciosas e comportamentos suspeitos que ocorrem em sua rede, particularmente dentro de ambientes Active Directory (AD). Foi projectado para proteger as identidades e credenciais de uma organização, detectando actividades suspeitas e maliciosas no ambiente do Active Directory. Ele oferece uma combinação de monitoramento em tempo real, análise de perfil e aprendizado de máquina para identificar potenciais ameaças.
Características do Microsoft Defender for Identity:
- Detecção de Ameaças Avançadas: Utiliza algoritmos sofisticados e aprendizado de máquina para identificar comportamentos suspeitos ou actividades anômalas relacionadas a potenciais ameaças no ambiente AD.
- Visibilidade da Actividade do Usuário: Monitora e analisa as actividades dos usuários, proporcionando uma visão clara de actividades potencialmente prejudiciais, como tentativas de movimento lateral na rede, ataques de escalonamento de privilégios, entre outros.
- Perfil de Entidade: Cria perfis de comportamento para usuários e entidades, tornando mais fácil identificar actividades que desviam da norma.
- Resposta a Incidentes: Fornece ferramentas e insights para investigar incidentes, entender o escopo de uma brecha e responder adequadamente.
Como Funciona:
O Sensores são instalados em controladores de domínio. Eles monitoram o tráfego, capturando e analisando as autenticações, as identidades e as actividades dos usuários.
Sensores de Controladores de Domínio, são implementados diretamente em controladores de domínio e monitoram o tráfego de rede, capturando e analisando autenticações, actividades e identidades dos usuários. Eles monitoram o tráfego LDAP (para leitura de actividades e grupos de domínio) e os protocolos de autenticação Kerberos e NTLM.
No seu Serviço de Nuvem, os dados coletados pelos sensores são enviados para um serviço na nuvem do Microsoft Defender for Identity, que processa e analisa esses dados para detectar actividades suspeitas.
Tipos de Ameaças Detectadas:
O Defender for Identity é projectado para identificar vários tipos de actividades maliciosas e técnicas de ataque, incluindo, mas não se limitando a:
- Ataques de pass-the-ticket (PTT) ou pass-the-hash (PTH).
- Reconhecimento de domínio.
- Ataques de força bruta.
- Movimentos Laterais.
- Comprometimento de Identidades e credenciais.
- Actividades maliciosas relacionadas a grupos do active directory.
Quanto a Integração e Licenciamento, o Microsoft Defender for Identity pode ser integrado com outras soluções de segurança da Microsoft, como o Microsoft Defender for Endpoint, para proporcionar uma visão holística das ameaças em diferentes pontos da rede. Para acessar e utilizar o Microsoft Defender for Identity, é necessário uma licença apropriada, geralmente incluída em certos pacotes empresariais da Microsoft.
Resumindo, o Microsoft Defender for Identity é uma camada crucial de defesa para organizações que buscam proteger suas identidades e recursos de ameaças internas e externas.
Deixe o seu comentário e até ao próximo artigo!