استخدام Microsoft Defender للهوية لاكتشاف الهجمات المتقدمة

استخدام Microsoft Defender للهوية لاكتشاف الهجمات المتقدمة

14/07/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة لاستخدام Microsoft Defender for Identity (MDI)، وهو حل أمني قائم على السحابة يستفيد من إشارات Active Directory المحلية لتحديد التهديدات المتقدمة والهويات المعرضة للخطر واكتشافها والتحقيق فيها. تعد MDI جزءًا لا يتجزأ من مجموعة Microsoft 365 Defender، مما يوفر رؤية مهمة للنشاط المشبوه في بيئة الهوية [1].

مقدمة

الهويات هي المحيط الأمني الجديد. غالبًا ما تهدف الهجمات الإلكترونية الحديثة إلى تعريض بيانات اعتماد المستخدم والمسؤول للخطر للحصول على وصول مميز وإجراء حركات جانبية وتصفية البيانات. غالبًا ما لا تكون الحلول التقليدية لأمن الشبكات كافية لاكتشاف هذه التكتيكات المعقدة. يملأ Microsoft Defender for Identity هذه الفجوة من خلال مراقبة حركة مرور الشبكة وسجلات الأحداث لوحدات التحكم بالمجال لتحديد السلوكيات الشاذة التي تشير إلى هجمات الهوية، مثل Pass-the-Hash وPass-the-Ticket واستطلاع الشبكة وتصعيد الامتيازات [2].

سيغطي هذا الدليل العملي تكوين أجهزة MDI واستخدامها، بدءًا من نشر أجهزة الاستشعار وحتى تحليل التنبيهات والتحقيق في الحوادث. سيتم توفير إرشادات خطوة بخطوة، وأمثلة للاكتشافات، وطرق التحقق من الصحة حتى يتمكن القراء من تنفيذ وتعزيز حماية هوياتهم، وتقليل التعرض للمخاطر وتحسين الاستجابة للتهديدات المتقدمة في بيئة Microsoft الخاصة بهم.

ما سبب أهمية برنامج Microsoft Defender للهوية؟

  • كشف الهجمات القائمة على الهوية: يحدد التكتيكات والتقنيات والإجراءات الشائعة (TTPs) المستخدمة في هجمات الهوية، مثل Pass-the-Hash، وPass-the-Ticket، وGolden Ticket، واستطلاع الشبكة، وتصعيد الامتيازات.
  • الرؤية الشاملة: تراقب حركة مرور الشبكة من وحدات التحكم بالمجال وسجلات الأحداث لإنشاء ملف تعريف لسلوك المستخدم العادي واكتشاف الحالات الشاذة.
  • التكامل مع Microsoft 365 Defender: يربط تنبيهات MDI بإشارات من حلول Defender الأخرى (Endpoint، وOffice 365، وCloud Apps) للحصول على عرض موحد للحوادث.
  • التحليل السلوكي: يستخدم التعلم الآلي والتحليل السلوكي لاكتشاف التهديدات التي قد تمر دون أن تلاحظها التوقيعات التقليدية.
  • تقليل الإيجابيات الزائفة: يساعدك تحليل التهديدات والسلوكيات من Microsoft على التغلب على الضوضاء والتركيز على التهديدات الحقيقية.

المتطلبات الأساسية

لتطبيق Microsoft Defender for Identity، ستحتاج إلى العناصر التالية:

  1. الترخيص: ترخيص Microsoft 365 E5 Security، أو Microsoft 365 E5، أو Enterprise Mobility + Security E5، أو ترخيص Defender for Identity المستقل [3].
  2. الوصول الإداري: حساب بدور المسؤول العام أو مسؤول الأمان في مدخل Microsoft 365 Defender (https://security.microsoft.com).
  3. Active Directory Local: مجال Active Directory محلي، مع وحدة تحكم مجال واحدة على الأقل.
  4. خادم المستشعر (اختياري، لكن موصى به): خادم Windows Server (2012 R2 أو أعلى) لتثبيت مستشعر MDI المستقل إذا كنت لا تريد تثبيته مباشرة على وحدات التحكم بالمجال. إذا تم تثبيته على وحدة تحكم المجال، يستخدم المستشعر الموارد من DC.
  5. اتصال الشبكة: يجب أن يتمتع خادم المستشعر (أو وحدة التحكم بالمجال) باتصال خارجي بنقاط نهاية خدمة MDI السحابية (منفذ TCP 443).

خطوة بخطوة: تكوين واستخدام Microsoft Defender للهوية

سنغطي نشر أجهزة الاستشعار وتحليل التنبيهات.

1. الوصول إلى مدخل Microsoft 365 Defender وتكوين MDI

  1. افتح المتصفح الخاص بك وانتقل إلى https://security.microsoft.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في جزء التنقل الأيسر، حدد الإعدادات > الهويات.
  4. في صفحة إعدادات الهويات، ستشاهد حالة بيئة MDI الخاصة بك. إذا لم يتم إعداده بالفعل، فاتبع الإرشادات لبدء الإعداد.

2. تنزيل وتثبيت Microsoft Defender لمستشعر الهوية

يمكن تثبيت مستشعر MDI مباشرة في وحدات التحكم domالإينيوم أو على خادم مخصص (مستشعر مستقل).

  1. في مدخل Microsoft 365 Defender، انتقل إلى الإعدادات > الهويات > أجهزة الاستشعار.
  2. انقر إضافة مستشعر.

  3. انسخ "مفتاح الوصول" وقم بتنزيل "حزمة تثبيت المستشعر".

  4. على الخادم (وحدة تحكم المجال أو الخادم المخصص) حيث تريد تثبيت المستشعر:

    • قم بتشغيل حزمة التثبيت (Azure Advanced Threat Protection Sensor Setup.exe).
    • اتبع تعليمات المعالج. الصق "مفتاح الوصول" عندما يُطلب منك ذلك.
    • ملاحظة للمستشعر المستقل: إذا كنت تقوم بتثبيت مستشعر مستقل، فتأكد من تكوين النسخ المطابق للمنافذ على محولات الشبكة لديك لإرسال حركة مرور الشبكة من وحدات التحكم بالمجال إلى واجهة شبكة المستشعر المستقل.

  5. بعد التثبيت، يجب أن يظهر المستشعر على أنه "قيد التشغيل" في صفحة المستشعرات الخاصة ببوابة MDI.

3. تكوين إعدادات المستشعر

من المهم تكوين إعدادات المستشعر لضمان الكشف الأمثل.

  1. في مدخل Microsoft 365 Defender، انتقل إلى الإعدادات > الهويات > أجهزة الاستشعار.
  2. انقر فوق أحد المستشعرات لتعديل إعداداته.
  3. التحقق والتكوين:
    • وحدات التحكم بالمجال: تأكد من إدراج كافة وحدات التحكم بالمجال ذات الصلة.
    • حسابات المزامنة: إذا كان لديك العديد من غابات Active Directory، فقم بتكوين حسابات المزامنة لكل مجموعة.
    • الاستثناءات: (بحذر) قم بتكوين الاستثناءات للكيانات أو الأنشطة التي تعرف أنها مشروعة وتؤدي إلى نتائج إيجابية كاذبة.

4. تحليل التنبيهات الأمنية

يقوم MDI بإنشاء تنبيهات عندما يكتشف نشاطًا مشبوهًا أو ضارًا. تكون هذه التنبيهات مرئية في مدخل Microsoft 365 Defender.

  1. في جزء التنقل الأيمن لمدخل Microsoft 365 Defender، حدد الحوادث والتنبيهات > التنبيهات.
  2. قم بتصفية التنبيهات حسب الخدمة = Microsoft Defender للهوية.
  3. انقر فوق تنبيه لعرض التفاصيل، بما في ذلك:
    • الوصف: يشرح طبيعة الهجوم.
    • الكيانات المتأثرة: المستخدمون وأجهزة الكمبيوتر والموارد المعنية.
    • الجدول الزمني للهجوم: تمثيل مرئي لتسلسل الأحداث.
    • الإجراءات الموصى بها: خطوات التحقيق في التنبيه ومعالجته.

5. التحقيق في الحوادث

تقوم MDI بربط التنبيهات ذات الصلة عبر الحوادث، مما يوفر رؤية موحدة للهجوم.

  1. في جزء التنقل الأيمن لمدخل Microsoft 365 Defender، حدد الحوادث والتنبيهات > الحوادث.
  2. انقر فوق أحد الحوادث لرؤية جميع التنبيهات والكيانات ذات الصلة، بالإضافة إلى سجل الهجوم الكامل.
  3. استخدم أدوات التحقيق لتعميق التحليل، مثل "البحث المتقدم" لاستعلامات KQL المخصصة (لغة استعلام Kusto).

التحقق والاختبار

يعد التحقق من صحة MDI أمرًا ضروريًا للتأكد من أنه يكتشف التهديدات بشكل صحيح ويصدر التنبيهات.

1. محاكاة هجوم تمرير التجزئة (PtH).

لمحاكاة هجوم PtH، ستحتاج إلى بيئة اختبار مع وحدة تحكم المجال وجهاز كمبيوتر عميل. يجب إجراء هذا الاختبار بحذر شديد وفي البيئات الخاضعة للرقابة فقط.

  1. على جهاز كمبيوتر عميل، استخدم أداة مثل Mimikatz لاستخراج تجزئة NTLM لمستخدم مميز (مثل "المسؤول").
    • الأمر (على سبيل المثال، يتطلب امتيازات مرتفعة): كمد امتياز::تصحيح sekurlsa::logonpasswords
  2. استخدم التجزئة التي تم الحصول عليها لمحاولة المصادقة على كمبيوتر آخر على الشبكة بدون كلمة المرور الحقيقية.
    • الأمر (على سبيل المثال، يتطلب امتيازات مرتفعة): كمد sekurlsa::pth /user:Administrator /domain:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe
  3. انتظر بضع دقائق.
  4. تحقق من بوابة Microsoft 365 Defender بحثًا عن "حركة جانبية مشبوهة (تمرير التجزئة)" أو تنبيه مماثل من Microsoft Defender للهوية.

2. محاكاة استطلاع الشبكة

  1. على جهاز اختبار، قم بتشغيل أمر اكتشاف الشبكة الذي يمكن لـ MDI اكتشافه.
    • الأمر (مثال لاستعلام LDAP لجميع المستخدمين): كمد nltest /domain_trusts أو كمد مستخدم dsquery - الحد 0
  2. انتظر بضع دقائق.
  3. تحقق من بوابة Microsoft 365 الدفاع عن "التوعية بالشبكة (تعداد المستخدم/المجموعة)" أو تنبيه مماثل من Microsoft Defender للهوية.

نصائح أمنية وأفضل الممارسات

  • تغطية كاملة لوحدة تحكم المجال: قم بتثبيت مستشعرات MDI على كافة وحدات التحكم بالمجال لضمان التغطية الكاملة لحركة مرور المصادقة والسجلات.
  • النسخ المطابق الصحيح للمنفذ: بالنسبة لأجهزة الاستشعار المستقلة، تأكد من تكوين النسخ المتطابق للمنفذ بشكل صحيح لالتقاط كل حركة المرور ذات الصلة.
  • مراقبة التنبيهات المستمرة: قم بمراقبة التنبيهات التي تم إنشاؤها بواسطة MDI بشكل نشط في مدخل Microsoft 365 Defender والتحقق منها على الفور.
  • تكامل SIEM/SOAR: دمج تنبيهات MDI مع SIEM (مثل Microsoft Sentinel) أو SOAR لأتمتة الاستجابة للحوادث والارتباط مع بيانات الأمان الأخرى.
  • نظام Active Directory: حافظ على Active Directory نظيفًا وآمنًا عن طريق إزالة الحسابات غير النشطة، وتطبيق مبدأ الامتيازات الأقل، وحماية الحسابات المميزة.
  • حماية الحساب المميز: تنفيذ PIM (إدارة الهوية المميزة) بالاشتراك مع MDI لمزيد من حماية الحسابات المميزة.
  • التصحيحات والتحديثات: حافظ على تحديث وحدات التحكم بالمجال والخوادم التي تستضيف مستشعرات MDI بأحدث تصحيحات الأمان.

استكشاف الأخطاء وإصلاحها الشائعة

  • لا يظهر المستشعر كـ "قيد التشغيل": تحقق من اتصال شبكة المستشعر بخدمة MDI السحابية (المنفذ 443). تحقق من سجلات الأحداث على خادم المستشعر بحثًا عن أخطاء التثبيت أو الاتصال. أعد تشغيل خدمة المستشعر.
  • لم يتم إنشاء أي تنبيه: تحقق مما إذا كان المستشعر "قيد التشغيل". تأكد من عكس حركة مرور الشبكة من وحدات التحكم بالمجال بشكل صحيح إلى المستشعر المستقل (إن أمكن). تحقق من الاستثناءات التي تم تكوينها والتي قد تمنع الاكتشاف.
  • التنبيهات الإيجابية الكاذبة: تحقق من تفاصيل التنبيه. قد تحتاج إلى ضبط الاستثناءات أو الإعدادات لتقليل الضوضاء، ولكن افعل ذلك بحذر حتى لا تتجاهل التهديدات الحقيقية.
  • مشكلات أداء وحدة التحكم بالمجال: إذا تم تثبيت مستشعر MDI مباشرة على وحدة تحكم المجال وكانت هناك مشكلات في الأداء، فتحقق من متطلبات الأجهزة وفكر في تثبيت مستشعر مستقل على خادم مخصص.
  • مشكلات مزامنة المجال: تأكد من تكوين حسابات المزامنة لكل مجموعة AD بشكل صحيح في إعدادات MDI.

الخلاصة

يعد Microsoft Defender for Identity أداة أساسية للدفاع ضد الهجمات المتقدمة التي تستهدف البنية التحتية لهوية المؤسسة. من خلال توفير رؤية عميقة في Active Directory واكتشاف السلوك الشاذ في الوقت الفعلي، تعمل MDI على تمكين فرق الأمان من التعرف بسرعة على التهديدات والاستجابة لها مثل الحركة الجانبية وتصعيد الامتيازات وتسوية بيانات الاعتماد. يؤدي التنفيذ الدقيق لـ MDI، إلى جانب أفضل ممارسات أمان الهوية والتكامل مع حلول Microsoft 365 Defender الأخرى، إلى تعزيز الوضع الأمني ​​العام بشكل كبير. باستخدام هذا الدليل العملي، سيتمكن متخصصو الأمان من استخدام Microsoft Defender for Identity لحماية هوياتهم الأكثر قيمة، مما يضمن بيئة أكثر أمانًا ومرونة ضد تكتيكات المهاجمين الأكثر تطورًا.

المراجع:

[1] مايكروسوفت تعلم. ما هو Microsoft Defender للهوية؟. متوفر على: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] مايكروسوفت تعلم. نظرة عامة على Microsoft Defender لنشر الهوية. متوفر على: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] مايكروسوفت تعلم. Microsoft Defender لمتطلبات ترخيص الهوية. متوفر على: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements