उन्नत हमलों का पता लगाने के लिए पहचान के लिए माइक्रोसॉफ्ट डिफेंडर का उपयोग करना

उन्नत हमलों का पता लगाने के लिए पहचान के लिए माइक्रोसॉफ्ट डिफेंडर का उपयोग करना

07/14/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों को माइक्रोसॉफ्ट डिफेंडर फॉर आइडेंटिटी (एमडीआई) का उपयोग करने में मार्गदर्शन करना है, जो एक क्लाउड-आधारित सुरक्षा समाधान है जो उन्नत खतरों और समझौता की गई पहचानों की पहचान, पता लगाने और जांच करने के लिए ऑन-प्रिमाइसेस सक्रिय निर्देशिका संकेतों का लाभ उठाता है। एमडीआई माइक्रोसॉफ्ट 365 डिफेंडर सुइट का एक अभिन्न अंग है, जो पहचान वातावरण में संदिग्ध गतिविधि में महत्वपूर्ण दृश्यता प्रदान करता है [1]।

परिचय

पहचान नई सुरक्षा परिधि है। आधुनिक साइबर हमलों का उद्देश्य अक्सर विशेषाधिकार प्राप्त पहुंच प्राप्त करने, पार्श्व गतिविधियां करने और डेटा को बाहर निकालने के लिए उपयोगकर्ता और प्रशासक की साख से समझौता करना होता है। पारंपरिक नेटवर्क सुरक्षा समाधान अक्सर इन परिष्कृत युक्तियों का पता लगाने के लिए पर्याप्त नहीं होते हैं। आइडेंटिटी के लिए माइक्रोसॉफ्ट डिफेंडर डोमेन नियंत्रकों के नेटवर्क ट्रैफ़िक और ईवेंट लॉग की निगरानी करके इस अंतर को भरता है ताकि असामान्य व्यवहारों की पहचान की जा सके जो पहचान हमलों का संकेत देते हैं, जैसे कि पास-द-हैश, पास-द-टिकट, नेटवर्क टोही और विशेषाधिकार वृद्धि [2]।

यह व्यावहारिक मार्गदर्शिका सेंसर तैनात करने से लेकर अलर्ट का विश्लेषण करने और घटनाओं की जांच करने तक एमडीआई के कॉन्फ़िगरेशन और उपयोग को कवर करेगी। चरण-दर-चरण निर्देश, उदाहरण का पता लगाना और सत्यापन विधियां प्रदान की जाएंगी ताकि पाठक अपनी पहचान की सुरक्षा को लागू और मजबूत कर सकें, जोखिम जोखिम को कम कर सकें और अपने Microsoft वातावरण में उन्नत खतरों के प्रति प्रतिक्रिया में सुधार कर सकें।

पहचान के लिए Microsoft डिफ़ेंडर क्यों महत्वपूर्ण है?

  • पहचान-आधारित हमले का पता लगाना: पहचान हमलों में उपयोग की जाने वाली सामान्य रणनीति, तकनीकों और प्रक्रियाओं (टीटीपी) की पहचान करता है, जैसे पास-द-हैश, पास-द-टिकट, गोल्डन टिकट, नेटवर्क टोही और विशेषाधिकार वृद्धि।
  • व्यापक दृश्यता: सामान्य उपयोगकर्ता व्यवहार की प्रोफ़ाइल बनाने और विसंगतियों का पता लगाने के लिए डोमेन नियंत्रकों और इवेंट लॉग से नेटवर्क ट्रैफ़िक पर नज़र रखता है।
  • माइक्रोसॉफ्ट 365 डिफेंडर के साथ एकीकरण: घटनाओं के एकीकृत दृश्य के लिए अन्य डिफेंडर समाधानों (एंडपॉइंट, ऑफिस 365, क्लाउड ऐप्स) के संकेतों के साथ एमडीआई अलर्ट को सहसंबंधित करता है।
  • व्यवहार विश्लेषण: पारंपरिक हस्ताक्षरों द्वारा ध्यान न दिए जाने वाले खतरों का पता लगाने के लिए मशीन लर्निंग और व्यवहार विश्लेषण का उपयोग करता है।
  • झूठी सकारात्मकता को कम करें: माइक्रोसॉफ्ट खतरे की खुफिया जानकारी और व्यवहार प्रोफाइलिंग आपको शोर को कम करने और वास्तविक खतरों पर ध्यान केंद्रित करने में मदद करती है।

पूर्वावश्यकताएँ

पहचान के लिए Microsoft डिफ़ेंडर को लागू करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. लाइसेंसिंग: एक Microsoft 365 E5 सुरक्षा, Microsoft 365 E5, एंटरप्राइज मोबिलिटी + सुरक्षा E5 लाइसेंस, या एक डिफेंडर फॉर आइडेंटिटी स्टैंडअलोन लाइसेंस [3]।
  2. प्रशासनिक पहुंच: Microsoft 365 डिफेंडर पोर्टल (https://security.microsoft.com) में ग्लोबल एडमिनिस्ट्रेटर या सिक्योरिटी एडमिनिस्ट्रेटर की भूमिका वाला एक खाता।
  3. सक्रिय निर्देशिका स्थानीय: एक स्थानीय सक्रिय निर्देशिका डोमेन, कम से कम एक डोमेन नियंत्रक के साथ।
  4. सेंसर के लिए सर्वर (वैकल्पिक, लेकिन अनुशंसित): यदि आप इसे सीधे डोमेन नियंत्रकों पर स्थापित नहीं करना चाहते हैं तो स्टैंडअलोन एमडीआई सेंसर स्थापित करने के लिए एक विंडोज सर्वर (2012 आर2 या उच्चतर) सर्वर। यदि डोमेन नियंत्रक पर स्थापित किया गया है, तो सेंसर डीसी से संसाधनों का उपयोग करता है।
  5. नेटवर्क कनेक्टिविटी: सेंसर सर्वर (या डोमेन नियंत्रक) के पास क्लाउड एमडीआई सेवा एंडपॉइंट (टीसीपी पोर्ट 443) से आउटबाउंड कनेक्टिविटी होनी चाहिए।

चरण दर चरण: पहचान के लिए Microsoft डिफ़ेंडर को कॉन्फ़िगर करना और उसका उपयोग करना

हम सेंसर परिनियोजन और अलर्ट विश्लेषण को कवर करेंगे।

1. Microsoft 365 डिफ़ेंडर पोर्टल तक पहुँचना और MDI को कॉन्फ़िगर करना

  1. अपना ब्राउज़र खोलें और https://security.microsoft.com पर जाएँ।
  2. उस खाते से लॉग इन करें जिसके पास आवश्यक अनुमतियाँ हैं।
  3. बाएँ नेविगेशन फलक में, सेटिंग्स > पहचान चुनें।
  4. पहचान सेटिंग पृष्ठ पर, आप अपने एमडीआई परिवेश की स्थिति देखेंगे। यदि यह पहले से सेट नहीं है, तो सेटअप शुरू करने के लिए निर्देशों का पालन करें।

2. आइडेंटिटी सेंसर के लिए माइक्रोसॉफ्ट डिफेंडर को डाउनलोड और इंस्टॉल करना

एमडीआई सेंसर को सीधे डोम नियंत्रकों में स्थापित किया जा सकता हैइनियम या एक समर्पित सर्वर (स्टैंडअलोन सेंसर) पर।

  1. Microsoft 365 डिफ़ेंडर पोर्टल में, सेटिंग्स > पहचान > सेंसर पर जाएँ।
  2. सेंसर जोड़ें पर क्लिक करें।

  3. एक्सेस कुंजी की प्रतिलिपि बनाएँ और सेंसर इंस्टालेशन पैकेज डाउनलोड करें।

  4. सर्वर (डोमेन नियंत्रक या समर्पित सर्वर) पर जहां आप सेंसर स्थापित करना चाहते हैं:

    • इंस्टॉलेशन पैकेज चलाएँ (Azure Advanced Threat Protection Sensor Setup.exe)।
    • विज़ार्ड के निर्देशों का पालन करें. संकेत मिलने पर एक्सेस कुंजी चिपकाएँ।
    • स्टैंडअलोन सेंसर के लिए नोट: यदि आप एक स्टैंडअलोन सेंसर स्थापित कर रहे हैं, तो सुनिश्चित करें कि डोमेन नियंत्रकों से नेटवर्क ट्रैफ़िक को स्टैंडअलोन सेंसर के नेटवर्क इंटरफ़ेस पर भेजने के लिए आपके नेटवर्क स्विच पर पोर्ट मिररिंग कॉन्फ़िगर किया गया है।

  5. इंस्टालेशन के बाद, सेंसर एमडीआई पोर्टल के सेंसर पेज पर रनिंग के रूप में दिखाई देना चाहिए।

3. सेंसर सेटिंग्स कॉन्फ़िगर करना

इष्टतम पहचान सुनिश्चित करने के लिए सेंसर सेटिंग्स को कॉन्फ़िगर करना महत्वपूर्ण है।

  1. Microsoft 365 डिफ़ेंडर पोर्टल में, सेटिंग्स > पहचान > सेंसर पर जाएँ।
  2. किसी सेंसर की सेटिंग संपादित करने के लिए उस पर क्लिक करें।
  3. जांचें और कॉन्फ़िगर करें:
    • डोमेन नियंत्रक: सुनिश्चित करें कि सभी प्रासंगिक डोमेन नियंत्रक सूचीबद्ध हैं।
    • सिंक खाते: यदि आपके पास एकाधिक सक्रिय निर्देशिका फ़ॉरेस्ट हैं, तो प्रत्येक फ़ॉरेस्ट के लिए सिंक खाते कॉन्फ़िगर करें।
    • बहिष्करण: (सावधानी के साथ) उन संस्थाओं या गतिविधियों के लिए बहिष्करण कॉन्फ़िगर करें जिनके बारे में आप जानते हैं कि वे वैध हैं और झूठी सकारात्मकताएँ उत्पन्न करते हैं।

4. सुरक्षा अलर्ट का विश्लेषण

जब एमडीआई संदिग्ध या दुर्भावनापूर्ण गतिविधि का पता लगाता है तो अलर्ट उत्पन्न करता है। ये अलर्ट Microsoft 365 डिफ़ेंडर पोर्टल में दिखाई देते हैं।

  1. Microsoft 365 डिफ़ेंडर पोर्टल के बाएँ नेविगेशन फलक में, घटनाएँ और अलर्ट > अलर्ट चुनें।
  2. अलर्ट को सेवा = पहचान के लिए माइक्रोसॉफ्ट डिफेंडर द्वारा फ़िल्टर करें।
  3. विवरण देखने के लिए अलर्ट पर क्लिक करें, जिसमें शामिल हैं:
    • विवरण: हमले की प्रकृति की व्याख्या करता है।
    • प्रभावित इकाइयाँ: उपयोगकर्ता, कंप्यूटर और संसाधन शामिल।
    • हमले की समयरेखा: घटनाओं के अनुक्रम का एक दृश्य प्रतिनिधित्व।
    • अनुशंसित कार्रवाइयां: अलर्ट की जांच करने और उसका निवारण करने के लिए कदम।

5. घटनाओं की जांच करना

एमडीआई किसी हमले का एकीकृत दृश्य प्रदान करते हुए, सभी घटनाओं से संबंधित अलर्ट को सहसंबंधित करता है।

  1. Microsoft 365 डिफेंडर पोर्टल के बाएँ नेविगेशन फलक में, घटनाएँ और अलर्ट > घटनाएँ चुनें।
  2. सभी अलर्ट और संबंधित इकाइयों के साथ-साथ हमले का पूरा इतिहास देखने के लिए किसी घटना पर क्लिक करें।
  3. विश्लेषण को गहरा करने के लिए जांच उपकरणों का उपयोग करें, जैसे कस्टम KQL (कुस्टो क्वेरी लैंग्वेज) प्रश्नों के लिए उन्नत शिकार

सत्यापन और परीक्षण

एमडीआई को मान्य करना यह सुनिश्चित करने के लिए आवश्यक है कि यह खतरों का सही ढंग से पता लगा रहा है और अलर्ट उत्पन्न कर रहा है।

1. पास-द-हैश (पीटीएच) हमले का अनुकरण

पीटीएच हमले का अनुकरण करने के लिए, आपको एक डोमेन नियंत्रक और एक क्लाइंट कंप्यूटर के साथ एक परीक्षण वातावरण की आवश्यकता होगी। यह परीक्षण अत्यधिक सावधानी के साथ और केवल नियंत्रित वातावरण में ही किया जाना चाहिए।

  1. क्लाइंट कंप्यूटर पर, विशेषाधिकार प्राप्त उपयोगकर्ता के लिए एनटीएलएम हैश निकालने के लिए मिमिकात्ज़ जैसे टूल का उपयोग करें (उदाहरण के लिए 'प्रशासक')।
    • कमांड (उदाहरण, उन्नत विशेषाधिकारों की आवश्यकता है): सीएमडी विशेषाधिकार::डीबग sekurlsa::logonpasswords
  2. वास्तविक पासवर्ड के बिना नेटवर्क पर किसी अन्य कंप्यूटर को प्रमाणित करने का प्रयास करने के लिए प्राप्त हैश का उपयोग करें।
    • कमांड (उदाहरण, उन्नत विशेषाधिकारों की आवश्यकता है): सीएमडी sekurlsa::pth /उपयोगकर्ता:प्रशासक /डोमेन:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe
  3. कुछ मिनट रुकें.
  4. 'संदिग्ध लेटरल मूवमेंट (पास-द-हैश)' या पहचान के लिए माइक्रोसॉफ्ट डिफेंडर से समान अलर्ट के लिए माइक्रोसॉफ्ट 365 डिफेंडर पोर्टल की जांच करें।

2. एक नेटवर्क टोही का अनुकरण

  1. एक परीक्षण मशीन पर, एक नेटवर्क डिस्कवरी कमांड चलाएँ जिसका एमडीआई पता लगा सके।
    • कमांड (सभी उपयोगकर्ताओं के लिए उदाहरण एलडीएपी क्वेरी): सीएमडी nltest /domain_trusts या सीएमडी dsquery उपयोगकर्ता -सीमा 0
  2. कुछ मिनट रुकें.
  3. Microsoft 36 पोर्टल की जाँच करें5 नेटवर्क जागरूकता (उपयोगकर्ता/समूह गणना) या पहचान के लिए माइक्रोसॉफ्ट डिफ़ेंडर से समान अलर्ट के लिए बचाव करें।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • पूर्ण डोमेन नियंत्रक कवरेज: प्रमाणीकरण ट्रैफ़िक और लॉग की पूर्ण कवरेज सुनिश्चित करने के लिए सभी डोमेन नियंत्रकों पर एमडीआई सेंसर स्थापित करें।
  • उचित पोर्ट मिररिंग: स्टैंडअलोन सेंसर के लिए, सुनिश्चित करें कि सभी प्रासंगिक ट्रैफ़िक को कैप्चर करने के लिए पोर्ट मिररिंग सही ढंग से कॉन्फ़िगर किया गया है।
  • निरंतर अलर्ट मॉनिटरिंग: Microsoft 365 डिफेंडर पोर्टल में एमडीआई द्वारा उत्पन्न अलर्ट की सक्रिय रूप से निगरानी करें और तुरंत उनकी जांच करें।
  • SIEM/SOAR एकीकरण: घटना प्रतिक्रिया स्वचालन और अन्य सुरक्षा डेटा के साथ सहसंबंध के लिए अपने SIEM (जैसे Microsoft सेंटिनल) या SOAR के साथ MDI अलर्ट को एकीकृत करें।
  • सक्रिय निर्देशिका स्वच्छता: निष्क्रिय खातों को हटाकर, कम से कम विशेषाधिकार के सिद्धांत को लागू करके और विशेषाधिकार प्राप्त खातों की सुरक्षा करके सक्रिय निर्देशिका को साफ और सुरक्षित रखें।
  • विशेषाधिकार प्राप्त खाता सुरक्षा: विशेषाधिकार प्राप्त खातों की सुरक्षा के लिए एमडीआई के साथ मिलकर पीआईएम (विशेषाधिकार प्राप्त पहचान प्रबंधन) लागू करें।
  • पैच और अपडेट: एमडीआई सेंसर होस्ट करने वाले डोमेन नियंत्रकों और सर्वरों को नवीनतम सुरक्षा पैच के साथ अपडेट रखें।

सामान्य समस्या निवारण

  • सेंसर "रनिंग" के रूप में प्रकट नहीं होता है: क्लाउड एमडीआई सेवा (पोर्ट 443) से सेंसर की नेटवर्क कनेक्टिविटी की जांच करें। इंस्टॉलेशन या संचार त्रुटियों के लिए सेंसर सर्वर पर इवेंट लॉग की जाँच करें। सेंसर सेवा पुनः प्रारंभ करें.
  • कोई अलर्ट उत्पन्न नहीं हुआ: जांचें कि सेंसर "चल रहा है"। सुनिश्चित करें कि डोमेन नियंत्रकों से नेटवर्क ट्रैफ़िक को स्टैंडअलोन सेंसर (यदि लागू हो) पर सही ढंग से मिरर किया जा रहा है। कॉन्फ़िगर किए गए बहिष्करणों की जांच करें जो पता लगाने में बाधा उत्पन्न कर सकते हैं।
  • झूठी सकारात्मक चेतावनियाँ: चेतावनी विवरण की जाँच करें। शोर को कम करने के लिए आपको बहिष्करणों या सेटिंग्स को समायोजित करने की आवश्यकता हो सकती है, लेकिन ऐसा सावधानी से करें ताकि वास्तविक खतरों को नजरअंदाज न करें।
  • डोमेन नियंत्रक प्रदर्शन मुद्दे: यदि एमडीआई सेंसर सीधे डोमेन नियंत्रक पर स्थापित है और प्रदर्शन संबंधी समस्याएं हैं, तो हार्डवेयर आवश्यकताओं की जांच करें और एक समर्पित सर्वर पर एक स्टैंडअलोन सेंसर स्थापित करने पर विचार करें।
  • डोमेन सिंक समस्याएँ: सुनिश्चित करें कि प्रत्येक AD फ़ॉरेस्ट के लिए सिंक खाते MDI सेटिंग्स में सही ढंग से कॉन्फ़िगर किए गए हैं।

निष्कर्ष

माइक्रोसॉफ्ट डिफेंडर फॉर आइडेंटिटी किसी संगठन की पहचान के बुनियादी ढांचे को लक्षित करने वाले उन्नत हमलों से बचाव के लिए एक आवश्यक उपकरण है। सक्रिय निर्देशिका में गहरी दृश्यता प्रदान करके और वास्तविक समय में असामान्य व्यवहार का पता लगाकर, एमडीआई सुरक्षा टीमों को पार्श्व आंदोलन, विशेषाधिकार वृद्धि और क्रेडेंशियल समझौता जैसे खतरों को तुरंत पहचानने और प्रतिक्रिया देने का अधिकार देता है। एमडीआई का सावधानीपूर्वक कार्यान्वयन, पहचान सुरक्षा सर्वोत्तम प्रथाओं और अन्य Microsoft 365 डिफेंडर समाधानों के साथ एकीकरण, समग्र सुरक्षा स्थिति को महत्वपूर्ण रूप से मजबूत करता है। इस व्यावहारिक मार्गदर्शिका के साथ, सुरक्षा पेशेवर अपनी सबसे मूल्यवान पहचान की सुरक्षा के लिए माइक्रोसॉफ्ट डिफेंडर फॉर आइडेंटिटी का उपयोग करने में सक्षम होंगे, जिससे हमलावरों की सबसे परिष्कृत रणनीति के खिलाफ एक सुरक्षित और अधिक लचीला वातावरण सुनिश्चित होगा।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। पहचान के लिए Microsoft डिफ़ेंडर क्या है?। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] माइक्रोसॉफ्ट लर्न। पहचान परिनियोजन के लिए माइक्रोसॉफ्ट डिफ़ेंडर का अवलोकन। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] माइक्रोसॉफ्ट लर्न। पहचान लाइसेंसिंग आवश्यकताओं के लिए माइक्रोसॉफ्ट डिफेंडर। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements