Utilizando o Microsoft Defender for Identity para Detectar Ataques Avançados

Utilizando o Microsoft Defender for Identity para Detectar Ataques Avançados

14/07/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na utilização do Microsoft Defender for Identity (MDI), uma solução de segurança baseada em nuvem que aproveita os sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas e identidades comprometidas. O MDI é parte integrante da suíte Microsoft 365 Defender, fornecendo visibilidade crítica sobre atividades suspeitas no ambiente de identidade [1].

Introdução

Identidades são o novo perímetro de segurança. Ataques cibernéticos modernos frequentemente visam comprometer credenciais de usuários e administradores para obter acesso privilegiado, realizar movimentos laterais e exfiltrar dados. Soluções tradicionais de segurança de rede muitas vezes não são suficientes para detectar essas táticas sofisticadas. O Microsoft Defender for Identity preenche essa lacuna, monitorando o tráfego de rede dos controladores de domínio e os logs de eventos para identificar comportamentos anômalos que indicam ataques de identidade, como Pass-the-Hash, Pass-the-Ticket, reconhecimento de rede e escalada de privilégios [2].

Este guia prático abordará a configuração e o uso do MDI, desde a implantação dos sensores até a análise de alertas e a investigação de incidentes. Serão fornecidas instruções passo a passo, exemplos de detecções e métodos de validação para que o leitor possa implementar e fortalecer a proteção de suas identidades, reduzindo a exposição a riscos e melhorando a capacidade de resposta a ameaças avançadas em seu ambiente Microsoft.

Por que o Microsoft Defender for Identity é crucial?

  • Detecção de Ataques Baseados em Identidade: Identifica táticas, técnicas e procedimentos (TTPs) comuns usados em ataques de identidade, como Pass-the-Hash, Pass-the-Ticket, Golden Ticket, reconhecimento de rede e escalada de privilégios.
  • Visibilidade Abrangente: Monitora o tráfego de rede dos controladores de domínio e logs de eventos para construir um perfil de comportamento normal do usuário e detectar anomalias.
  • Integração com Microsoft 365 Defender: Correlaciona alertas do MDI com sinais de outras soluções Defender (Endpoint, Office 365, Cloud Apps) para uma visão unificada de incidentes.
  • Análise Comportamental: Utiliza aprendizado de máquina e análise comportamental para detectar ameaças que passariam despercebidas por assinaturas tradicionais.
  • Redução de Falsos Positivos: A inteligência de ameaças da Microsoft e o perfil de comportamento ajudam a reduzir o ruído e focar em ameaças reais.

Pré-requisitos

Para implementar o Microsoft Defender for Identity, você precisará dos seguintes itens:

  1. Licenciamento: Uma licença do Microsoft 365 E5 Security, Microsoft 365 E5, Enterprise Mobility + Security E5, ou uma licença autônoma do Defender for Identity [3].
  2. Acesso Administrativo: Uma conta com a função de Administrador Global ou Administrador de Segurança no portal do Microsoft 365 Defender (https://security.microsoft.com).
  3. Active Directory Local: Um domínio do Active Directory local, com pelo menos um controlador de domínio.
  4. Servidor para Sensor (Opcional, mas recomendado): Um servidor Windows Server (2012 R2 ou superior) para instalar o sensor MDI autônomo, se você não quiser instalá-lo diretamente nos controladores de domínio. Se instalado em um controlador de domínio, o sensor usa recursos do DC.
  5. Conectividade de Rede: O servidor do sensor (ou controlador de domínio) deve ter conectividade de saída para os endpoints do serviço MDI na nuvem (porta 443 TCP).

Passo a Passo: Configurando e Utilizando o Microsoft Defender for Identity

Vamos abordar a implantação do sensor e a análise de alertas.

1. Acessando o Portal do Microsoft 365 Defender e Configurando o MDI

  1. Abra seu navegador e navegue até https://security.microsoft.com.
  2. Faça login com uma conta que tenha as permissões necessárias.
  3. No painel de navegação esquerdo, selecione Configurações > Identidades.
  4. Na página de configurações de identidades, você verá o status do seu ambiente MDI. Se ainda não estiver configurado, siga as instruções para iniciar a configuração.

2. Baixando e Instalando o Sensor do Microsoft Defender for Identity

O sensor MDI pode ser instalado diretamente nos controladores de domínio ou em um servidor dedicado (sensor autônomo).

  1. No portal do Microsoft 365 Defender, vá para Configurações > Identidades > Sensores.
  2. Clique em Adicionar sensor.

  3. Copie a Chave de acesso (Access Key) e baixe o Pacote de instalação do sensor.

  4. No servidor (controlador de domínio ou servidor dedicado) onde você deseja instalar o sensor:

    • Execute o pacote de instalação (Azure Advanced Threat Protection Sensor Setup.exe).
    • Siga as instruções do assistente. Cole a Chave de acesso quando solicitado.
    • Observação para sensor autônomo: Se estiver instalando um sensor autônomo, certifique-se de que o espelhamento de porta (port mirroring) esteja configurado nos switches de rede para enviar o tráfego de rede dos controladores de domínio para a interface de rede do sensor autônomo.

  5. Após a instalação, o sensor deve aparecer como Em execução na página Sensores do portal do MDI.

3. Configurando Definições do Sensor

É importante configurar as definições do sensor para garantir a detecção ideal.

  1. No portal do Microsoft 365 Defender, vá para Configurações > Identidades > Sensores.
  2. Clique em um sensor para editar suas definições.
  3. Verifique e configure:
    • Controladores de domínio: Certifique-se de que todos os controladores de domínio relevantes estão listados.
    • Contas de sincronização: Se você tiver várias florestas do Active Directory, configure as contas de sincronização para cada floresta.
    • Exclusões: (Com cautela) Configure exclusões para entidades ou atividades que você sabe que são legítimas e geram falsos positivos.

4. Analisando Alertas de Segurança

O MDI gera alertas quando detecta atividades suspeitas ou maliciosas. Esses alertas são visíveis no portal do Microsoft 365 Defender.

  1. No painel de navegação esquerdo do portal do Microsoft 365 Defender, selecione Incidentes e alertas > Alertas.
  2. Filtre os alertas por Serviço = Microsoft Defender for Identity.
  3. Clique em um alerta para ver os detalhes, incluindo:
    • Descrição: Explica a natureza do ataque.
    • Entidades afetadas: Usuários, computadores e recursos envolvidos.
    • Linha do tempo do ataque: Uma representação visual da sequência de eventos.
    • Ações recomendadas: Passos para investigar e remediar o alerta.

5. Investigando Incidentes

O MDI correlaciona alertas relacionados em incidentes, fornecendo uma visão unificada de um ataque.

  1. No painel de navegação esquerdo do portal do Microsoft 365 Defender, selecione Incidentes e alertas > Incidentes.
  2. Clique em um incidente para ver todos os alertas e entidades relacionadas, bem como a história completa do ataque.
  3. Utilize as ferramentas de investigação para aprofundar a análise, como a Caça avançada (Advanced Hunting) para consultas KQL (Kusto Query Language) personalizadas.

Validação e Teste

Validar o MDI é fundamental para garantir que ele esteja detectando corretamente as ameaças e gerando alertas.

1. Simulando um Ataque Pass-the-Hash (PtH)

Para simular um ataque PtH, você precisará de um ambiente de teste com um controlador de domínio e um computador cliente. Este teste deve ser realizado com extremo cuidado e apenas em ambientes controlados.

  1. Em um computador cliente, use uma ferramenta como Mimikatz para extrair o hash NTLM de um usuário privilegiado (ex: Administrador).
    • Comando (exemplo, requer privilégios elevados): cmd privilege::debug sekurlsa::logonpasswords
  2. Use o hash obtido para tentar autenticar-se em outro computador na rede sem a senha real.
    • Comando (exemplo, requer privilégios elevados): cmd sekurlsa::pth /user:Administrator /domain:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe
  3. Aguarde alguns minutos.
  4. Verifique o portal do Microsoft 365 Defender para um alerta de Movimento lateral suspeito (Pass-the-Hash) ou similar do Microsoft Defender for Identity.

2. Simulando um Reconhecimento de Rede

  1. Em uma máquina de teste, execute um comando de reconhecimento de rede que o MDI pode detectar.
    • Comando (exemplo de consulta LDAP para todos os usuários): cmd nltest /domain_trusts ou cmd dsquery user -limit 0
  2. Aguarde alguns minutos.
  3. Verifique o portal do Microsoft 365 Defender para um alerta de Reconhecimento de rede (Enumeração de usuários/grupos) ou similar do Microsoft Defender for Identity.

Dicas de Segurança e Melhores Práticas

  • Cobertura Completa do Controlador de Domínio: Instale sensores MDI em todos os controladores de domínio para garantir a cobertura completa do tráfego de autenticação e logs.
  • Espelhamento de Porta Adequado: Para sensores autônomos, certifique-se de que o espelhamento de porta esteja configurado corretamente para capturar todo o tráfego relevante.
  • Monitoramento Contínuo de Alertas: Monitore ativamente os alertas gerados pelo MDI no portal do Microsoft 365 Defender e investigue-os prontamente.
  • Integração com SIEM/SOAR: Integre os alertas do MDI com seu SIEM (ex: Microsoft Sentinel) ou SOAR para automação de resposta a incidentes e correlação com outros dados de segurança.
  • Higiene do Active Directory: Mantenha o Active Directory limpo e seguro, removendo contas inativas, aplicando o princípio do privilégio mínimo e protegendo contas privilegiadas.
  • Proteção de Contas Privilegiadas: Implemente o PIM (Privileged Identity Management) em conjunto com o MDI para proteger ainda mais as contas privilegiadas.
  • Patches e Atualizações: Mantenha os controladores de domínio e os servidores que hospedam os sensores MDI atualizados com os patches de segurança mais recentes.

Troubleshooting Comum

  • Sensor não aparece como "Em execução": Verifique a conectividade de rede do sensor para o serviço MDI na nuvem (porta 443). Verifique os logs de eventos no servidor do sensor para erros de instalação ou comunicação. Reinicie o serviço do sensor.
  • Nenhum alerta gerado: Verifique se o sensor está "Em execução". Certifique-se de que o tráfego de rede dos controladores de domínio está sendo espelhado corretamente para o sensor autônomo (se aplicável). Verifique se há exclusões configuradas que podem estar impedindo a detecção.
  • Alertas falsos positivos: Investigue os detalhes do alerta. Pode ser necessário ajustar as exclusões ou configurações para reduzir o ruído, mas faça isso com cautela para não ignorar ameaças reais.
  • Problemas de desempenho do controlador de domínio: Se o sensor MDI estiver instalado diretamente em um controlador de domínio e houver problemas de desempenho, verifique os requisitos de hardware e considere a instalação de um sensor autônomo em um servidor dedicado.
  • Problemas de sincronização de domínios: Certifique-se de que as contas de sincronização para cada floresta do AD estão configuradas corretamente nas definições do MDI.

Conclusão

O Microsoft Defender for Identity é uma ferramenta essencial na defesa contra ataques avançados que visam a infraestrutura de identidade de uma organização. Ao fornecer visibilidade profunda sobre o Active Directory e detectar comportamentos anômalos em tempo real, o MDI capacita as equipes de segurança a identificar e responder rapidamente a ameaças como movimentos laterais, escalada de privilégios e comprometimento de credenciais. A implementação cuidadosa do MDI, combinada com as melhores práticas de segurança de identidade e integração com outras soluções do Microsoft 365 Defender, fortalece significativamente a postura de segurança geral. Com este guia prático, os profissionais de segurança estarão aptos a utilizar o Microsoft Defender for Identity para proteger suas identidades mais valiosas, garantindo um ambiente mais seguro e resiliente contra as táticas mais sofisticadas dos atacantes.

Referências:

[1] Microsoft Learn. O que é o Microsoft Defender for Identity?. Disponível em: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft Learn. Visão geral da implantação do Microsoft Defender for Identity. Disponível em: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft Learn. Requisitos de licenciamento do Microsoft Defender for Identity. Disponível em: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements