Gebruik Microsoft Defender vir identiteit om gevorderde aanvalle op te spoor

Gebruik Microsoft Defender vir identiteit om gevorderde aanvalle op te spoor

14/07/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die gebruik van Microsoft Defender for Identity (MDI), 'n wolk-gebaseerde sekuriteitsoplossing wat Active Directory-seine op die perseel benut om gevorderde bedreigings en gekompromitteerde identiteite te identifiseer, op te spoor en te ondersoek. MDI is 'n integrale deel van die Microsoft 365 Defender-suite, wat kritiese sigbaarheid in verdagte aktiwiteite in die identiteitsomgewing bied [1].

Inleiding

Identiteite is die nuwe sekuriteitsomtrek. Moderne kuberaanvalle het dikwels ten doel om gebruikers- en administrateur-geloofsbriewe te kompromitteer om bevoorregte toegang te verkry, laterale bewegings uit te voer en data te eksfiltreer. Tradisionele netwerksekuriteitsoplossings is dikwels nie genoeg om hierdie gesofistikeerde taktiek op te spoor nie. Microsoft Defender for Identity vul hierdie gaping deur domeinbeheerders se netwerkverkeer en gebeurtenislogboeke te monitor om abnormale gedrag te identifiseer wat identiteitsaanvalle aandui, soos Pass-the-Hash, Pass-the-Ticket, netwerkverkenning en voorregte-eskalasie [2].

Hierdie praktiese gids sal die opstelling en gebruik van MDI dek, van die ontplooiing van sensors tot die ontleding van waarskuwings en die ondersoek van voorvalle. Stap-vir-stap instruksies, voorbeeldbespeurings en valideringsmetodes sal verskaf word sodat lesers die beskerming van hul identiteite kan implementeer en versterk, risikoblootstelling verminder en reaksie op gevorderde bedreigings in hul Microsoft-omgewing verbeter.

Waarom is Microsoft Defender for Identity van kardinale belang?

  • Identiteitsgebaseerde aanvalopsporing: Identifiseer algemene taktieke, tegnieke en prosedures (TTP's) wat in identiteitsaanvalle gebruik word, soos Pass-the-Hash, Pass-the-Ticket, Golden Ticket, netwerkverkenning en voorregte-eskalasie.
  • Omvattende sigbaarheid: Monitor netwerkverkeer vanaf domeinbeheerders en gebeurtenislogboeke om 'n profiel van normale gebruikersgedrag te bou en anomalieë op te spoor.
  • Integrasie met Microsoft 365 Defender: Korreleer MDI-waarskuwings met seine van ander Defender-oplossings (Eindpunt, Office 365, Cloud Apps) vir 'n verenigde siening van voorvalle.
  • Gedragsanalise: Gebruik masjienleer en gedragsanalise om bedreigings op te spoor wat ongemerk deur tradisionele handtekeninge sou verbygaan.
  • Verminder vals positiewe aspekte: Microsoft se bedreigingsintelligensie en -gedragsprofiel help jou om deur die geraas te sny en op werklike bedreigings te fokus.

Voorvereistes

Om Microsoft Defender for Identity te implementeer, benodig u die volgende items:

  1. Lisensiëring: 'n Microsoft 365 E5 Sekuriteit, Microsoft 365 E5, Enterprise Mobility + Sekuriteit E5 lisensie, of 'n Defender for Identity selfstandige lisensie [3].
  2. Administratiewe toegang: 'n Rekening met die rol van 'Global Administrator' of 'Security Administrator' in die Microsoft 365 Defender-portaal ('https://security.microsoft.com').
  3. Active Directory Local: 'n Plaaslike Active Directory-domein, met ten minste een domeinbeheerder.
  4. Bediener vir sensor (opsioneel, maar aanbeveel): 'n Windows Server (2012 R2 of hoër) bediener om die selfstandige MDI-sensor te installeer as jy dit nie direk op die domeinbeheerders wil installeer nie. As dit op 'n domeinbeheerder geïnstalleer is, gebruik die sensor hulpbronne van die GS.
  5. Netwerkkonnektiwiteit: Die sensorbediener (of domeinbeheerder) moet uitgaande verbinding hê met die wolk MDI-dienseindpunte (TCP-poort 443).

Stap vir stap: konfigureer en gebruik Microsoft Defender vir identiteit

Ons sal sensorontplooiing en waarskuwingsontleding dek.

1. Toegang tot die Microsoft 365 Defender Portal en die opstel van MDI

  1. Maak jou blaaier oop en navigeer na https://security.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. Kies Instellings > Identiteite in die linkernavigasiepaneel.
  4. Op die identiteitsinstellingsbladsy sal jy die status van jou MDI-omgewing sien. As dit nie reeds opgestel is nie, volg die instruksies om opstelling te begin.

2. Laai af en installeer Microsoft Defender for Identity Sensor

Die MDI-sensor kan direk in die dom-beheerders geïnstalleer wordinium of op 'n toegewyde bediener (selfstandige sensor).

  1. Gaan in die Microsoft 365 Defender-portaal na Instellings > Identiteite > Sensore.
  2. Klik Voeg sensor by.

  3. Kopieer die Toegangssleutel en laai die Sensor Installation Package af.

  4. Op die bediener (domeinbeheerder of toegewyde bediener) waar jy die sensor wil installeer:

    • Begin die installasiepakket (Azure Advanced Threat Protection Sensor Setup.exe).
    • Volg die towenaar se instruksies. Plak die Toegangssleutel wanneer dit gevra word.
    • Nota vir selfstandige sensor: As jy 'n selfstandige sensor installeer, maak seker dat poortspieëling op jou netwerkskakelaars opgestel is om netwerkverkeer vanaf domeinbeheerders na die selfstandige sensor se netwerkkoppelvlak te stuur.

  5. Na installasie moet die sensor as Lopende op die Sensors-bladsy van die MDI-portaal verskyn.

3. Konfigureer sensorinstellings

Dit is belangrik om sensorinstellings op te stel om optimale opsporing te verseker.

  1. Gaan in die Microsoft 365 Defender-portaal na Instellings > Identiteite > Sensore.
  2. Klik 'n sensor om sy instellings te wysig.
  3. Kontroleer en stel op:
    • Domainbeheerders: Maak seker dat alle relevante domeinbeheerders gelys is.
    • Sinkroniseer rekeninge: As jy veelvuldige Active Directory-woude het, stel sinkroniseringsrekeninge vir elke woud op.
    • Uitsluitings: (Met omsigtigheid) Stel uitsluitings op vir entiteite of aktiwiteite wat jy weet wettig is en vals positiewes genereer.

4. Ontleed sekuriteitswaarskuwings

MDI genereer waarskuwings wanneer dit verdagte of kwaadwillige aktiwiteit bespeur. Hierdie waarskuwings is sigbaar in die Microsoft 365 Defender-portaal.

  1. Kies Insidente en waarskuwings > Alerts in die linkernavigasiepaneel van die Microsoft 365 Defender-portaal.
  2. Filtreer waarskuwings volgens Diens = Microsoft Defender for Identity.
  3. Klik 'n waarskuwing om besonderhede te sien, insluitend:
    • Beskrywing: Verduidelik die aard van die aanval.
    • Geaffekteerde entiteite: Gebruikers, rekenaars en hulpbronne betrokke.
    • Aanval Tydlyn: 'n Visuele voorstelling van die volgorde van gebeure.
    • Aanbevole aksies: Stappe om die waarskuwing te ondersoek en reg te stel.

5. Ondersoek van voorvalle

MDI korreleer verwante waarskuwings oor voorvalle, wat 'n verenigde siening van 'n aanval bied.

  1. In die linkernavigasiepaneel van die Microsoft 365 Defender-portaal, kies Insidente en waarskuwings > Insidente.
  2. Klik op 'n voorval om alle waarskuwings en verwante entiteite te sien, sowel as die volledige aanvalgeskiedenis.
  3. Gebruik ondersoekinstrumente om analise te verdiep, soos Advanced Hunting vir pasgemaakte KQL (Kusto Query Language)-navrae.

Bekragtiging en toetsing

Die validering van die MDI is noodsaaklik om te verseker dat dit bedreigings korrek opspoor en waarskuwings genereer.

1. Simuleer 'n Pass-the-Hash (PtH)-aanval

Om 'n PtH-aanval te simuleer, benodig u 'n toetsomgewing met 'n domeinbeheerder en 'n kliëntrekenaar. Hierdie toets moet met uiterste omsigtigheid uitgevoer word en slegs in beheerde omgewings.

  1. Op 'n kliëntrekenaar, gebruik 'n hulpmiddel soos Mimikatz om die NTLM-hash vir 'n bevoorregte gebruiker (bv. Administrateur) te onttrek.
    • Opdrag (byvoorbeeld, vereis verhoogde voorregte): cmd voorreg :: ontfout sekurlsa::logonpasswords
  2. Gebruik die verkrygde hash om te probeer verifieer na 'n ander rekenaar op die netwerk sonder die regte wagwoord.
    • Opdrag (byvoorbeeld, vereis verhoogde voorregte): cmd sekurlsa::pth /gebruiker:Administrateur /domain:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe
  3. Wag 'n paar minute.
  4. Gaan die Microsoft 365 Defender-portaal na vir 'n Verdagte laterale beweging (Pass-the-Hash) of soortgelyke waarskuwing van Microsoft Defender for Identity.

2. Simuleer 'n netwerkverkenning

  1. Op 'n toetsmasjien, voer 'n netwerkontdekking-opdrag uit wat MDI kan opspoor.
    • Opdrag (voorbeeld LDAP-navraag vir alle gebruikers): cmd nltest /domain_trusts of cmd dsquery gebruiker -limiet 0
  2. Wag 'n paar minute.
  3. Gaan die Microsoft 36-portaal na5 Verdedig vir nNetwerkbewustheid (gebruiker/groepopsomming)` of soortgelyke waarskuwing van Microsoft Defender for Identity.

Sekuriteitswenke en beste praktyke

  • Volledige domeinbeheerderdekking: Installeer MDI-sensors op alle domeinbeheerders om volledige dekking van verifikasieverkeer en logboeke te verseker.
  • Behoorlike poortspieëling: Vir selfstandige sensors, maak seker dat poortspieëling korrek opgestel is om alle relevante verkeer vas te vang.
  • Deurlopende waarskuwingsmonitering: Monitor waarskuwings wat deur MDI gegenereer word in die Microsoft 365 Defender-portaal aktief en ondersoek dit dadelik.
  • SIEM/SOAR-integrasie: Integreer MDI-waarskuwings met jou SIEM (bv. Microsoft Sentinel) of SOAR vir insidentreaksie-outomatisering en korrelasie met ander sekuriteitsdata.
  • Active Directory-higiëne: Hou Active Directory skoon en veilig deur onaktiewe rekeninge te verwyder, die beginsel van minste voorreg toe te pas en bevoorregte rekeninge te beskerm.
  • Privileged Account Protection: Implementeer PIM (Privileged Identity Management) in samewerking met MDI om bevoorregte rekeninge verder te beskerm.
  • Reparerings en opdaterings: Hou domeinbeheerders en bedieners wat MDI-sensors huisves, opgedateer met die nuutste sekuriteitsreëlings.

Algemene probleemoplossing

  • Sensor verskyn nie as "Lopend" nie: Gaan die sensor se netwerkverbinding na die wolk MDI-diens (poort 443) na. Gaan die gebeurtenislogboeke op die sensorbediener na vir installasie- of kommunikasiefoute. Herbegin die sensordiens.
  • Geen waarskuwing gegenereer nie: Kyk of die sensor "Lop". Maak seker dat netwerkverkeer vanaf die domeinbeheerders korrek na die selfstandige sensor (indien van toepassing) weerspieël word. Kyk vir gekonfigureerde uitsluitings wat opsporing moontlik verhoed.
  • Vals positiewe waarskuwings: Ondersoek waarskuwingsbesonderhede. Jy sal dalk uitsluitings of instellings moet aanpas om geraas te verminder, maar doen dit met omsigtigheid om nie werklike bedreigings te ignoreer nie.
  • Domainbeheerderwerkverrigtingkwessies: As die MDI-sensor direk op 'n domeinbeheerder geïnstalleer is en daar is prestasieprobleme, gaan die hardewarevereistes na en oorweeg dit om 'n selfstandige sensor op 'n toegewyde bediener te installeer.
  • Domain-sinkroniseringkwessies: Maak seker dat die sinkroniseringsrekeninge vir elke AD-woud korrek in die MDI-instellings opgestel is.

Gevolgtrekking

Microsoft Defender for Identity is 'n noodsaaklike hulpmiddel om te verdedig teen gevorderde aanvalle wat 'n organisasie se identiteitsinfrastruktuur teiken. Deur diep sigbaarheid in Active Directory te verskaf en abnormale gedrag in reële tyd op te spoor, bemagtig MDI sekuriteitspanne om vinnig bedreigings soos laterale beweging, voorregte-eskalasie en geloofwaardige kompromie te identifiseer en daarop te reageer. Versigtige implementering van MDI, gekombineer met identiteitsekuriteit beste praktyke en integrasie met ander Microsoft 365 Defender-oplossings, versterk die algehele sekuriteitsposisie aansienlik. Met hierdie praktiese gids sal sekuriteitspersoneel Microsoft Defender for Identity kan gebruik om hul mees waardevolle identiteite te beskerm, wat 'n veiliger en meer veerkragtig omgewing teen aanvallers se mees gesofistikeerde taktiek verseker.

Verwysings:

[1] Microsoft Learn. Wat is Microsoft Defender for Identity?. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft Learn. Oorsig van Microsoft Defender vir Identiteit-ontplooiing. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft Learn. Microsoft Defender for Identity-lisensievereistes. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements