利用Defender for Identity保護企業身份安全

Microsoft Defender for Identity是一個基於雲的安全解決方案，利用本地 Active Directory信號識別、檢測並調查針對企業內部的高級威脅、身份盜用和惡意內部操做。Defender for Identity以前的名字Azure ATP爲微軟三大ATP之一，你們應該不陌生。ATP對應的本地部署版本爲Advanced Threat Analytics（ATA 已於2021年1月12日結束主流支持。擴展支持將持續到2026年1月。）
Microsoft Defender for Identity體系架構

Defender for Identity須要在企業環境中安裝傳感器，在ATA體系中叫作ATA網關。傳感器能夠選擇直接安裝在域控服務器和ADFS服務器上，也能夠獨立安裝（須要作域控的端口鏡像）
傳感器會在本地收集相關事件和日誌信息，並傳輸到Defender for Identity門戶中，同時Defender雲服務會鏈接到Microsoft Intelligent Security Graph經過機器學習分析安全威脅信號，達到防禦、偵測、迴應甚至反擊的效果，傳感器的主要功能以下：

1. 捕獲並檢查域控制器網絡流量（域控制器的本地流量）
2. 直接從域控制器接收 Windows 事件（須要開啓域控的高級審覈日誌，參考：審覈 Windows 事件 8004）。
3. 從 *** 提供商接收 RADIUS 記賬信息
4. 從 Active Directory 域檢索用戶和計算機的數據
5. 執行用戶、組和計算機解析
6. 將相關數據傳輸到 Defender for Identity 雲服務
   管理員經過Denfender門戶來監視和響應偵測到的可疑活動，針對安全事件來進行調查取證。
   經過***時間線，咱們能夠很容易的快速識別出威脅事件，深刻了解可疑活動的詳細過程。
   
   Defender for identity時間線

下面咱們將經過一次內網的overpass-the-hash***的事件來介紹下Defender for identity如何來監視安全威脅事件的。

1. ***經過釣魚等手段獲取了企業內網用戶權限和計算機，偷偷潛入開始偵查Domain狀況，首先獲取域用戶和Domain Admin名單。
   
2. 得知了管理員用戶後，繼續SMB會話枚舉，收集管理員和用戶的登陸位置，爲後續橫向移動作準備。
   
3. 接下來，抓取本地內存中的用戶信息，成功收集到了內存中管理員的NTML Hash。
   
4. 接下來，利用NTLM Hash來獲取Domain Admins權限，把當前的Users用戶添加爲了Domain Admins。那麼，***的這一次獲權的***就成功完成。
   
   

那麼這樣一系列的***過程，Defender for Identity是如何來偵查的呢？咱們回到Defender Portal，查看時間線，發現剛纔的***行爲已經產生了警報。以下圖中的SMB偵測和overpass-the-hase***。

從上圖內容，咱們發現了azure這個可疑用戶，那麼能夠經過用戶行爲的時間線來分析***的動做，包括剛纔執行的SMB枚舉等動做。

咱們再看看SCCM這臺***發起的計算機時間線，這裏能夠看出sccmadmin這個用戶的hash已經泄漏。

同時，Defender for identity也會標記出登陸用戶中的可疑用戶。

在警報控制檯中咱們還能夠看到sccmadmin在sccm這臺計算機中遭到泄露，並利用可疑的kerberos協議在DC進行了身份驗證。

大多數安全工具沒法檢測什麼時候使用合法憑據來訪問合法資源。尤爲在後續還會進行的***鏈過程，看起來都是合法的訪問請求。Defender for Identity能夠檢測***者使用盜用票證訪問的確切資源，提供關鍵信息和證據，以肯定開始調查的確切位置以及要採起的補救措施。Defender for Identity 檢測和警報信息對信息安全團隊都具備重要意義。 不只能夠發現憑據被盜，還能夠了解***者使用盜用票證訪問和***的資源。