Microsoft Defender gebruiken voor identiteit om geavanceerde aanvallen te detecteren

Microsoft Defender gebruiken voor identiteit om geavanceerde aanvallen te detecteren

14-07-2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het gebruik van Microsoft Defender for Identity (MDI), een cloudgebaseerde beveiligingsoplossing die gebruikmaakt van lokale Active Directory-signalen om geavanceerde bedreigingen en gecompromitteerde identiteiten te identificeren, detecteren en onderzoeken. MDI is een integraal onderdeel van de Microsoft 365 Defender-suite en biedt kritisch inzicht in verdachte activiteiten in de identiteitsomgeving [1].

Introductie

Identiteiten zijn de nieuwe veiligheidsperimeter. Moderne cyberaanvallen zijn vaak bedoeld om de inloggegevens van gebruikers en beheerders in gevaar te brengen om geprivilegieerde toegang te verkrijgen, zijwaartse bewegingen uit te voeren en gegevens te exfiltreren. Traditionele netwerkbeveiligingsoplossingen zijn vaak niet voldoende om deze geavanceerde tactieken te detecteren. Microsoft Defender for Identity vult deze leemte op door het netwerkverkeer en de gebeurtenislogboeken van domeincontrollers te monitoren om afwijkend gedrag te identificeren dat duidt op identiteitsaanvallen, zoals Pass-the-Hash, Pass-the-Ticket, netwerkverkenning en escalatie van bevoegdheden [2].

Deze praktische gids behandelt de configuratie en het gebruik van MDI, van het inzetten van sensoren tot het analyseren van waarschuwingen en het onderzoeken van incidenten. Er zullen stapsgewijze instructies, voorbeelddetecties en validatiemethoden worden verstrekt, zodat lezers de bescherming van hun identiteit kunnen implementeren en versterken, waardoor de blootstelling aan risico's wordt verminderd en de reactiesnelheid op geavanceerde bedreigingen in hun Microsoft-omgeving wordt verbeterd.

Waarom is Microsoft Defender for Identity cruciaal?

  • Op identiteit gebaseerde aanvalsdetectie: Identificeert algemene tactieken, technieken en procedures (TTP's) die worden gebruikt bij identiteitsaanvallen, zoals Pass-the-Hash, Pass-the-Ticket, Golden Ticket, netwerkverkenning en escalatie van bevoegdheden.
  • Uitgebreid inzicht: bewaakt netwerkverkeer van domeincontrollers en gebeurtenislogboeken om een ​​profiel op te bouwen van normaal gebruikersgedrag en afwijkingen te detecteren.
  • Integratie met Microsoft 365 Defender: correleert MDI-waarschuwingen met signalen van andere Defender-oplossingen (Endpoint, Office 365, Cloud Apps) voor een uniform beeld van incidenten.
  • Gedragsanalyse: maakt gebruik van machinaal leren en gedragsanalyse om bedreigingen te detecteren die onopgemerkt zouden blijven door traditionele handtekeningen.
  • Verminder valse positieven: Microsoft-dreigingsinformatie en gedragsprofilering helpt u de ruis te doorbreken en u te concentreren op echte bedreigingen.

Vereisten

Om Microsoft Defender for Identity te implementeren, hebt u de volgende items nodig:

  1. Licenties: een Microsoft 365 E5 Security-, Microsoft 365 E5-, Enterprise Mobility + Security E5-licentie of een zelfstandige Defender for Identity-licentie [3].
  2. Beheerderstoegang: een account met de rol van Global Administrator of Security Administrator in de Microsoft 365 Defender-portal (https://security.microsoft.com).
  3. Active Directory Lokaal: Een lokaal Active Directory-domein, met minimaal één domeincontroller.
  4. Server voor sensor (optioneel, maar aanbevolen): een Windows Server-server (2012 R2 of hoger) om de standalone MDI-sensor te installeren als u deze niet rechtstreeks op de domeincontrollers wilt installeren. Indien geïnstalleerd op een domeincontroller, gebruikt de sensor bronnen van de DC.
  5. Netwerkconnectiviteit: de sensorserver (of domeincontroller) moet uitgaande connectiviteit hebben met de cloud-MDI-service-eindpunten (TCP-poort 443).

Stap voor stap: Microsoft Defender for Identity configureren en gebruiken

We behandelen de inzet van sensoren en de analyse van waarschuwingen.

1. Toegang krijgen tot de Microsoft 365 Defender Portal en MDI configureren

  1. Open uw browser en navigeer naar https://security.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.
  3. Selecteer in het linkernavigatievenster Instellingen > Identiteiten.
  4. Op de pagina met identiteitsinstellingen ziet u de status van uw MDI-omgeving. Als dit nog niet is ingesteld, volgt u de instructies om met de installatie te beginnen.

2. Microsoft Defender voor Identity Sensor downloaden en installeren

De MDI-sensor kan rechtstreeks in de domcontrollers worden geïnstalleerdinium of op een speciale server (standalone sensor).

  1. Ga in de Microsoft 365 Defender-portal naar Instellingen > Identiteiten > Sensoren.
  2. Klik op Sensor toevoegen.

  3. Kopieer de 'Toegangssleutel' en download het 'Sensorinstallatiepakket'.

  4. Op de server (domeincontroller of dedicated server) waar u de sensor wilt installeren:

    • Voer het installatiepakket uit (Azure Advanced Threat Protection Sensor Setup.exe).
    • Volg de instructies van de wizard. Plak de 'Toegangssleutel' wanneer daarom wordt gevraagd.
    • Opmerking voor zelfstandige sensor: Als u een zelfstandige sensor installeert, zorg er dan voor dat poortspiegeling op uw netwerkswitches is geconfigureerd om netwerkverkeer van domeincontrollers naar de netwerkinterface van de zelfstandige sensor te sturen.

  5. Na installatie zou de sensor als 'Actief' moeten verschijnen op de pagina Sensoren van het MDI-portaal.

3. Sensorinstellingen configureren

Het is belangrijk om de sensorinstellingen te configureren om een optimale detectie te garanderen.

  1. Ga in de Microsoft 365 Defender-portal naar Instellingen > Identiteiten > Sensoren.
  2. Klik op een sensor om de instellingen ervan te bewerken.
  3. Controleer en configureer:
    • Domeincontrollers: zorg ervoor dat alle relevante domeincontrollers worden vermeld.
    • Accounts synchroniseren: als u meerdere Active Directory-forests heeft, configureert u synchronisatie-accounts voor elk forest.
    • Uitsluitingen: (met voorzichtigheid) Configureer uitsluitingen voor entiteiten of activiteiten waarvan u weet dat ze legitiem zijn en valse positieven genereren.

4. Beveiligingswaarschuwingen analyseren

MDI genereert waarschuwingen wanneer het verdachte of kwaadwillige activiteiten detecteert. Deze waarschuwingen zijn zichtbaar in de Microsoft 365 Defender-portal.

  1. Selecteer in het linkernavigatievenster van de Microsoft 365 Defender-portal Incidenten en waarschuwingen > Waarschuwingen.
  2. Filter waarschuwingen op Service = Microsoft Defender for Identity.
  3. Klik op een waarschuwing om details te bekijken, waaronder:
    • Beschrijving: Verklaart de aard van de aanval.
    • Betrokken entiteiten: Betrokken gebruikers, computers en bronnen.
    • Aanvalstijdlijn: een visuele weergave van de reeks gebeurtenissen.
    • Aanbevolen acties: stappen om de waarschuwing te onderzoeken en te verhelpen.

5. Incidenten onderzoeken

MDI correleert gerelateerde waarschuwingen voor incidenten, waardoor een uniform beeld van een aanval ontstaat.

  1. Selecteer in het linkernavigatievenster van de Microsoft 365 Defender-portal Incidenten en waarschuwingen > Incidenten.
  2. Klik op een incident om alle waarschuwingen en gerelateerde entiteiten te bekijken, evenals de volledige aanvalsgeschiedenis.
  3. Gebruik onderzoekshulpmiddelen om de analyse te verdiepen, zoals 'Advanced Hunting' voor aangepaste KQL-query's (Kusto Query Language).

Validatie en testen

Het valideren van de MDI is essentieel om ervoor te zorgen dat deze bedreigingen correct detecteert en waarschuwingen genereert.

1. Een Pass-the-Hash (PtH)-aanval simuleren

Om een PtH-aanval te simuleren heeft u een testomgeving nodig met een domeincontroller en een clientcomputer. Deze test moet met uiterste voorzichtigheid worden uitgevoerd en alleen in gecontroleerde omgevingen.

  1. Gebruik op een clientcomputer een tool zoals Mimikatz om de NTLM-hash voor een bevoorrechte gebruiker (bijvoorbeeld 'Beheerder') te extraheren.
    • Opdracht (vereist bijvoorbeeld verhoogde rechten): cmd privilege::debuggen sekurlsa::aanmeldingswachtwoorden
  2. Gebruik de verkregen hash om te proberen zich te authenticeren op een andere computer in het netwerk zonder het echte wachtwoord.
    • Opdracht (vereist bijvoorbeeld verhoogde rechten): cmd sekurlsa::pth /user:Administrator /domein:mijndomein.com /ntlm:HASH_DO_ADMIN /run:cmd.exe
  3. Wacht een paar minuten.
  4. Controleer de Microsoft 365 Defender-portal op een 'Verdachte laterale beweging (Pass-the-Hash)' of soortgelijke waarschuwing van Microsoft Defender for Identity.

2. Een netwerkverkenning simuleren

  1. Voer op een testmachine een netwerkdetectieopdracht uit die MDI kan detecteren.
    • Opdracht (voorbeeld LDAP-query voor alle gebruikers): cmd nltest /domein_vertrouwens of cmd dsquery-gebruiker -limiet 0
  2. Wacht een paar minuten.
  3. Controleer de Microsoft 36-portal5 Verdedig u tegen een 'Network Awareness (User/Group Enumeration)' of soortgelijke waarschuwing van Microsoft Defender for Identity.

Beveiligingstips en best practices

  • Volledige dekking van domeincontrollers: Installeer MDI-sensoren op alle domeincontrollers om volledige dekking van authenticatieverkeer en logboeken te garanderen.
  • Juiste poortspiegeling: Zorg er bij zelfstandige sensoren voor dat poortspiegeling correct is geconfigureerd om al het relevante verkeer vast te leggen.
  • Continu toezicht op waarschuwingen: controleer actief waarschuwingen gegenereerd door MDI in de Microsoft 365 Defender-portal en onderzoek deze onmiddellijk.
  • SIEM/SOAR-integratie: Integreer MDI-waarschuwingen met uw SIEM (bijvoorbeeld Microsoft Sentinel) of SOAR voor automatisering van incidentrespons en correlatie met andere beveiligingsgegevens.
  • Active Directory-hygiëne: Houd Active Directory schoon en veilig door inactieve accounts te verwijderen, het principe van de minste privileges toe te passen en geprivilegieerde accounts te beschermen.
  • Privileged Account Protection: Implementeer PIM (Privileged Identity Management) in combinatie met MDI om geprivilegieerde accounts verder te beschermen.
  • Patches en updates: Houd domeincontrollers en servers die MDI-sensoren hosten up-to-date met de nieuwste beveiligingspatches.

Algemene probleemoplossing

  • Sensor wordt niet weergegeven als "Actief": Controleer de netwerkconnectiviteit van de sensor met de cloud MDI-service (poort 443). Controleer de gebeurtenislogboeken op de sensorserver op installatie- of communicatiefouten. Start de sensorservice opnieuw.
  • Geen waarschuwing gegenereerd: Controleer of de sensor "actief" is. Zorg ervoor dat het netwerkverkeer van de domeincontrollers correct wordt gespiegeld naar de zelfstandige sensor (indien van toepassing). Controleer op geconfigureerde uitsluitingen die detectie mogelijk verhinderen.
  • False-positieve waarschuwingen: onderzoek waarschuwingsdetails. Mogelijk moet u de uitsluitingen of instellingen aanpassen om ruis te verminderen, maar doe dit wel met de nodige voorzichtigheid om echte bedreigingen niet te negeren.
  • Prestatieproblemen met domeincontroller: Als de MDI-sensor rechtstreeks op een domeincontroller is geïnstalleerd en er prestatieproblemen zijn, controleer dan de hardwarevereisten en overweeg om een ​​zelfstandige sensor op een speciale server te installeren.
  • Problemen met domeinsynchronisatie: Zorg ervoor dat de synchronisatieaccounts voor elk AD-forest correct zijn geconfigureerd in de MDI-instellingen.

Conclusie

Microsoft Defender for Identity is een essentieel hulpmiddel bij de verdediging tegen geavanceerde aanvallen die zich richten op de identiteitsinfrastructuur van een organisatie. Door diep inzicht te bieden in Active Directory en afwijkend gedrag in realtime te detecteren, stelt MDI beveiligingsteams in staat snel bedreigingen zoals laterale verplaatsing, escalatie van bevoegdheden en het in gevaar brengen van inloggegevens te identificeren en erop te reageren. Zorgvuldige implementatie van MDI, gecombineerd met best practices voor identiteitsbeveiliging en integratie met andere Microsoft 365 Defender-oplossingen, versterkt de algehele beveiligingshouding aanzienlijk. Met deze praktische gids kunnen beveiligingsprofessionals Microsoft Defender for Identity gebruiken om hun meest waardevolle identiteiten te beschermen, waardoor een veiligere en veerkrachtigere omgeving wordt gegarandeerd tegen de meest geavanceerde tactieken van aanvallers.

Referenties:

[1] Microsoft Leer. Wat is Microsoft Defender voor identiteit?. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft Leer. Overzicht van Microsoft Defender for Identity-implementatie. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft Leer. Microsoft Defender for Identity-licentievereisten. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements