Použití programu Microsoft Defender pro identitu k detekci pokročilých útoků

Použití programu Microsoft Defender pro identitu k detekci pokročilých útoků

    1. 2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při používání Microsoft Defender for Identity (MDI), cloudového bezpečnostního řešení, které využívá místní signály Active Directory k identifikaci, detekci a vyšetřování pokročilých hrozeb a kompromitovaných identit. MDI je nedílnou součástí sady Microsoft 365 Defender a poskytuje kritický přehled o podezřelé aktivitě v prostředí identit [1].

Úvod

Identity jsou novým bezpečnostním perimetrem. Cílem moderních kybernetických útoků je často kompromitovat přihlašovací údaje uživatele a správce, aby získali privilegovaný přístup, prováděli boční pohyby a exfiltrovali data. Tradiční řešení zabezpečení sítě často k odhalení těchto sofistikovaných taktik nestačí. Microsoft Defender for Identity zaplňuje tuto mezeru monitorováním síťového provozu řadičů domény a protokolů událostí s cílem identifikovat anomální chování, které naznačují útoky na identitu, jako je Pass-the-Hash, Pass-the-Ticket, průzkum sítě a eskalace oprávnění [2].

Tato praktická příručka pokryje konfiguraci a použití MDI, od nasazení senzorů až po analýzu výstrah a vyšetřování incidentů. Budou poskytnuty podrobné pokyny, příklady detekce a metody ověřování, aby čtenáři mohli implementovat a posílit ochranu své identity, snížit vystavení rizikům a zlepšit schopnost reagovat na pokročilé hrozby ve svém prostředí Microsoft.

Proč je Microsoft Defender for Identity zásadní?

  • Identity-Based Attack Detection: Identifikuje běžné taktiky, techniky a postupy (TTP) používané při útocích na identitu, jako je Pass-the-Hash, Pass-the-Ticket, Golden Ticket, průzkum sítě a eskalace oprávnění.
  • Komplexní viditelnost: Monitoruje síťový provoz z řadičů domény a protokoly událostí za účelem vytvoření profilu normálního chování uživatele a zjišťování anomálií.
  • Integrace s Microsoft 365 Defender: Propojuje výstrahy MDI se signály z jiných řešení Defender (Endpoint, Office 365, Cloud Apps) pro jednotný pohled na incidenty.
  • Behaviorální analýza: Používá strojové učení a behaviorální analýzu k detekci hrozeb, které by tradiční signatury nepostřehly.
  • Snížení falešných poplachů: Informace o hrozbách a profilování chování od společnosti Microsoft vám pomohou překonat hluk a zaměřit se na skutečné hrozby.

Předpoklady

K implementaci programu Microsoft Defender for Identity budete potřebovat následující položky:

  1. Licencování: Licence Microsoft 365 E5 Security, Microsoft 365 E5, Enterprise Mobility + Security E5 nebo samostatná licence Defender for Identity [3].
  2. Administrativní přístup: Účet s rolí „Globálního správce“ nebo „Správce zabezpečení“ na portálu Microsoft 365 Defender („https://security.microsoft.com“).
  3. Active Directory Local: Místní doména Active Directory s alespoň jedním řadičem domény.
  4. Server pro senzor (volitelný, ale doporučený): Server Windows Server (2012 R2 nebo vyšší) pro instalaci samostatného senzoru MDI, pokud jej nechcete instalovat přímo na řadiče domény. Pokud je senzor nainstalován na řadiči domény, využívá prostředky z DC.
  5. Připojení k síti: Server senzoru (nebo řadič domény) musí mít odchozí připojení ke koncovým bodům cloudové služby MDI (port TCP 443).

Krok za krokem: Konfigurace a používání programu Microsoft Defender pro identitu

Budeme se zabývat rozmístěním senzorů a analýzou výstrah.

1. Přístup k portálu Microsoft 365 Defender Portal a konfigurace MDI

  1. Otevřete prohlížeč a přejděte na https://security.microsoft.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
  3. V levém navigačním panelu vyberte Nastavení > Identity.
  4. Na stránce nastavení identit uvidíte stav vašeho prostředí MDI. Pokud ještě není nastaveno, zahajte nastavení podle pokynů.

2. Stažení a instalace Microsoft Defender pro Identity Sensor

Senzor MDI lze nainstalovat přímo do řídicích jednotek dominium nebo na dedikovaném serveru (samostatný senzor).

  1. Na portálu Microsoft 365 Defender přejděte na Nastavení > Identity > Sensory.
  2. Klikněte na Přidat senzor.

  3. Zkopírujte Přístupový klíč a stáhněte si Sensor Installation Package.

  4. Na serveru (řadič domény nebo dedikovaný server), kam chcete senzor nainstalovat:

    • Spusťte instalační balíček (Azure Advanced Threat Protection Sensor Setup.exe).
    • Postupujte podle pokynů průvodce. Po zobrazení výzvy vložte „Přístupový klíč“.
    • Poznámka k samostatnému senzoru: Pokud instalujete samostatný senzor, ujistěte se, že je na vašich síťových přepínačích nakonfigurováno zrcadlení portů pro odesílání síťového provozu z řadičů domény do síťového rozhraní samostatného senzoru.

  5. Po instalaci by se senzor měl objevit jako „Running“ na stránce Sensors portálu MDI.

3. Konfigurace nastavení senzoru

Pro zajištění optimální detekce je důležité nakonfigurovat nastavení senzoru.

  1. Na portálu Microsoft 365 Defender přejděte na Nastavení > Identity > Sensory.
  2. Klepnutím na senzor upravte jeho nastavení.
  3. Zkontrolujte a nakonfigurujte:
    • Řadiče domény: Ujistěte se, že jsou uvedeny všechny relevantní řadiče domény.
    • Synchronizovat účty: Pokud máte více doménových struktur Active Directory, nakonfigurujte účty synchronizace pro každou doménovou strukturu.
    • Vyloučení: (S opatrností) Nakonfigurujte vyloučení pro entity nebo aktivity, o kterých víte, že jsou legitimní a generují falešně pozitivní výsledky.

4. Analýza bezpečnostních výstrah

MDI generuje výstrahy, když zjistí podezřelou nebo škodlivou aktivitu. Tyto výstrahy jsou viditelné na portálu Microsoft 365 Defender.

  1. V levém navigačním podokně portálu Microsoft 365 Defender vyberte Incidenty a výstrahy > Výstrahy.
  2. Filtrujte výstrahy podle Service = Microsoft Defender for Identity.
  3. Kliknutím na upozornění zobrazíte podrobnosti, včetně:
    • Popis: Vysvětluje povahu útoku.
    • Dotčené subjekty: dotčení uživatelé, počítače a zdroje.
    • Časová osa útoku: Vizuální znázornění sledu událostí.
    • Doporučené akce: Kroky k prošetření a nápravě výstrahy.

5. Vyšetřování incidentů

MDI koreluje související výstrahy napříč incidenty a poskytuje jednotný pohled na útok.

  1. V levém navigačním podokně portálu Microsoft 365 Defender vyberte Incidenty a výstrahy > Incidenty.
  2. Kliknutím na incident zobrazíte všechna upozornění a související entity a také celou historii útoků.
  3. Použijte vyšetřovací nástroje k prohloubení analýzy, jako je Advanced Hunting pro vlastní dotazy KQL (Kusto Query Language).

Validace a testování

Ověření MDI je nezbytné pro zajištění správného zjišťování hrozeb a generování výstrah.

1. Simulace útoku Pass-the-Hash (PtH).

Pro simulaci útoku PtH budete potřebovat testovací prostředí s řadičem domény a klientským počítačem. Tento test musí být prováděn s maximální opatrností a pouze v kontrolovaném prostředí.

  1. Na klientském počítači použijte nástroj jako Mimikatz k extrahování NTLM hash pro privilegovaného uživatele (např. Administrator).
    • Příkaz (například vyžaduje zvýšená oprávnění): cmd privilegium::ladit sekurlsa::logonpasswords
  2. Použijte získaný hash k pokusu o ověření k jinému počítači v síti bez skutečného hesla.
    • Příkaz (například vyžaduje zvýšená oprávnění): cmd sekurlsa::pth /user:Administrator /domain:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe
  3. Počkejte několik minut.
  4. Na portálu Microsoft 365 Defender vyhledejte „Podezřelý boční pohyb (Pass-the-Hash)“ nebo podobnou výstrahu od aplikace Microsoft Defender for Identity.

2. Simulace průzkumu sítě

  1. Na testovacím počítači spusťte příkaz pro zjišťování sítě, který MDI dokáže detekovat.
    • Příkaz (příklad dotazu LDAP pro všechny uživatele): cmd nltest /doména_důvěry nebo cmd dsquery user -limit 0
  2. Počkejte několik minut.
  3. Zkontrolujte portál Microsoft 365 Defend pro „Network Awareness (User/Group Enumeration)“ nebo podobnou výstrahu od Microsoft Defender for Identity.

Bezpečnostní tipy a doporučené postupy

  • Kompletní pokrytí řadiče domény: Nainstalujte senzory MDI na všechny řadiče domény, abyste zajistili úplné pokrytí autentizačního provozu a protokolů.
  • Správné zrcadlení portů: U samostatných senzorů se ujistěte, že je zrcadlení portů správně nakonfigurováno, aby zachytilo veškerý relevantní provoz.
  • Nepřetržité monitorování výstrah: Aktivně sledujte výstrahy generované MDI na portálu Microsoft 365 Defender a okamžitě je prozkoumejte.
  • Integrace SIEM/SOAR: Integrujte výstrahy MDI se svými SIEM (např. Microsoft Sentinel) nebo SOAR pro automatizaci reakce na incidenty a korelaci s dalšími bezpečnostními daty.
  • ** Hygiena služby Active Directory**: Udržujte službu Active Directory v čistotě a zabezpečení odstraněním neaktivních účtů, uplatňováním zásady nejmenších oprávnění a ochranou privilegovaných účtů.
  • Ochrana privilegovaných účtů: Implementujte PIM (Privileged Identity Management) ve spojení s MDI pro další ochranu privilegovaných účtů.
  • Záplaty a aktualizace: Udržujte řadiče domény a servery hostující senzory MDI aktualizované pomocí nejnovějších bezpečnostních záplat.

Běžné odstraňování problémů

  • Senzor se nezobrazuje jako „Spuštěno“: Zkontrolujte síťové připojení senzoru ke cloudové službě MDI (port 443). Zkontrolujte protokoly událostí na serveru senzoru, zda neobsahují chyby instalace nebo komunikace. Restartujte službu senzoru.
  • Žádné upozornění: Zkontrolujte, zda je senzor „v provozu“. Ujistěte se, že síťový provoz z řadičů domény je správně zrcadlen do samostatného senzoru (pokud existuje). Zkontrolujte nakonfigurovaná vyloučení, která mohou bránit detekci.
  • Falešně pozitivní výstrahy: Prozkoumejte podrobnosti výstrah. Možná budete muset upravit vyloučení nebo nastavení, abyste snížili hluk, ale dělejte to opatrně, abyste neignorovali skutečné hrozby.
  • Problémy s výkonem řadiče domény: Pokud je senzor MDI nainstalován přímo na řadiči domény a dochází k problémům s výkonem, zkontrolujte hardwarové požadavky a zvažte instalaci samostatného senzoru na vyhrazený server.
  • Problémy se synchronizací domény: Ujistěte se, že synchronizační účty pro každou doménovou strukturu AD jsou správně nakonfigurovány v nastavení MDI.

Závěr

Microsoft Defender for Identity je základním nástrojem obrany proti pokročilým útokům, které se zaměřují na infrastrukturu identit organizace. Tím, že poskytuje hluboký přehled o službě Active Directory a detekuje anomální chování v reálném čase, umožňuje MDI bezpečnostním týmům rychle identifikovat a reagovat na hrozby, jako je boční pohyb, eskalace oprávnění a kompromitace pověření. Pečlivá implementace MDI v kombinaci s osvědčenými postupy zabezpečení identit a integrací s dalšími řešeními Microsoft 365 Defender výrazně posiluje celkovou pozici zabezpečení. S touto praktickou příručkou budou bezpečnostní profesionálové moci používat Microsoft Defender for Identity k ochraně svých nejcennějších identit a zajistit tak bezpečnější a odolnější prostředí proti nejsofistikovanějším taktikám útočníků.

Reference:

[1] Microsoft Learn. Co je Microsoft Defender for Identity?. Dostupné na: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft Learn. Přehled nasazení aplikace Microsoft Defender pro Identity. Dostupné na: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft Learn. Požadavky na licence Microsoft Defender for Identity. Dostupné na: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements