Microsoft Defender for Identity er et uunnværlig produkt om du har lokal infrastruktur i et hybrid miljø med Microsoft 365 eller Azure. Defender for Identity oppdager kompromitterte brukere i Windows Active Directory, inntrengere som har klart å bryte seg inn i bedriftsnettet ditt, og trusler fra innsiden. Dette er det vanskelig, om ikke umulig, å få øye på uten spesialisert programvare. Med dagens trusselbilde bør du hele tiden gå ut fra at virksomheten din er under angrep. Statistisk tar det rundt 100 dager før angripere i nettverket ditt avdekkes om du ikke har denne type overvåking.
Defender for Identity går først gjennom en læringsfase for å analysere brukeratferd. Når og hvorfra logger brukere på, hvilke enheter benytter de? Hvilke applikasjoner og tjenester ber de om tilgang til? Hva slags nettverkshendelser genererer de? Avvikende atferd flagges som mistenkelig. Defender for Identity gjenkjenner typiske aktiviteter knyttet til drapskjeden i et cyberangrep, som omfatter rekognosering, sidelengs bevegelse, domeneherredømme og data-eksfiltrering. Produktet inngår i Microsoft 365 Defender sammen med andre beskyttelsesmekanismer.
Egenskaper ved Defender for Identity
Microsoft Defender for Identity (MDI) – tidligere kjent som Azure Advanced Threat Protection (ATP) – er basert på en firetrinnsmodell som analyserer, lærer, oppdager og varsler:
- Analyse. MDI benytter en egen teknologi basert på dyp pakke-inspeksjon, for å analysere all trafikk til og fra domenekontrollere. Den kan også samle viktige hendelser fra andre kilder.
- Læring. MDI begynner automatisk med å lære og profilere atferden til brukere, enheter og ressurser for å bygge opp et kart over hvordan de spiller sammen.
- Oppdagelse. MDI identifiserer om brukere eller enheter oppfører seg unormalt og markerer hendelsene med et rødt flagg om nødvendig.
- Varslinger. MDI rapporterer om mistenkelige aktiviteter på en oversiktlig angrepstidslinje, som gir informasjon om hvem, hva, når og hvordan – med forslag til botemidler.
Defender for Identity gjenkjenner trusler kjapt: Det benytter seg av atferdsanalyse for å reagere fort med selvlærende, avansert intelligens. Tilpass deg like raskt som angripere: Ta i bruk kontinuerlig oppdaterte kunnskaper som bygger på endringer i brukeratferden og driften av virksomheten din. Fokuser bare på viktige hendelser: Angrepstidslinjen sørger for en tydelig og praktisk visning av suspekte aktiviteter eller vedvarende trusler. Reduser falske positiver: Du mottar varsler bare etter at mistenkelige aktiviteter er satt i rett kontekst og bekreftet. Prioriter og planlegg neste trinn: Du får anbefalinger om hva du bør gjøre for hver mistenkelig aktivitet.
Utfordringen består i å sikre brukere, enheter, applikasjoner og data i skyen og lokalt. Defender for Identity er integrert med Azure AD Identity Protection, som automatisk oppdager og utbedrer risikoer knyttet til skybrukere. MDI samarbeider med Microsoft Defender for Endpoint (MDE), som beskytte enheter mot angrep og skadevare, og Microsoft Cloud App Security (MCSA), som avslører skygge-IT og bidrar til å verne om bedriftsdata i skyapper.
Komponentene i Defender for Identity
Når du tar i bruk Defender for Identity, opprettes det en egen instans i Azure. Du laster ned sensorer fra skytjenesten og installerer dem på alle domenekontrollere, eventuelt på servere med Active Directory Federation Services (AD FS), som gir enkel pålogging til systemer og applikasjoner på tvers av organisasjonsgrenser. Sensorene fanger opp all trafikk mellom klienter og autentiseringsserverne sammen med hendelsesloggene i Windows. Så setter du opp integrasjoner med Azure AD Identity Protection og andre produkter i Microsoft 365 Defender-porteføljen. Defender for Identity har sin egen portal, med det anbefales at du benytter Cloud App Security for en forbedret opplevelse.
Analyse av brukeratferd
UBA – user behavior analytics eller analyse av brukeratferd – angir prosessen med å samle innsikt i nettverkshendelser som brukere genererer, og oppdage ondsinnede aktiviteter fra inntrengere. Konsulentselskapet Gartner la til betegnelsen entitet i produktkategorien, omtalt som User and Entity Behavior Analytics (UEBA) for å få med mer enn bare individuelle brukere, som endepunkter, applikasjoner og nettverksenheter som kan bli kompromittert. Gartner anser UEBA for å være ett av de viktigste produktene en virksomhet bør ta i bruk. Det finnes et vidt produktspekter å velge mellom. Det som kjennetegner Defender for Identity er den tette integrasjon i Microsoft 365.
Nye regler for en ny virkelighet
Dagens nettverksaktiviteter er uendelig komplekse og krever nye regler for en ny virkelighet. Bruken av skytjenester øker. Ansatte jobber på tvers av organisasjoner og utenfor huset. Stadig flere er sjelden eller aldri innom lokalnettet. Der ute utspiller det seg et intrikat flettverk av brukeridentiteter og enheter, samarbeidspartnere og kunder, tjenester og skyapper. Det eneste konstante er brukerne som jobber når som helst, hvor som helst, på hva som helst. Dette gjør identiteten til det nye kontrollnivået. Defender for Identity tar hånd om brukeridentiteter på deres enheter i lokalnettet, mens andre tjenester sikrer dem i skyen.
Hvordan fungerer Defender for Identity?
Defender for Identity fokuserer på brukeraktivitet til forskjell fra statiske trussel-indikatorer og kan på den måten oppdage mistenkelig atferd tidlig i et angrep. I dag er det blitt mye lettere enn noensinne å omgå eksterne forsvarsverk for å infiltrere et bedriftsnettverk og maskere seg som intern ansatt. Her kan angriperen stjele følsomme data og forårsake økonomisk skade. Defender for Identity avslører skjulte angriperteknikker ved å avdekke unormale mønstre i brukeratferden som kan tyde på kompromitterte påloggingsopplysninger.
Defender for Identity lar deg lettere avgjøre om potensielle trusler kommer innenfra eller utenfra. Det kobler aktiviteten til en bestemt bruker og enhet. Det betyr at om hun eller han begynner å oppføre seg på en uvanlig eller usannsynlig måte, vil du raskt kunne oppdage det og gå i gang med å etterforske om nødvendig. Stjålet legitimasjon – eller identitetstyveri – er en vanlig angrepsmetode. Forbryterne får tak i den via phishing, sosial manipulering eller skadelig programvare.
I de fleste lokalnettene for små og mellomstore bedrifter holder det som regel med riktig brukernavn og passord. Når angriperne er i stand til å logge på, kan de stille bevege seg innenfor et nettverk uten å bli oppdaget. Men de vil oppføre seg annerledes, som å rekognosere infrastrukturen og flytte seg sidelengs fra maskin til maskin. Det er disse aktivitetene du ikke ser, men som Defender for Identity klarer å oppdage og varsle om.
Varslerpolicyer i Defender for Identity
Cloud App Security gir en samlet oversikt over ondsinnede aktiviteter i Azure AD og Windows AD. Her vises policyene for noen av de mest alvorlige. Det er flere hundre regelsett, mange ikke like faretruende, men nok til å være en indikasjon at du kan være utsatt for et angrep.
Men det begynner gjerne fredelig med aktiviteter som normale brukere vanligvis ikke utfører, som å få tak i interne IP-adresser og få en oversikt over SMB-sesjoner mot domenekontrollerne. Neste steg er at bruker beveger seg videre til andre maskiner, en såkalt sidelengs eller lateral bevegelse (noe min datter heller ikke foretar seg). Målet er å øke rettighetene og ende opp med den gylne Kerberos-billetten for å få domeneherredømme. Et viktig poeng er at de kriminelle for det meste benytter legitime verktøy som ikke utløser noe varsler fra tradisjonell antivirus – de er living-off-the-land, lever av det landet har å by på.
Sikkerhetsstatus for identiteter
Integrasjonen i Cloud App Security gir deg råd om å sikre identiteter og endepunkter. Både for anbefalinger og flagging av mistenkelig aktivitet brukes i maskinlæring i utstrakt grad.
Avsluttende ord
Defender for Identity overvåker og undersøker suspekte aktiviteter og forskjellige former for trusler på bedriftsnettverket. Det er helt avgjørende for enhver virksomhet med et hybrid miljø å beskytte seg på denne måten. Uansett om du prøver å finne mistenkelige innsidetrusler, inntrengere som beveger seg langs cyberdrapskjeden eller overvåker privilegerte kontoer, tilbyr Defender for Identity en oppdatert sikkerhetslinje for lokal IT-infrastruktur og varsler deg tidlig om mulige angrep.
Grafikken er hentet fra Microsoft.