使用 Microsoft Defender for Identity 检测高级攻击

使用 Microsoft Defender for Identity 检测高级攻击

2024年7月14日

这篇技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师使用 Microsoft Defender for Identity (MDI),这是一种基于云的安全解决方案,利用本地 Active Directory 信号来识别、检测和调查高级威胁和受损身份。 MDI 是 Microsoft 365 Defender 套件不可或缺的一部分,可提供对身份环境中可疑活动的关键可见性 [1]。

简介

身份是新的安全边界。现代网络攻击通常旨在损害用户和管理员凭据,以获得特权访问、执行横向移动和窃取数据。传统的网络安全解决方案通常不足以检测这些复杂的策略。 Microsoft Defender for Identity 通过监视域控制器的网络流量和事件日志来识别表明身份攻击的异常行为(例如传递哈希、传递票证、网络侦察和权限升级 [2])来填补这一空白。

本实用指南将涵盖 MDI 的配置和使用,从部署传感器到分析警报和调查事件。将提供分步说明、示例检测和验证方法,以便读者能够实施和加强对其身份的保护,减少风险暴露并提高对 Microsoft 环境中高级威胁的响应能力。

为什么 Microsoft Defender for Identity 至关重要?

  • 基于身份的攻击检测:识别身份攻击中使用的常见策略、技术和过程 (TTP),例如哈希传递、票证传递、黄金票证、网络侦察和权限升级。
  • 全面的可见性:监控来自域控制器和事件日志的网络流量,以构建正常用户行为的配置文件并检测异常情况。
  • 与 Microsoft 365 Defender 集成:将 MDI 警报与其他 Defender 解决方案(端点、Office 365、云应用程序)的信号关联起来,以获得事件的统一视图。
  • 行为分析:使用机器学习和行为分析来检测传统签名不会注意到的威胁。
  • 减少误报:Microsoft 威胁情报和行为分析可帮助您消除噪音并专注于真正的威胁。

先决条件

要实施 Microsoft Defender for Identity,您将需要以下项目:

  1. 许可:Microsoft 365 E5 安全性、Microsoft 365 E5、企业移动性 + 安全性 E5 许可证或 Defender for Identity 独立许可证 [3]。
  2. 管理访问权限:在 Microsoft 365 Defender 门户 (https://security.microsoft.com) 中具有“全局管理员”或“安全管理员”角色的帐户。
  3. Active Directory Local:本地 Active Directory 域,至少有一个域控制器。
  4. 传感器服务器(可选,但推荐):如果您不想将独立 MDI 传感器直接安装在域控制器上,则需要一台 Windows Server(2012 R2 或更高版本)服务器来安装它。如果安装在域控制器上,传感器将使用 DC 的资源。
  5. 网络连接:传感器服务器(或域控制器)必须具有到云 MDI 服务端点(TCP 端口 443)的出站连接。

分步:配置和使用 Microsoft Defender for Identity

我们将介绍传感器部署和警报分析。

1. 访问 Microsoft 365 Defender 门户并配置 MDI

  1. 打开浏览器并导航至“https://security.microsoft.com”。
  2. 使用具有必要权限的帐户登录。
  3. 在左侧导航窗格中,选择“设置”>“身份”。
  4. 在身份设置页面上,您将看到 MDI 环境的状态。如果尚未设置,请按照说明开始设置。

2.下载并安装 Microsoft Defender for Identity Sensor

MDI传感器可以直接安装到dom控制器中inium 或专用服务器(独立传感器)上。

  1. 在 Microsoft 365 Defender 门户中,转到 设置 > 身份 > 传感器
  2. 单击添加传感器

  3. 复制“访问密钥”并下载“传感器安装包”。

  4. 在要安装传感器的服务器(域控制器或专用服务器)上:

    • 运行安装包(“Azure 高级威胁防护传感器Setup.exe”)。
    • 按照向导的指示进行操作。出现提示时粘贴“访问密钥”。
    • 独立传感器注意事项:如果您要安装独立传感器,请确保在网络交换机上配置端口镜像,以将网络流量从域控制器发送到独立传感器的网络接口。

  5. 安装后,传感器应在 MDI 门户的 传感器 页面上显示为“正在运行”。

3. 配置传感器设置

配置传感器设置以确保最佳检测非常重要。

  1. 在 Microsoft 365 Defender 门户中,转到 设置 > 身份 > 传感器
  2. 单击传感器以编辑其设置。 3.检查并配置:
    • 域控制器:确保列出所有相关的域控制器。
    • 同步帐户:如果您有多个 Active Directory 林,请为每个林配置同步帐户。
    • 排除:(谨慎)为您知道合法并会产生误报的实体或活动配置排除项。

4. 分析安全警报

MDI 在检测到可疑或恶意活动时会生成警报。这些警报在 Microsoft 365 Defender 门户中可见。

  1. 在 Microsoft 365 Defender 门户的左侧导航窗格中,选择“事件和警报”>“警报”。
  2. 按“服务”=“Microsoft Defender for Identity”筛选警报。
  3. 单击警报可查看详细信息,包括:
    • 描述:解释攻击的性质。
    • 受影响的实体:涉及的用户、计算机和资源。
    • 攻击时间线:事件序列的直观表示。
    • 建议的操作:调查和修复警报的步骤。

5. 调查事件

MDI 将跨事件的相关警报关联起来,提供攻击的统一视图。

  1. 在 Microsoft 365 Defender 门户的左侧导航窗格中,选择“事件和警报”>“事件”。
  2. 单击事件可查看所有警报和相关实体,以及完整的攻击历史记录。
  3. 使用调查工具加深分析,例如用于自定义 KQL(Kusto 查询语言)查询的“高级搜索”。

验证和测试

验证 MDI 对于确保其正确检测威胁并生成警报至关重要。

1. 模拟哈希传递 (PtH) 攻击

要模拟 PtH 攻击,您需要一个带有域控制器和客户端计算机的测试环境。该测试必须极其谨慎地进行,并且只能在受控环境中进行。

  1. 在客户端计算机上,使用 Mimikatz 等工具为特权用户(例如“管理员”)提取 NTLM 哈希值。
    • 命令(例如,需要提升权限): ``cmd 特权::调试 sekurlsa::登录密码 ````
  2. 使用获得的哈希值尝试向网络上的另一台计算机(无需真实密码)进行身份验证。
    • 命令(例如,需要提升权限): ``cmd sekurlsa::pth /用户:管理员 /domain:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe ````
  3. 等待几分钟。
  4. 检查 Microsoft 365 Defender 门户是否有“可疑横向移动(哈希传递)”或来自 Microsoft Defender for Identity 的类似警报。

2. 模拟网络侦察

  1. 在测试计算机上,运行 MDI 可以检测到的网络发现命令。
    • 命令(所有用户的 LDAP 查询示例)cmd nltest /domain_trusts ```` 或cmd dsquery 用户限制 0 ````
  2. 等待几分钟。 3.检查Microsoft 36门户5 防御来自 Microsoft Defender for Identity 的“网络感知(用户/组枚举)”或类似警报。

安全提示和最佳实践

  • 完全域控制器覆盖:在所有域控制器上安装 MDI 传感器,以确保身份验证流量和日志的完全覆盖。
  • 正确的端口镜像:对于独立传感器,确保正确配置端口镜像以捕获所有相关流量。
  • 持续警报监控:主动监控 Microsoft 365 Defender 门户中 MDI 生成的警报并及时调查它们。
  • SIEM/SOAR 集成:将 MDI 警报与 SIEM(例如 Microsoft Sentinel)或 SOAR 集成,以实现事件响应自动化以及与其他安全数据的关联。
  • Active Directory 卫生:通过删除不活动帐户、应用最小权限原则和保护特权帐户来保持 Active Directory 清洁和安全。
  • 特权帐户保护:结合MDI实施PIM(特权身份管理),进一步保护特权帐户。
  • 补丁和更新:使用最新的安全补丁更新托管 MDI 传感器的域控制器和服务器。

常见故障排除

  • 传感器未显示为“正在运行”:检查传感器与云 MDI 服务(端口 443)的网络连接。检查传感器服务器上的事件日志是否存在安装或通信错误。重新启动传感器服务。
  • 未生成警报:检查传感器是否正在“运行”。确保来自域控制器的网络流量正确镜像到独立传感器(如果适用)。检查是否存在可能阻止检测的已配置排除项。
  • 误报警报:调查警报详细信息。您可能需要调整排除或设置以减少噪音,但请务必小心,以免忽视真正的威胁。
  • 域控制器性能问题:如果 MDI 传感器直接安装在域控制器上并且存在性能问题,请检查硬件要求并考虑在专用服务器上安装独立传感器。
  • 域同步问题:确保在 MDI 设置中正确配置每个 AD 林的同步帐户。

结论

Microsoft Defender for Identity 是防御针对组织身份基础结构的高级攻击的重要工具。通过提供对 Active Directory 的深入可见性并实时检测异常行为,MDI 使安全团队能够快速识别并响应横向移动、权限升级和凭据泄露等威胁。仔细实施 MDI,结合身份安全最佳实践以及与其他 Microsoft 365 Defender 解决方案的集成,可显着增强整体安全状况。通过本实用指南,安全专业人员将能够使用 Microsoft Defender for Identity 来保护他们最有价值的身份,确保提供更安全、更有弹性的环境来抵御攻击者最复杂的策略。

参考资料:

[1] 微软学习。 什么是 Microsoft Defender for Identity?。网址:https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] 微软学习。 Microsoft Defender for Identity 部署概述。位于:https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] 微软学习。 Microsoft Defender for Identity 许可要求。网址:https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements