Tags: Active Directory, Sicherheit, Monitoring, Malware
Microsoft Defender for Identity ist eine Cloud-Lösung, die Angriffe auf das Active Directory erkennen kann. Sie analysiert dazu den Datenverkehr und das Benutzerverhalten auf DCs und ADFS-Servern. Darüber hinaus deckt sie Schwachstellen auf und erkennt Pfade, die Angreifer für die seitliche Bewegung im Netz nutzen könnten.
Microsoft Defender for Identity hat seine Wurzeln sowohl in Azure als auch in der ehemaligen Advanced Threat Protection (Azure ATP). Unternehmen müssen die Sicherheitslösung also nicht vor Ort bereitstellen, wenn man vom Sensor absieht, der auf den Domänen-Controllern installiert wird. Das Tool leitet zudem Admins bei der Behebung von Fehlkonfigurationen an.
Der Schutz durch Microsoft Defender for Identity beruht auf diesen vier Säulen:
- Vorbeugen: Direkt nach der Installation beginnt die Überwachung des Active Directory. Dazu gehört die Bewertung der Sicherheitskonfiguration und des AD-Schemas. Der Dienst gibt Empfehlungen, wie die Umgebung am besten geschützt werden kann, um Sicherheitsprobleme von vornherein zu verhindern.
- Entdecken: Dazu zählen Echtzeiterkennung und Datenanalysen. Sie umfassen die Überwachung von Netzwerkaktivitäten, Windows-Ereignissen und anderen Metriken, um Warnungen in Echtzeit für SecOps bereitzustellen. Diese erhalten damit die nötigen Belege, um die Bedrohung zu verstehen und sie zu entschärfen.
- Untersuchen: Bewertung von Benutzern, Aktivitätsereignissen und anderen kontextbezogenen Vorkommnissen. Sie helfen SecOps dabei, zu verstehen, was in der Umgebung vor sich geht, um optimal reagieren zu können.
- Reagieren: Automatische Maßnahmen für gefährdete Identitäten sowie halbautomatische Reaktionen auf Warnungen vor einer Bedrohung.
Microsoft Defender for Identity wird wöchentlich mit den neuesten Sicherheitsinformationen, Warnungen und Sicherheitsbewertungen aktualisiert. Zu den Bedrohungen und Aktivitäten, die das Tool erkennen kann, gehören unter anderem:
- Brute-Force-Versuche, um Zugang zu einem Konto zu erhalten (auch via AD FS)
- Verdächtige VPN-Verbindungen
- Fehlgeschlagene Logon-Versuche
- Verdächtige Änderungen von DC-Passwörtern über NetLogon
- Pass-the-Ticket
- Pass-the-Hash
- Golden-Ticket-Angriffe
- Verdächtige Änderungen bei Mitgliedschaften in Gruppen
Die Lösung entwickelt sich hinsichtlich ihrer Funktionen und der unterstützten Plattformen weiter. So hat Microsoft den Schutz von Active Directory Domain Services (AD DS) auf die Active Directory Federation Services (ADFS) ausgedehnt.
Wie passt der Dienst zu anderen Cloud-basierten Produkten von Microsoft? Microsoft Defender for Identity ist keine allumfassende Lösung. Er fügt sich jedoch vielmehr in den mehrschichtigen Ansatz ein, der Schutz für Folgendes umfasst:
- Anwendungen
- Endpoints
- E-Mails und Daten
Architektur von Microsoft Defender for Identity
Die Architektur von Microsoft Defender for Identity besteht aus folgenden Komponenten:
Portal: Hier erzeugt man eine Instanz von Defender for Identity-Instanz und zeigt die von den Remote-Sensoren empfangenen Daten an. Es dient hauptsächlich der Überwachung, Verwaltung und Untersuchung von Ereignissen.
Sensor: Der Datensammler vor Ort für Bedrohungssignale. Er überwacht den Netzwerkverkehr und Authentifizierungsanfragen.
Cloud-Dienst: Dieser läuft auf der Azure-Infrastruktur und ist mit dem intelligenten Sicherheitsgraphen von Microsoft verbunden.
Proaktive Reaktion auf Bedrohungssignale
Warnungen und Informationen über einen potenziellen Angriff alleine sind schon wichtig. Microsoft Defender for Identity bietet darüber hinaus noch folgende Funktionen zur automatischen Eindämmung von Bedrohungen:
- Benutzer deaktivieren: Ein kompromittierter Account kann proaktiv gesperrt werden, so dass sich der Benutzer nicht mehr bei AAD/AD anmelden kann.
- Benutzersitzungen beenden: Das Session- bzw. Access-Token wird automatisch für ungültig erklärt.
- Benutzerkennwort ändern bzw. zurücksetzen: Diese Aktion ändert das Passwort des Benutzers oder erzwingt, dass es der User bei der nächsten Anmeldung ändern muss.
- Den Benutzer als kompromittiert markieren: Die Risikostufe des Benutzers wird in AAD IP auf "hoch" gesetzt.
Anforderungen an den Sensor
Sie können sich den Sensor als den "Agenten" von Microsoft Defender for Identity vorstellen. Zu seinen Anforderungen gehören:
- Windows Server 2008 R2 SP1 und höher
- .NET-Framework 4.7
- 6 GB RAM, 2 CPU-Kerne
- Netzwerk-Port 443 (ausgehend), DNS, NetLogon, RADIUS (intern) und NTLM, NetBIOS und RDP auf Geräten zur Namensauflösung
- Dienstkonto bzw. Group Managed Service Account (schreibgeschützt)
- Überwachungsereignisse: 4726, 4728, 4729, 4730, 4732, 4733, 4743, 4753, 4756, 4757, 4758, 4763, 4776, 7045, 8004
Lizenzierung
Defender for Identity ist als Teil von Enterprise Mobility + Security E5/A5, Microsoft 365 E5/A5/G5, Microsoft 365 E5/A5/G5/F5 Security, Microsoft F5 Security & Compliance sowie Microsoft Defender for Identity for Users erhältlich. Sie können zudem eine Lizenz direkt über das Microsoft 365-Portal oder über das CSP-Programm erwerben.
Zusammenfassung
Da immer mehr Angriffe auf Microsoft Active Directory und die Anmeldedaten der User abzielen, ist der Schutz des Verzeichnisses von entscheidender Bedeutung für die Gesamtsicherheit eines Unternehmens.
Microsoft Defender for Identity bietet insgesamt eine interessante Sicherheitslösung für AD DS und AD FS, um potenzielle Bedrohungen in der Umgebung schnell zu erkennen und einzudämmen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
- Auditing: Administratoren im Active Directory überwachen
- Dell und Securonix bieten Security Analytics für Active Directory
- Monitoring: Kostenloses Tool prüft AD-Berechtigungen
- Active Directory absichern: Passwortregeln, priviligierte Gruppen prüfen, Baselines vergleichen
Weitere Links