Microsoft Defender for Identity biztonsági helyzetértékelései
A minden méretű szervezetek általában korlátozottan láthatják, hogy a helyszíni alkalmazásaik és szolgáltatásaik biztonsági rést jelenthetnek-e a szervezetük számára. A korlátozott láthatóság problémája különösen igaz a nem támogatott vagy elavult összetevők használatára.
Bár a vállalat jelentős időt és energiát fektethet az identitások és az identitásinfrastruktúra (például az Active Directory, az Active Directory Connect) meglévő projektként történő megerősítésébe, könnyű nem tudni a gyakori helytelen konfigurációkat és az örökölt összetevők használatát, amelyek az egyik legnagyobb fenyegetést jelentik a szervezet számára.
A Microsoft biztonsági kutatásaiból kiderül, hogy a legtöbb identitástámadás az Active Directory gyakori helytelen konfigurációit használja, és az örökölt összetevők (például az NTLMv1 protokoll) folyamatos használatát használja az identitások feltöréséhez és a szervezet sikeres megsértéséhez. Ennek hatékony leküzdése érdekében Microsoft Defender for Identity mostantól proaktív identitásbiztonsági állapotértékeléseket kínál a helyi Active Directory konfigurációkban végzett műveletek észleléséhez és ajánlásához.
Mit nyújtanak a Defender for Identity biztonsági értékelései?
A Defender for Identity biztonsági helyzetértékelései elérhetők a Microsoft biztonsági pontszámában, és az alábbiakat biztosítják:
Észlelések és környezetfüggő adatok az ismert kihasználható összetevőkről és helytelen konfigurációkról, valamint a megfelelő javítási útvonalakról.
A helyszíni identitások és az identitásinfrastruktúra aktív monitorozása, a meglévő Defender for Identity-érzékelő gyenge pontjainak figyelése.
Pontos értékelési jelentések a szervezet aktuális biztonsági helyzetéről a gyors válaszokhoz és a folyamatos monitorozás hatásának figyeléséhez.
A Microsoft biztonsági pontszáma egy szervezet biztonsági helyzetének mérése, amely nagyobb számmal jelzi a javasolt műveletek számát. A Microsoft Defender portálonhttps://security.microsoft.com/securescore található.
A Defender for Identity biztonsági állapotértékeléseinek kategorizálása
A Defender for Identity biztonsági helyzetértékeléseinek öt fő kategóriája van. Minden kategória konkrét identitásbiztonsági kockázatokkal foglalkozik, és szervizelési útmutatást nyújt.
- Hibrid biztonság: Azonosítja a helyszíni (például Active Directory) és felhőalapú identitásszolgáltatókat (pl. Entra ID, Okta) integráló környezetek helytelen konfigurációit. Felméri a különböző platformokon történő szinkronizálással, hitelesítéssel és engedélyezéssel kapcsolatos kockázatokat.
- Identitásinfrastruktúra: Észleli a helytelen konfigurációkat és a biztonsági réseket az alapvető identitás-összetevőkben, beleértve a tartományvezérlőket is.
- Tanúsítványok: Az Active Directory tanúsítványszolgáltatások (AD CS) biztonsági réseit, például a helytelenül konfigurált tanúsítványsablonokat vagy a gyenge hitelesítésszolgáltatói beállításokat értékeli ki. Ezeknek a problémáknak a azonosítása és kezelése segít megelőzni a tanúsítványokkal kapcsolatos biztonsági résekből eredő jogosulatlan hozzáférést.
- Csoportházirend: Elemzi Csoportházirend konfigurációkat, és azonosítja azokat a beállításokat, amelyek lehetővé teszik a jogosultságok eszkalálását vagy a hálózaton belüli jogosulatlan oldalirányú mozgást. A biztonságos Csoportházirend-beállítások biztosítása segít fenntartani a megfelelő hozzáférés-vezérlést és rendszerkonfigurációkat.
- Fiókok: Áttekinti a felhasználókat, eszközöket és csoportokat, hogy megállapítsa a biztonsági kockázatokat, például a gyenge jelszavakat, az inaktív fiókokat vagy a nem megfelelő engedélyeket.
A Defender for Identity biztonsági állapotának értékelései
Megjegyzés:
A Defender for Identity biztonsági állapotértékeléseinek a Microsoft biztonsági pontszámban való megtekintéséhez Defender for Identity-licenccel kell rendelkeznie.
Emellett, bár a tanúsítványsablonok értékelései minden olyan ügyfél számára elérhetők, akiknél az AD CS telepítve van a környezetükben, a hitelesítésszolgáltatói értékelések csak azoknak az ügyfeleknek érhetők el, akik érzékelőt telepítettek egy AD CS-kiszolgálóra.
A hibrid biztonsági javaslatok csak akkor lesznek elérhetők, ha Microsoft Defender for Identity érzékelő telepítve van a Microsoft Entra Connect-szolgáltatásokat futtató kiszolgálókon.
További információ: Érzékelők konfigurálása az AD FS, az AD CS és az Entra Connect számára.
Az identitásbiztonsági állapotértékelések elérése:
Nyissa meg a Microsoft Biztonsági pontszám irányítópultját.
Válassza az Ajánlott műveletek lapot. Megkereshet egy adott javasolt műveletet, vagy szűrheti az eredményeket (például az Identitás kategória szerint).
További részletekért válassza ki az értékelést.
Megjegyzés:
Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.