利用Defender for Identity保护企业身份安全

青衣

　　Microsoft Defender for Identity是一个基于云的安全解决方案，利用本地 Active Directory信号识别、检测并调查针对企业内部的高级威胁、身份盗用和恶意内部操作。Defender for Identity之前的名字Azure ATP为微软三大ATP之一，大家应该不陌生。ATP对应的本地部署版本为Advanced Threat Analytics（ATA 已于2021年1月12日结束主流支持。扩展支持将持续到2026年1月。）
　　Microsoft Defender for Identity体系架构

Defender for identity时间线

　　下面我们将通过一次内网的overpass-the-hash***的事件来介绍下Defender for identity如何来监视安全威胁事件的。

***通过钓鱼等手段获取了企业内网用户权限和计算机，偷偷潜入开始侦查Domain情况，首先获取域用户和Domain Admin名单。

接下来，抓取本地内存中的用户信息，成功收集到了内存中管理员的NTML Hash。

　　从上图内容，我们发现了azure这个可疑用户，那么可以通过用户行为的时间线来分析***的动作，包括刚才执行的SMB枚举等动作。
　　

　　同时，Defender for identity也会标记出登录用户中的可疑用户。

大多数安全工具无法检测何时使用合法凭据来访问合法资源。尤其在后续还会进行的*链过程，看起来都是合法的访问请求。Defender for Identity可以检测***者使用盗用票证访问的确切资源，提供关键信息和证据，以确定开始调查的确切位置以及要采取的补救措施。Defender for Identity 检测和警报信息对信息安全团队都具有重要意义。不仅可以发现凭据被盗，还可以了解***者使用盗用票证访问和*的资源。

[Windows] 利用Defender for Identity保护企业身份安全

相关帖子

基于对象的实时空间音频渲染丨Dev for Dev 专栏

Linux 命令行小技巧 – ！叹号的用处

win10找不到defender安全中心怎么办

如何利用watch帮你重复执行命令

win11开机跳过microsoft账户的方法

如何利用word制做思维导图？用word怎么制作思维导图？

利用CSS禁止复制网页内容

怎么利用配置文件来管理多个 Node.js 进程

uni-app 利用canvas画简单海报并保存图片

利用html+js触发弹窗事件

青衣 LV4