Utilizzo di Microsoft Defender for Identity per rilevare attacchi avanzati

Utilizzo di Microsoft Defender for Identity per rilevare attacchi avanzati

14/07/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'uso di Microsoft Defender for Identity (MDI), una soluzione di sicurezza basata su cloud che sfrutta i segnali di Active Directory locali per identificare, rilevare e analizzare minacce avanzate e identità compromesse. MDI è parte integrante della suite Microsoft 365 Defender e fornisce visibilità critica sulle attività sospette nell'ambiente delle identità [1].

Introduzione

Le identità sono il nuovo perimetro di sicurezza. I moderni attacchi informatici mirano spesso a compromettere le credenziali di utenti e amministratori per ottenere un accesso privilegiato, eseguire movimenti laterali ed esfiltrare dati. Le tradizionali soluzioni di sicurezza di rete spesso non sono sufficienti per rilevare queste tattiche sofisticate. Microsoft Defender for Identity colma questa lacuna monitorando il traffico di rete e i registri eventi dei controller di dominio per identificare comportamenti anomali che indicano attacchi all'identità, come Pass-the-Hash, Pass-the-Ticket, ricognizione di rete ed escalation dei privilegi [2].

Questa guida pratica riguarderà la configurazione e l'uso dell'MDI, dall'implementazione dei sensori all'analisi degli allarmi e all'indagine sugli incidenti. Verranno fornite istruzioni dettagliate, esempi di rilevamento e metodi di convalida in modo che i lettori possano implementare e rafforzare la protezione delle proprie identità, riducendo l'esposizione ai rischi e migliorando la reattività alle minacce avanzate nel proprio ambiente Microsoft.

Perché Microsoft Defender for Identity è fondamentale?

  • Rilevamento degli attacchi basati sull'identità: identifica tattiche, tecniche e procedure comuni (TTP) utilizzate negli attacchi all'identità, come Pass-the-Hash, Pass-the-Ticket, Golden Ticket, ricognizione di rete ed escalation dei privilegi.
  • Visibilità completa: monitora il traffico di rete dai controller di dominio e dai registri eventi per creare un profilo del normale comportamento degli utenti e rilevare anomalie.
  • Integrazione con Microsoft 365 Defender: correla gli avvisi MDI con i segnali di altre soluzioni Defender (Endpoint, Office 365, Cloud Apps) per una visualizzazione unificata degli incidenti.
  • Analisi comportamentale: utilizza l'apprendimento automatico e l'analisi comportamentale per rilevare minacce che passerebbero inosservate alle firme tradizionali.
  • Riduci i falsi positivi: l'intelligence sulle minacce e la profilazione comportamentale di Microsoft ti aiutano a distinguerti dal rumore e a concentrarti sulle minacce reali.

Prerequisiti

Per implementare Microsoft Defender for Identity, avrai bisogno dei seguenti elementi:

  1. Licenza: una licenza di Microsoft 365 E5 Security, Microsoft 365 E5, Enterprise Mobility + Security E5 o una licenza autonoma di Defender for Identity [3].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore globale" o "Amministratore della sicurezza" nel portale Microsoft 365 Defender (https://security.microsoft.com).
  3. Active Directory locale: un dominio Active Directory locale, con almeno un controller di dominio.
  4. Server per sensore (facoltativo, ma consigliato): un server Windows Server (2012 R2 o versione successiva) per installare il sensore MDI autonomo se non si desidera installarlo direttamente sui controller di dominio. Se installato su un controller di dominio, il sensore utilizza le risorse del controller di dominio.
  5. Connettività di rete: il server del sensore (o controller di dominio) deve disporre di connettività in uscita verso gli endpoint del servizio MDI cloud (porta TCP 443).

Passo dopo passo: configurazione e utilizzo di Microsoft Defender per Identity

Tratteremo l'implementazione dei sensori e l'analisi degli avvisi.

1. Accesso al portale Microsoft 365 Defender e configurazione di MDI

  1. Apri il browser e vai a "https://security.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel riquadro di navigazione a sinistra, seleziona Impostazioni > Identità.
  4. Nella pagina delle impostazioni delle identità, vedrai lo stato del tuo ambiente MDI. Se non è già configurato, segui le istruzioni per iniziare la configurazione.

2. Download e installazione di Microsoft Defender per Identity Sensor

Il sensore MDI può essere installato direttamente nei controller dominium o su un server dedicato (sensore autonomo).

  1. Nel portale Microsoft 365 Defender, vai a Impostazioni > Identità > Sensori.
  2. Fare clic su Aggiungi sensore.

  3. Copia la "Chiave di accesso" e scarica il "Pacchetto di installazione del sensore".

  4. Sul server (controller di dominio o server dedicato) in cui si desidera installare il sensore:

    • Eseguire il pacchetto di installazione ("Azure Advanced Threat Protection Sensor Setup.exe").
    • Seguire le istruzioni della procedura guidata. Incolla la "Chiave di accesso" quando richiesto.
    • Nota per il sensore autonomo: se si sta installando un sensore autonomo, assicurarsi che il mirroring delle porte sia configurato sugli switch di rete per inviare il traffico di rete dai controller di dominio all'interfaccia di rete del sensore autonomo.

  5. Dopo l'installazione, il sensore dovrebbe apparire come "In esecuzione" nella pagina Sensori del portale MDI.

3. Configurazione delle impostazioni del sensore

È importante configurare le impostazioni del sensore per garantire un rilevamento ottimale.

  1. Nel portale Microsoft 365 Defender, vai a Impostazioni > Identità > Sensori.
  2. Fare clic su un sensore per modificarne le impostazioni.
  3. Controlla e configura:
    • Controller di dominio: assicurarsi che siano elencati tutti i controller di dominio rilevanti.
    • Account di sincronizzazione: se disponi di più foreste di Active Directory, configura gli account di sincronizzazione per ciascuna foresta.
    • Esclusioni: (con cautela) configura le esclusioni per entità o attività che sai essere legittime e generare falsi positivi.

4. Analisi degli avvisi di sicurezza

MDI genera avvisi quando rileva attività sospette o dannose. Questi avvisi sono visibili nel portale Microsoft 365 Defender.

  1. Nel riquadro di spostamento sinistro del portale Microsoft 365 Defender, seleziona Incidenti e avvisi > Avvisi.
  2. Filtra gli avvisi per "Servizio" = "Microsoft Defender for Identity".
  3. Fare clic su un avviso per visualizzare i dettagli, tra cui:
    • Descrizione: Spiega la natura dell'attacco.
    • Entità interessate: utenti, computer e risorse coinvolti.
    • Cronologia dell'attacco: una rappresentazione visiva della sequenza degli eventi.
    • Azioni consigliate: passaggi per indagare e correggere l'avviso.

5. Indagine sugli incidenti

MDI mette in correlazione gli avvisi correlati agli incidenti, fornendo una visione unificata di un attacco.

  1. Nel riquadro di spostamento sinistro del portale Microsoft 365 Defender, seleziona Incidenti e avvisi > Incidenti.
  2. Fare clic su un incidente per visualizzare tutti gli avvisi e le entità correlate, nonché la cronologia completa degli attacchi.
  3. Utilizzare strumenti di indagine per approfondire l'analisi, come "Advanced Hunting" per query KQL (Kusto Query Language) personalizzate.

Convalida e test

La convalida della MDI è essenziale per garantire che rilevi correttamente le minacce e generi avvisi.

1. Simulazione di un attacco Pass-the-Hash (PtH).

Per simulare un attacco PtH, avrai bisogno di un ambiente di test con un controller di dominio e un computer client. Questo test deve essere eseguito con estrema cautela e solo in ambienti controllati.

  1. Su un computer client, utilizzare uno strumento come Mimikatz per estrarre l'hash NTLM per un utente privilegiato (ad esempio "Amministratore").
    • Comando (esempio, richiede privilegi elevati): cmd privilegio::debug sekurlsa::logonpassword
  2. Utilizzare l'hash ottenuto per provare ad autenticarsi su un altro computer sulla rete senza la vera password.
    • Comando (esempio, richiede privilegi elevati): cmd sekurlsa::pth /utente:Amministratore /domain:miodominio.com /ntlm:HASH_DO_ADMIN /run:cmd.exe
  3. Attendi qualche minuto.
  4. Controllare il portale Microsoft 365 Defender per un "movimento laterale sospetto (Pass-the-Hash)" o un avviso simile da Microsoft Defender for Identity.

2. Simulazione di una ricognizione di rete

  1. Su una macchina di prova, eseguire un comando di rilevamento della rete che MDI può rilevare.
    • Comando (esempio query LDAP per tutti gli utenti): cmd nltest /domain_trusts o cmd utente dsquery -limit 0
  2. Attendi qualche minuto.
  3. Controllare il portale Microsoft 365 Difenditi per una "Consapevolezza della rete (enumerazione utente/gruppo)" o un avviso simile da Microsoft Defender per identità.

Suggerimenti e best practice per la sicurezza

  • Copertura completa del controller di dominio: installa i sensori MDI su tutti i controller di dominio per garantire una copertura completa del traffico e dei log di autenticazione.
  • Mirroring delle porte corretto: per i sensori autonomi, assicurarsi che il mirroring delle porte sia configurato correttamente per acquisire tutto il traffico rilevante.
  • Monitoraggio continuo degli avvisi: monitora attivamente gli avvisi generati da MDI nel portale Microsoft 365 Defender ed esaminali tempestivamente.
  • Integrazione SIEM/SOAR: integra gli avvisi MDI con il tuo SIEM (ad esempio Microsoft Sentinel) o SOAR per l'automazione della risposta agli incidenti e la correlazione con altri dati di sicurezza.
  • Igiene di Active Directory: mantieni Active Directory pulita e sicura rimuovendo gli account inattivi, applicando il principio del privilegio minimo e proteggendo gli account privilegiati.
  • Protezione degli account privilegiati: implementa PIM (Privileged Identity Management) insieme a MDI per proteggere ulteriormente gli account privilegiati.
  • Patch e aggiornamenti: mantieni aggiornati i controller di dominio e i server che ospitano i sensori MDI con le patch di sicurezza più recenti.

Risoluzione dei problemi comuni

  • Il sensore non appare come "In esecuzione": verificare la connettività di rete del sensore al servizio MDI cloud (porta 443). Controllare i registri eventi sul server del sensore per eventuali errori di installazione o comunicazione. Riavviare il servizio del sensore.
  • Nessun avviso generato: controlla se il sensore è "In esecuzione". Assicurarsi che il traffico di rete dai controller di dominio venga correttamente mirrorato sul sensore autonomo (se applicabile). Controlla le esclusioni configurate che potrebbero impedire il rilevamento.
  • Avvisi di falsi positivi: esamina i dettagli dell'avviso. Potrebbe essere necessario modificare le esclusioni o le impostazioni per ridurre il rumore, ma farlo con cautela per non ignorare le minacce reali.
  • Problemi di prestazioni del controller di dominio: se il sensore MDI è installato direttamente su un controller di dominio e si verificano problemi di prestazioni, verificare i requisiti hardware e valutare l'installazione di un sensore autonomo su un server dedicato.
  • Problemi di sincronizzazione del dominio: assicurarsi che gli account di sincronizzazione per ogni foresta AD siano configurati correttamente nelle impostazioni MDI.

Conclusione

Microsoft Defender for Identity è uno strumento essenziale per la difesa dagli attacchi avanzati che prendono di mira l'infrastruttura di identità di un'organizzazione. Fornendo una visibilità approfondita su Active Directory e rilevando comportamenti anomali in tempo reale, MDI consente ai team di sicurezza di identificare e rispondere rapidamente a minacce quali movimenti laterali, escalation di privilegi e compromissione delle credenziali. Un'attenta implementazione di MDI, combinata con le migliori pratiche di sicurezza dell'identità e l'integrazione con altre soluzioni Microsoft 365 Defender, rafforza in modo significativo il livello di sicurezza generale. Con questa guida pratica, i professionisti della sicurezza potranno utilizzare Microsoft Defender for Identity per proteggere le loro identità più preziose, garantendo un ambiente più sicuro e resiliente contro le tattiche più sofisticate degli aggressori.

Riferimenti:

[1]Microsoft Learn. Che cos'è Microsoft Defender per identità?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2]Microsoft Learn. Panoramica della distribuzione di Microsoft Defender per l'identità. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3]Microsoft Learn. Requisiti di licenza per Microsoft Defender for Identity. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements