Использование Microsoft Defender для идентификации для обнаружения сложных атак

Использование Microsoft Defender для идентификации для обнаружения сложных атак

14.07.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам использовать Microsoft Defender for Identity (MDI), облачное решение безопасности, которое использует локальные сигналы Active Directory для идентификации, обнаружения и исследования сложных угроз и скомпрометированных личных данных. MDI является неотъемлемой частью пакета Microsoft 365 Defender, обеспечивающим критически важную видимость подозрительной активности в среде идентификации [1].

Введение

Личности — это новый периметр безопасности. Современные кибератаки часто направлены на компрометацию учетных данных пользователей и администраторов для получения привилегированного доступа, горизонтального перемещения и кражи данных. Традиционных решений сетевой безопасности зачастую недостаточно для обнаружения таких сложных тактик. Microsoft Defender for Identity восполняет этот пробел, отслеживая сетевой трафик и журналы событий контроллеров домена для выявления аномального поведения, указывающего на атаки на идентификацию, такие как Pass-the-Hash, Pass-the-Ticket, сетевая разведка и повышение привилегий [2].

В этом практическом руководстве будут рассмотрены настройка и использование MDI: от развертывания датчиков до анализа предупреждений и расследования инцидентов. Будут предоставлены пошаговые инструкции, примеры обнаружения и методы проверки, чтобы читатели могли реализовать и усилить защиту своих личных данных, снижая подверженность рискам и улучшая реагирование на сложные угрозы в своей среде Microsoft.

Почему Microsoft Defender for Identity так важен?

  • Обнаружение атак на основе личных данных: определяет распространенные тактики, методы и процедуры (TTP), используемые в атаках на основе личных данных, такие как Pass-the-Hash, Pass-the-Ticket, Golden Ticket, сетевая разведка и повышение привилегий.
  • Комплексная видимость: отслеживает сетевой трафик от контроллеров домена и журналы событий для создания профиля нормального поведения пользователей и обнаружения аномалий.
  • Интеграция с Microsoft 365 Defender: Сопоставляет оповещения MDI с сигналами других решений Defender (Endpoint, Office 365, Cloud Apps) для унифицированного представления инцидентов.
  • Поведенческий анализ: использует машинное обучение и поведенческий анализ для обнаружения угроз, которые остались бы незамеченными с помощью традиционных сигнатур.
  • Уменьшите количество ложных срабатываний. Анализ угроз и профилирование поведения Microsoft помогут вам избавиться от шума и сосредоточиться на реальных угрозах.

Предварительные условия

Чтобы реализовать Microsoft Defender для удостоверений, вам потребуются следующие элементы:

  1. Лицензирование: лицензия Microsoft 365 E5 Security, Microsoft 365 E5, Enterprise Mobility + Security E5 или отдельная лицензия Defender for Identity [3].
  2. Административный доступ: учетная запись с ролью «Глобальный администратор» или «Администратор безопасности» на портале Microsoft 365 Defender («https://security.microsoft.com»).
  3. Локальный Active Directory: локальный домен Active Directory, по крайней мере, с одним контроллером домена.
  4. Сервер для датчика (необязательно, но рекомендуется): сервер Windows Server (2012 R2 или более поздней версии) для установки автономного датчика MDI, если вы не хотите устанавливать его непосредственно на контроллерах домена. Если датчик установлен на контроллере домена, он использует ресурсы контроллера домена.
  5. Сетевое подключение. Сенсорный сервер (или контроллер домена) должен иметь исходящее подключение к конечным точкам облачной службы MDI (TCP-порт 443).

Шаг за шагом: настройка и использование Microsoft Defender для идентификации

Мы рассмотрим развертывание датчиков и анализ предупреждений.

1. Доступ к порталу Защитника Microsoft 365 и настройка MDI

  1. Откройте браузер и перейдите по адресу https://security.microsoft.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.
  3. На левой панели навигации выберите Настройки > Идентификаторы.
  4. На странице настроек удостоверений вы увидите состояние вашей среды MDI. Если он еще не настроен, следуйте инструкциям, чтобы начать настройку.

2. Загрузка и установка Microsoft Defender для Identity Sensor

Датчик MDI можно установить непосредственно в контроллеры дома.inium или на выделенном сервере (автономный датчик).

  1. На портале Защитника Microsoft 365 перейдите в раздел Настройки > Идентификаторы > Датчики.
  2. Нажмите Добавить датчик.

  3. Скопируйте «Ключ доступа» и загрузите «Пакет установки датчика».

  4. На сервере (контроллере домена или выделенном сервере), на котором вы хотите установить датчик:

    • Запустите установочный пакет («Azure Advanced Threat Protection Sensor Setup.exe»).
    • Следуйте инструкциям мастера. Вставьте «Ключ доступа», когда будет предложено.
    • Примечание для автономного датчика. Если вы устанавливаете автономный датчик, убедитесь, что на ваших сетевых коммутаторах настроено зеркалирование портов для отправки сетевого трафика от контроллеров домена на сетевой интерфейс автономного датчика.

  5. После установки датчик должен появиться как «Работает» на странице Датчики портала MDI.

3. Настройка параметров датчика

Важно настроить параметры датчика, чтобы обеспечить оптимальное обнаружение.

  1. На портале Защитника Microsoft 365 перейдите в раздел Настройки > Идентификаторы > Датчики.
  2. Нажмите датчик, чтобы изменить его настройки.
  3. Проверьте и настройте:
    • Контроллеры домена: убедитесь, что в списке указаны все соответствующие контроллеры домена.
    • Учетные записи синхронизации. Если у вас несколько лесов Active Directory, настройте учетные записи синхронизации для каждого леса.
    • Исключения: (с осторожностью) Настройте исключения для объектов или действий, которые, как вы знаете, являются законными и генерируют ложные срабатывания.

4. Анализ предупреждений безопасности

MDI генерирует оповещения при обнаружении подозрительной или вредоносной активности. Эти оповещения отображаются на портале Защитника Microsoft 365.

  1. В левой области навигации портала Защитника Microsoft 365 выберите Инциденты и оповещения > Оповещения.
  2. Отфильтруйте оповещения по параметру «Служба» = «Защитник Microsoft для удостоверений».
  3. Нажмите оповещение, чтобы просмотреть подробную информацию, в том числе:
    • Описание: объясняет природу атаки.
    • Затронутые объекты: задействованные пользователи, компьютеры и ресурсы.
    • Хронология атаки: визуальное представление последовательности событий.
    • Рекомендуемые действия: действия по изучению и устранению предупреждения.

5. Расследование инцидентов

MDI сопоставляет связанные оповещения с инцидентами, обеспечивая единое представление об атаке.

  1. В левой области навигации портала Защитника Microsoft 365 выберите Инциденты и оповещения > Инциденты.
  2. Нажмите на инцидент, чтобы просмотреть все оповещения и связанные с ним объекты, а также полную историю атак.
  3. Используйте инструменты расследования для более глубокого анализа, например «Расширенный поиск» для пользовательских запросов KQL (язык запросов Kusto).

Проверка и тестирование

Проверка MDI необходима для обеспечения правильного обнаружения угроз и генерации предупреждений.

1. Имитация атаки Pass-the-Hash (PtH)

Для имитации PtH-атаки вам потребуется тестовая среда с контроллером домена и клиентским компьютером. Этот тест необходимо проводить с особой осторожностью и только в контролируемых условиях.

  1. На клиентском компьютере используйте такой инструмент, как Mimikatz, чтобы извлечь хэш NTLM для привилегированного пользователя (например, «Администратора»).
    • Команда (пример, требует повышенных привилегий): cmd привилегия::отладка секурлса::logonpasswords
  2. Используйте полученный хэш, чтобы попытаться авторизоваться на другом компьютере в сети без настоящего пароля.
    • Команда (пример, требует повышенных привилегий): cmd sekurlsa::pth /user:Administrator /domain:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe
  3. Подождите несколько минут.
  4. Проверьте портал Защитника Microsoft 365 на наличие «Подозрительного бокового движения (Pass-the-Hash)» или аналогичного предупреждения от Защитника Microsoft для идентификации.

2. Имитация сетевой разведки

  1. На тестовой машине запустите команду обнаружения сети, которую может обнаружить MDI.
    • Команда (пример запроса LDAP для всех пользователей): cmd nltest /domain_trusts или cmd Пользователь dsquery -limit 0
  2. Подождите несколько минут.
  3. Проверьте портал Microsoft 36.5 Защититесь от «Сетевой осведомленности (перечисление пользователей/групп)» или аналогичного предупреждения от Microsoft Defender для идентификации.

Советы и рекомендации по безопасности

  • Полное покрытие контроллеров домена: установите датчики MDI на все контроллеры домена, чтобы обеспечить полный охват трафика и журналов аутентификации.
  • Правильное зеркалирование портов. Для автономных датчиков убедитесь, что зеркалирование портов настроено правильно для захвата всего соответствующего трафика.
  • Непрерывный мониторинг предупреждений. Активно отслеживайте оповещения, созданные MDI, на портале Microsoft 365 Defender и оперативно исследуйте их.
  • Интеграция SIEM/SOAR: интегрируйте оповещения MDI с вашим SIEM (например, Microsoft Sentinel) или SOAR для автоматизации реагирования на инциденты и корреляции с другими данными безопасности.
  • Гигиена Active Directory: поддерживайте чистоту и безопасность Active Directory, удаляя неактивные учетные записи, применяя принцип минимальных привилегий и защищая привилегированные учетные записи.
  • Защита привилегированных учетных записей: внедрите PIM (управление привилегированными учетными записями) в сочетании с MDI для дополнительной защиты привилегированных учетных записей.
  • Исправления и обновления: обновляйте контроллеры домена и серверы, на которых размещены датчики MDI, последними исправлениями безопасности.

Распространенное устранение неполадок

  • Датчик не отображается как «Работает»: проверьте сетевое подключение датчика к облачной службе MDI (порт 443). Проверьте журналы событий на сервере датчиков на наличие ошибок установки или связи. Перезапустите службу датчика.
  • Предупреждение не генерируется: проверьте, работает ли датчик. Убедитесь, что сетевой трафик от контроллеров домена правильно зеркалируется на автономный датчик (если применимо). Проверьте настроенные исключения, которые могут препятствовать обнаружению.
  • Ложно-положительные оповещения: изучите детали оповещения. Возможно, вам придется настроить исключения или настройки, чтобы уменьшить шум, но делайте это осторожно, чтобы не игнорировать реальные угрозы.
  • Проблемы с производительностью контроллера домена. Если датчик MDI установлен непосредственно на контроллере домена и возникают проблемы с производительностью, проверьте требования к оборудованию и рассмотрите возможность установки автономного датчика на выделенном сервере.
  • Проблемы с синхронизацией домена. Убедитесь, что учетные записи синхронизации для каждого леса AD настроены правильно в настройках MDI.

Заключение

Microsoft Defender for Identity — это важный инструмент защиты от сложных атак, нацеленных на инфраструктуру удостоверений организации. Обеспечивая глубокую видимость Active Directory и обнаруживая аномальное поведение в режиме реального времени, MDI позволяет командам безопасности быстро выявлять и реагировать на такие угрозы, как горизонтальное перемещение, повышение привилегий и компрометацию учетных данных. Тщательное внедрение MDI в сочетании с передовыми методами обеспечения безопасности удостоверений и интеграцией с другими решениями Microsoft 365 Defender значительно укрепляет общий уровень безопасности. Благодаря этому практическому руководству специалисты по безопасности смогут использовать Microsoft Defender for Identity для защиты своих наиболее ценных личных данных, обеспечивая более безопасную и устойчивую среду против самых изощренных тактик злоумышленников.

Ссылки:

[1] Microsoft Learn. Что такое Microsoft Defender для идентификации?. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft Learn. Обзор развертывания Microsoft Defender для удостоверений. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft Learn. Требования к лицензированию Microsoft Defender for Identity. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements