Microsoft Defender for Cloud, Endpoints, Servers and Identity

Microsoft Defender for Endpoint er en virksomhedsslutpunktsikkerhedsplatform designet til at hjælpe virksomhedsnetværk med at forhindre, opdage, undersøge og reagere på avancerede trusler. Microsoft Defender til servere er en af de forbedrede sikkerhedsfunktioner i Microsoft Defender for Cloud. Brug det til at tilføje trusselsdetektion og avanceret forsvar til dine Windows- og Linux-maskiner, uanset om de kører i Azure, i det lokale miljø eller i et multi-cloud-miljø. Microsoft Defender for Identity er en cloud-baseret sikkerhedsløsning, der udnytter dine lokale Active Directory-signaler til at identificere, opdage og undersøge avancerede trusler, kompromitterede identiteter og ondsindede insiderhandlinger rettet mod din organisation.

Microsoft Defender for Cloud -abonnement
Flytning til skyen øger fleksibiliteten for både medarbejdere og IT. Det introducerer imidlertid også nye udfordringer og kompleksiteter for at holde din organisation sikker. For at få fuldt udbytte af cloudapps og -tjenester skal et IT-team finde den rette balance mellem understøttende adgang og samtidig opretholde kontrol for at beskytte kritiske data.

Microsoft Defender for Cloud er en Cloud Access Security Broker (CASB), der understøtter forskellige implementeringstilstande, herunder logsamling, API-stik og reverse proxy. Det giver rig synlighed, kontrol over daterejser og sofistikeret analyse til at identificere og bekæmpe cybertrusler på tværs af alle dine Microsoft og tredjeparts cloudtjenester.

Microsoft Defender for Cloud integreres integreret med førende Microsoft-løsninger og er designet med sikkerhedsprofessionelle i tankerne. Det giver enkel implementering, central styring og innovative automatiseringsfunktioner.

Flytning til skyen øger fleksibiliteten for medarbejdere og it-teams. Det introducerer imidlertid også nye udfordringer og kompleksiteter for at holde din organisation sikker. For at få fuldt udbytte af cloud-apps og -tjenester skal et it-team finde den rette balance mellem at understøtte adgang og samtidig beskytte kritiske data.

Det er her, en Defender for Cloud Broker træder ind for at løse balancen og tilføjer garantier for din organisations brug af cloudtjenester ved at håndhæve din virksomheds sikkerhedspolitikker. Som navnet antyder, handler CASB"er som en gatekeeper for at mægle adgang i realtid mellem dine virksomhedsbrugere og skyressourcer, de bruger, uanset hvor dine brugere er placeret og uanset hvilken enhed de bruger.

CASB"er gør dette ved at opdage og give synlighed til Shadow IT og app-brug, overvåge brugeraktiviteter for unormal adfærd, kontrollere adgang til dine ressourcer, give mulighed for at klassificere og forhindre følsom informationslækage, beskytte mod ondsindede aktører og vurdere overholdelse af sky tjenester.

CASB"er løser sikkerhedshuller i en organisations brug af cloudtjenester ved at give detaljeret synlighed og kontrol over brugeraktiviteter og følsomme data. CASB-dækningsområdet gælder bredt på tværs af SaaS, PaaS og IaaS. Til SaaS-dækning arbejder CASB ofte med de mest populære indholdssamarbejdsplatforme (CCP), CRM-systemer, HR-systemer, ERP-løsninger (Enterprise resource planning), serviceborde, kontorproduktivitetspakker og virksomheds sociale netværkssider. Til IaaS- og PaaS-dækning styrer flere CASB"er API-baseret brug af populære cloud-tjenesteudbydere (CSP) og udvider synlighed og styring til applikationer, der kører i disse skyer.

Du har brug for et CASB for bedre at forstå din samlede skyposition på tværs af SaaS-apps og cloud-tjenester, og som sådan er Shadow IT-opdagelse og app-styring vigtige brugssager. Derudover er en organisation ansvarlig for at administrere og sikre sin cloudplatform, herunder IAM, VM"er og deres beregningsressourcer, data og lagring, netværksressourcer og mere. Derfor, hvis du er en organisation, der bruger eller overvejer at bruge cloud-apps til din portefølje af netværkstjenester, har du sandsynligvis brug for en CASB for at tackle de ekstra, unikke udfordringer ved at regulere og sikre dit miljø. For eksempel er der mange måder for ondsindede aktører at udnytte cloud-apps til at komme ind i dit virksomhedsnetværk og exfiltrere følsomme forretningsdata.

Som organisation skal du beskytte dine brugere og fortrolige data fra de forskellige metoder, der anvendes af ondsindede aktører. Generelt bør CASB"er hjælpe dig med at gøre dette ved at tilbyde en bred vifte af muligheder, der beskytter dit miljø på tværs af følgende søjler:

Synlighed: registrer alle skytjenester; tildele hver en risikorangering identificere alle brugere og tredjepartsapps, der er i stand til at logge ind
• Datasikkerhed: identificere og kontrollere følsomme oplysninger (DLP); svare på klassificeringsetiketter på indhold
• Trusselsbeskyttelse: tilbyde adaptiv adgangskontrol (AAC); levere bruger- og enhedsadfærdsanalyse (UEBA) afbøde malware
• Overholdelse: leverer rapporter og dashboards for at demonstrere cloud-styring; bistå bestræbelserne på at overholde kravene til databehold og lovgivningsmæssig overholdelse

Defender for Cloud-rammen
• Opdag og styr brugen af ​​Shadow IT: Identificer sky-apps, IaaS og PaaS-tjenester, der bruges af din organisation. Undersøg brugsmønstre, vurder risikoniveauet og forretningsberedskabet for mere end 16.000 SaaS-apps mod mere end 80 risici. Begynd at administrere dem for at sikre sikkerhed og overholdelse.
• Beskyt dine følsomme oplysninger overalt i skyen: Forstå, klassificer og beskyt eksponeringen af ​​følsomme oplysninger i ro. Udnyt out-of-the-box-politikker og automatiserede processer til at anvende kontroller i realtid på tværs af alle dine sky-apps.
• Beskyt mod cybertrusler og anomalier: Registrer usædvanlig adfærd på tværs af sky-apps for at identificere ransomware, kompromitterede brugere eller useriøse applikationer, analyser højrisikoforbrug og afhjælp automatisk for at begrænse risikoen for din organisation.
• Vurder overholdelsen af ​​dine cloudapps: Vurder, om dine cloudapps opfylder relevante overholdelseskrav, herunder overholdelse af lovgivning og industristandarder. Forhindre datalækager til ikke-kompatible apps og begrænse adgangen til regulerede data.

John Lewis and Caroline Lee from Microsoft lead viewers through a 35 minute overview of Microsoft Defender for Cloud
Microsoft Defender for Endpoint P1 - Free Public Preview (90 Days) -abonnement
Microsoft Defender for Endpoint P1 understøtter klientendepunkter, der kører Windows 7*, 8.1, 10, 11, macOS, Android og iOS
Under denne offentlige forhåndsvisning kan organisationer prøve Microsoft Defender til Endpoint P1 gratis.
Generel tilgængelighed forventes at være senere i år. Når den er almindelig tilgængelig, vil Plan 1 blive tilbudt på to måder:
Som en selvstændig SKU licenseret pr. bruger. Kvalificerede licenserede brugere vil kunne bruge Microsoft Defender til Endpoint Plan 1 på op til fem samtidige enheder.
Inkluderet som en del af Microsoft 365 E3/A3 med de samme rettigheder pr. brugermodel og enhed som angivet ovenfor.
For de kunder, der allerede har Microsoft 365 E3/A3, får du automatisk Microsoft Defender for Endpoint P1-funktioner, når de bliver almindeligt tilgængelige. Der vil være et par trin, du skal tage for at aktivere dette - vi deler disse oplysninger i detaljer tættere på generel tilgængelighed.

De organisationer, der ejer licenser, der inkluderer Microsoft Defender til Endpoint P2, vil ikke være berettiget til P1. Disse licenser er allerede berettiget til den fulde omfattende løsning, som er P2

I dag er vi glade for at kunne annoncere forhåndsvisningen af ​​et kernesæt af vores brancheførende forebyggelses- og beskyttelsesfunktioner til klientendepunkter, der kører Windows, macOS, Android og iOS. Denne nye løsning vil gøre det nemmere for flere sikkerhedsteams over hele kloden at købe og adoptere de bedste grundlæggende principper fra Microsoft Defender for Endpoint.

Trusselslandskabet er mere komplekst end nogensinde. Organisationer med allerede begrænsede ressourcer forsøger at følge med, samtidig med at de sikrer, at de har en Zero Trust-sikkerhedsstrategi, der udvikler sig med stadigt skiftende trusler og deres egne organisatoriske behov.

Slutpunktet forbliver et af de mest målrettede angrebsoverflader, da ny og sofistikeret malware og ransomware fortsat er udbredte trusler. Efterhånden som vi bevæger os ind i anden halvdel af 2021, fortsætter især ransomware med at fortsætte og udvikle sig, økonomiske skader fortsætter med at stige, og virkningen mærkes på tværs af adskillige industrier - ikke kun i den private sektor, men også på tværs af offentlige infrastrukturer.

I løbet af det sidste år har Microsofts sikkerhedsforskere sporet en stigning på næsten 121 % i organisationer, der er stødt på ransomware

Graden af ​​sofistikering af disse former for angreb og den hastighed, hvormed de udvikler sig, kræver en anden tilgang til sikkerhed, en der er baseret på cloud-native teknologi, bygget på dyb trussel og menneskelig intelligens, og som nemt kan skaleres. Det kræver robust forebyggelse, der bruger kunstig intelligens og maskinlæring til hurtigt at stoppe trusler og en løsning, der muliggør en Zero Trust-tilgang.

Med Microsoft Defender til Endpoint P1 får kunderne følgende kerneegenskaber:

Brancheførende antimalware, der er cloud-baseret med indbygget AI, der hjælper med at stoppe ransomware, kendt og ukendt malware og andre trusler i deres spor.
Angrebsoverfladereduktionsfunktioner, der hærder enheden, forhindrer nul dage og tilbyder granulær kontrol over adgang og adfærd på slutpunktet.
Enhedsbaseret betinget adgang, der tilbyder et ekstra lag af databeskyttelse og brudforebyggelse og muliggør en nul tillid tilgang.


Alle disse muligheder står på det samme stærke fundament, som alle Microsoft Defender for Endpoint-kunder nyder godt af i dag:

Cloud-drevet løsning med næsten uendelig skala til at opfylde dine behov – ingen ekstra it-omkostninger, ingen kompatibilitetsproblemer, ingen ventetid på opdateringer.
Uovertruffen bredde og dybde af indbygget trussel og menneskelig intelligens drevet af maskinlæringsmodeller og kunstig intelligens.
En samlet løsning, der tilbyder uovertruffen trusselssynlighed, hændelseskorrelation og indsigt og en SecOps-oplevelse i verdensklasse som en del af Microsoft 365 Defender – vores XDR-løsning.
Microsoft Defender for Endpoint P1 lever op til vores løfte om endpoint-sikkerhed om at hjælpe organisationer med hurtigt at stoppe angreb, skalere deres sikkerhedsressourcer og udvikle deres forsvar. Vores eksisterende slutpunktsikkerhedsløsning vil fortsat blive tilbudt uden ændringer og navngivet Microsoft Defender for Endpoint Plan 2 (P2).

Den nye Plan 1 er en delmængde af de muligheder, der er i Microsoft Defender for Endpoint i dag - som fremhævet med grønt i vores funktionsgrafik nedenfor. Det tilbyder organisationer den grundlæggende sikkerhed, de har brug for mod malware og andre trusler såsom ransomware, og hjælper organisationer med at komme i gang på deres Zero Trust-rejse med funktioner, der kontrollerer adgang og adfærd på slutpunktet samt muliggør betinget adgang.

Kunder, der søger Plan 1, er dem, der kun leder efter EPP-funktioner (endpoint protection). Plan 1 tilbyder de bedste grundlæggende principper inden for forebyggelse og beskyttelse til klientendepunkter, der kører Windows, macOS, Android og iOS. Det inkluderer næste generations beskyttelse, enhedskontrol, endpoint firewall, netværksbeskyttelse, webindholdsfiltrering, regler for angrebsoverfladereduktion, kontrolleret mappeadgang, enhedsbaseret betinget adgang, API'er og connectors , og muligheden for at medbringe din egen brugerdefinerede TI. Endelig inkluderer det adgang til Microsoft 365 Defender-sikkerhedsoplevelsen for at se advarsler og hændelser, sikkerhedsdashboards, enhedsbeholdning og udføre undersøgelser og manuelle svarhandlinger på næste generations beskyttelseshændelser.

Microsoft Defender for Endpoint P1-funktioner

For den mest komplette endpoint-sikkerhedsløsning er Plan 2 langt den bedst egnede til virksomheder, der har brug for en løsning med avanceret trusselsforebyggelse og -detektion, dybe efterforsknings- og jagtfunktioner og avancerede SecOps-undersøgelses- og afhjælpningsværktøjer. Plan 2-kapaciteter forhindrer yderligere sikkerhedsbrud, reducerer tid til afhjælpning og minimerer omfanget af angreb med sårbarhedsstyring, endpoint detection and response (EDR), automatiseret afhjælpning, avanceret jagt, sandboxing, administrerede jagttjenester og dybdegående trusselsintelligens og analyse om de seneste malware-kampagner og nationalstatstrusler.

Nedenstående tabel tilbyder en sammenligning af de muligheder, der tilbydes i Plan 1 versus Plan 2.
Microsoft Defender for Endpoint P1 P2-sammenligning
Microsoft Defender For Endpoint P2 -abonnement
Microsoft Defender For Endpoint-abonnementet giver en samlet sikkerhedsplatform for endepunkter og giver virksomhedskunder mulighed for at beskytte, opdage, undersøge og reagere på avancerede angreb og databrud.
Det er indbygget, skybaseret, anvender kunstig intelligens til at automatisere sikkerhedshændelser og udnytter Microsoft Intelligence Security Graph til at integrere detektion og udforskning med andre Microsoft Threat Protection-tjenester *.
* nogle separate abonnementer kan være påkrævet
Microsoft Defender for Endpoint Server -abonnement
Microsoft Defender til servere er en af ​​de forbedrede sikkerhedsfunktioner i Microsoft Defender for Cloud. Brug det til at tilføje trusselsdetektion og avanceret forsvar til dine Windows- og Linux-maskiner, uanset om de kører i Azure, i det lokale miljø eller i et multi-cloud-miljø.

Microsoft Defender for Endpoint Server er en samlet endpoint-sikkerhedsplatform og gør det muligt for virksomhedskunder at beskytte, opdage, undersøge og reagere på avancerede angreb og databrud.
Den er indbygget, cloud-drevet, anvender kunstig intelligens til at automatisere sikkerhedshændelser og udnytter Microsoft Intelligence Security Graph til at integrere registrering og udforskning med andre Microsoft Defender-tjenester*.

Trusselsdetektions- og beskyttelsesfunktionerne i Microsoft Defender for Server inkluderer:

Integreret licens til Microsoft Defender for Endpoint
Microsoft Defender til servere inkluderer Microsoft Defender for Endpoint. Tilsammen giver de omfattende endpoint detection and response (EDR)-funktioner.

Når Defender for Endpoint registrerer en trussel, udløser den en advarsel. Advarslen vises i Defender for Cloud. Fra Defender for Cloud kan du også pivotere til Defender for Endpoint-konsollen og udføre en detaljeret undersøgelse for at afdække omfanget af angrebet.

Vigtigt
Defender for Clouds integration med Microsoft Defender for Endpoint er aktiveret som standard. Så når du aktiverer Microsoft Defender til servere, giver du samtykke til, at Defender for Cloud får adgang til Microsoft Defender for Endpoint-data relateret til sårbarheder, installeret software og advarsler for dine slutpunkter.
Vi tilbyder i øjeblikket sensoren til Linux-maskiner i forhåndsvisning.
Få mere at vide i Beskyt dine slutpunkter med Defender for Clouds integrerede EDR-løsning: Microsoft Defender for Endpoint.

Sårbarhedsvurderingsværktøjer til maskiner
Microsoft Defender til servere inkluderer et udvalg af sårbarhedsopdagelse og administrationsværktøjer til dine maskiner. Fra Defender for Clouds indstillingssider kan du vælge, hvilke af disse værktøjer der skal implementeres på dine maskiner, og de opdagede sårbarheder vil blive vist i en sikkerhedsanbefaling.

Microsoft trussels- og sårbarhedshåndtering
Opdag sårbarheder og fejlkonfigurationer i realtid med Microsoft Defender for Endpoint og uden behov for yderligere agenter eller periodiske scanninger. Trussels- og sårbarhedsstyring prioriterer sårbarheder baseret på trusselslandskabet, registreringer i din organisation, følsomme oplysninger om sårbare enheder og forretningskontekst
Få flere oplysninger i Undersøg svagheder med Microsoft Defender for Endpoints trussels- og sårbarhedsstyring.

Sårbarhedsscanner drevet af Qualys
Qualys' scanner er et af de førende værktøjer til realtidsidentifikation af sårbarheder i dine Azure og hybride virtuelle maskiner. Du behøver ikke en Qualys-licens eller endda en Qualys-konto - alt håndteres problemfrit inde i Defender for Cloud.
Få mere at vide i Defender for Clouds integrerede Qualys-scanner til Azure- og hybridmaskiner.

Just-in-time (JIT) virtuel maskine (VM) adgang
Trusselaktører jager aktivt tilgængelige maskiner med åbne administrationsporte, såsom RDP eller SSH. Alle dine virtuelle maskiner er potentielle mål for et angreb. Når en VM er kompromitteret med succes, bruges den som indgangspunkt til at angribe yderligere ressourcer i dit miljø.

Når du aktiverer Microsoft Defender til servere, kan du bruge just-in-time VM-adgang til at låse den indgående trafik til dine VM'er, hvilket reducerer eksponeringen for angreb, mens du giver nem adgang til at oprette forbindelse til VM'er, når det er nødvendigt.
For flere oplysninger, se Forstå JIT VM-adgang.

Filintegritetsovervågning (FIM)
Filintegritetsovervågning (FIM), også kendt som ændringsovervågning, undersøger filer og registre for operativsystemer, applikationssoftware og andre for ændringer, der kan indikere et angreb. En sammenligningsmetode bruges til at bestemme, om filens aktuelle tilstand er forskellig fra den sidste scanning af filen. Du kan bruge denne sammenligning til at afgøre, om der er foretaget gyldige eller mistænkelige ændringer i dine filer.

Når du aktiverer Microsoft Defender til servere, kan du bruge FIM til at validere integriteten af ​​Windows-filer, dine Windows-registreringer og Linux-filer.
For flere oplysninger, se Filintegritetsovervågning i Microsoft Defender for Cloud.

Adaptive applikationskontroller (AAC)
Adaptive applikationskontroller er en intelligent og automatiseret løsning til at definere tillade lister over kendte sikre applikationer til dine maskiner.

Når du har aktiveret og konfigureret adaptive programstyringer, får du sikkerhedsadvarsler, hvis en anden applikation kører end dem, du har defineret som sikker.
For flere oplysninger, se Brug adaptive programkontroller til at reducere dine maskiners angrebsflader.

Adaptiv netværkshærdning (ANH)
Anvendelse af netværkssikkerhedsgrupper (NSG) til at filtrere trafik til og fra ressourcer forbedrer din netværkssikkerhedsposition. Der kan dog stadig være nogle tilfælde, hvor den faktiske trafik, der flyder gennem NSG, er en delmængde af de definerede NSG-regler. I disse tilfælde kan yderligere forbedring af sikkerhedsstillingen opnås ved at skærpe NSG-reglerne, baseret på de faktiske trafikmønstre.

Adaptive Network Hardening giver anbefalinger til yderligere at skærpe NSG-reglerne. Den bruger en maskinlæringsalgoritme, der tager hensyn til faktisk trafik, kendt betroet konfiguration, trusselsintelligens og andre indikatorer for kompromittering, og giver derefter anbefalinger til kun at tillade trafik fra specifikke IP/port-tupler.
For flere oplysninger, se Forbedre din netværkssikkerhedsposition med adaptiv netværkshærdning.

Docker-værthærdning
Microsoft Defender for Cloud identificerer ikke-administrerede containere, der hostes på IaaS Linux VM'er eller andre Linux-maskiner, der kører Docker-containere. Defender for Cloud vurderer løbende konfigurationerne af disse containere. Det sammenligner dem derefter med Center for Internet Security (CIS) Docker Benchmark. Defender for Cloud inkluderer hele regelsættet for CIS Docker Benchmark og advarer dig, hvis dine containere ikke opfylder nogen af ​​kontrollerne.
For mere information, se Hærd dine Docker-værter.

Detektering af filløs angreb
Filløse angreb injicerer ondsindet nyttelast i hukommelsen for at undgå registrering ved disk-baserede scanningsteknikker. Angriberens nyttelast forbliver derefter i hukommelsen af ​​kompromitterede processer og udfører en lang række ondsindede aktiviteter.

Med filløs angrebsdetektion identificerer automatiserede hukommelsestekniske teknikker filløse angrebsværktøjssæt, -teknikker og -adfærd. Denne løsning scanner med jævne mellemrum din maskine under kørsel og udtrækker indsigt direkte fra processernes hukommelse. Specifik indsigt omfatter identifikation af:
Velkendte værktøjssæt og kryptominesoftware
Shellcode, som er et lille stykke kode, der typisk bruges som nyttelast i udnyttelsen af ​​en softwaresårbarhed.
Injiceret ondsindet eksekverbar i proceshukommelsen

Filløs angrebsdetektion genererer detaljerede sikkerhedsadvarsler, der inkluderer beskrivelser med procesmetadata såsom netværksaktivitet. Disse detaljer fremskynder advarselstriage, korrelation og nedstrøms responstid. Denne tilgang komplementerer begivenhedsbaserede EDR-løsninger og giver øget detektionsdækning.
For detaljer om advarsler om registrering af filløse angreb, se referencetabellen over advarsler.

Linux auditd-advarsler og Log Analytics-agentintegration (kun Linux)
Audid-systemet består af et undersystem på kerneniveau, som er ansvarligt for at overvåge systemopkald. Den filtrerer dem efter et specificeret regelsæt og skriver beskeder til dem til en socket. Defender for Cloud integrerer funktionaliteter fra den reviderede pakke i Log Analytics-agenten. Denne integration muliggør indsamling af reviderede hændelser i alle understøttede Linux-distributioner uden nogen forudsætninger.

Log Analytics-agent til Linux indsamler reviderede poster og beriger og samler dem til begivenheder. Defender for Cloud tilføjer løbende nye analyser, der bruger Linux-signaler til at opdage ondsindet adfærd på cloud- og lokale Linux-maskiner. I lighed med Windows-funktioner spænder disse analyser over mistænkelige processer, tvivlsomme loginforsøg, indlæsning af kernemoduler og andre aktiviteter. Disse aktiviteter kan indikere, at en maskine enten er under angreb eller er blevet brudt.
For en liste over Linux-advarsler, se referencetabellen over advarsler

For at beskytte maskiner i hybrid- og multi-cloud-miljøer bruger Defender for Cloud Azure Arc.
Dette produkt leverer MDE på serverendepunkter, og det er licenseret på en per-node basis.
*nogle separate abonnementer kan være påkrævet.
Microsoft Defender for Identity -abonnement
Microsoft Defender for Identity er designet til at hjælpe dig med at beskytte din virksomhed mod avancerede målrettede angreb ved automatisk at analysere, lære og identificere normal og unormal adfærd (bruger, enheder og ressourcer).

Microsoft Defender for Identity (tidligere Azure Advanced Threat Protection, også kendt som Azure ATP) er en skybaseret sikkerhedsløsning, der udnytter dine lokale Active Directory-signaler til at identificere, opdage og undersøge avancerede trusler, kompromitterede identiteter og ondsindede insiderhandlinger rettet mod din organisation.

Defender for Identity gør det muligt for SecOp-analytikere og sikkerhedsprofessionelle, der kæmper for at opdage avancerede angreb i hybridmiljøer til:
• Overvåg brugere, enhedsadfærd og aktiviteter med læringsbaseret analyse
• Beskyt brugeridentiteter og legitimationsoplysninger, der er gemt i Active Directory
• Identificere og undersøge mistænkelige brugeraktiviteter og avancerede angreb i hele kill-kæden
• Giv klare hændelsesoplysninger på en simpel tidslinje for hurtig triage
• Overvåg og profil brugeradfærd og aktiviteter
• Defender for Identity overvåger og analyserer brugeraktiviteter og information på tværs af dit netværk, såsom tilladelser og gruppemedlemskab, hvilket skaber en adfærdsmæssig baseline for hver bruger. Defender for Identity identificerer derefter uregelmæssigheder med adaptiv indbygget intelligens, der giver dig indsigt i mistænkelige aktiviteter og begivenheder, afslører de avancerede trusler, kompromitterede brugere og insidertrusler, som din organisation står overfor. Defender for Identity"s proprietære sensorer overvåger organisatoriske domænekontrollere og giver en omfattende visning af alle brugeraktiviteter fra hver enhed.

Beskyt brugeridentiteter og reducer angrebsoverfladen
• Defender for Identity giver dig uvurderlig indsigt i identitetskonfigurationer og foreslåede sikkerhedsmetoder. Gennem sikkerhedsrapporter og brugerprofilanalyser hjælper Defender for Identity dramatisk med at reducere din organisatoriske angrebsflade, hvilket gør det sværere at kompromittere brugeroplysninger og fremme et angreb. Defender for Identity"s visuelle laterale bevægelsesstier hjælper dig med hurtigt at forstå nøjagtigt, hvordan en angriber kan bevæge sig lateralt inde i din organisation for at kompromittere følsomme konti og hjælper med at forhindre disse risici på forhånd. Defender for Identity-sikkerhedsrapporter hjælper dig med at identificere brugere og enheder, der godkendes ved hjælp af adgangskoder i klar tekst og giver yderligere indsigt for at forbedre din organisatoriske sikkerhedsstilling og -politikker.

Beskyttelse af AD FS i hybridmiljøer
• Active Directory Federation Services (AD FS) spiller en vigtig rolle i dagens infrastruktur, når det kommer til godkendelse i hybridmiljøer. Defender for Identity beskytter AD FS i dit miljø ved at opdage lokale angreb på AD FS og give synlighed til autentificeringshændelser genereret af AD FS.

Identificer mistænkelige aktiviteter og avancerede angreb på tværs af cyber-angreb-kill-chain
• Normalt startes angreb mod enhver tilgængelig enhed, såsom en bruger med ringe privilegium, og bevæger sig derefter hurtigt sideværts, indtil angriberen får adgang til værdifulde aktiver - såsom følsomme konti, domæneadministratorer og meget følsomme data. Defender for Identity identificerer disse avancerede trusler ved kilden gennem hele cyber-angreb-kill-kæden:

Rekognoscering
• Identificer useriøse brugere og angribers forsøg på at få information. Angribere søger efter oplysninger om brugernavne, brugeres gruppemedlemskab, IP-adresser tildelt enheder, ressourcer og mere ved hjælp af en række forskellige metoder.

Kompromitterede legitimationsoplysninger
• Identificer forsøg på at kompromittere brugerlegitimationsoplysninger ved hjælp af brute force-angreb, mislykkede godkendelser, ændringer af brugergruppemedlemskab og andre metoder.

Laterale bevægelser
• Registrer forsøg på at bevæge sig sideværts inde i netværket for at få yderligere kontrol over følsomme brugere ved hjælp af metoder som Pass the Ticket, Pass the Hash, Overpass Hash og mere.

Domænedominans
• Fremhæv angriberadfærd, hvis domænedominans opnås gennem fjernkørsel af kode på domænecontrolleren og metoder som DC Shadow, replikering af ondsindet domænecontroller, Golden Ticket-aktiviteter og mere.

Undersøg alarmer og brugeraktiviteter
• Defender for Identity er designet til at reducere generel alarmstøj og leverer kun relevante, vigtige sikkerhedsadvarsler i en enkel, tidstro organisatorisk angrebstidslinje. Defender for Identity-angrebets tidslinjevisning giver dig mulighed for let at være fokuseret på det der betyder noget og udnytte intelligens fra intelligente analyser. Brug Defender for Identity til hurtigt at undersøge trusler og få indsigt i hele organisationen for brugere, enheder og netværksressourcer. Problemfri integration med Microsoft Defender for Endpoint giver endnu et lag forbedret sikkerhed ved yderligere afsløring og beskyttelse mod avancerede vedvarende trusler på operativsystemet.