Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kimlik için Microsoft Defender kuruluşların şirket içi, bulut ve hibrit ortamlarda kimlik tabanlı saldırıları algılamasına, araştırmasına ve yanıtlamasına yardımcı olur. Saldırganlar erişim elde etmek, ayrıcalıkları yükseltmek ve kalıcılığı korumak için sık sık kullanıcılar, uygulamalar ve hizmet hesapları gibi kimlikleri hedefler.
Kimlik için Defender, şirket içi Active Directory ve Microsoft Entra ID diğer IAM çözümlerinden (örneğin Okta) gelen kimlik sinyallerini izler. Tam kimlik saldırısı yaşam döngüsü boyunca şüpheli etkinlikleri algılamak için davranış analizi, tehdit zekası ve bilinen saldırı düzenlerini kullanarak bu sinyalleri analiz eder. Uyarılar arasında Microsoft Defender portalındaki araştırma bağlamı, güvenlik ekiplerinin neler olduğunu, bunun neden önemli olduğunu ve nasıl yanıt vereceklerini anlamasına yardımcı olmak yer alır.
Kimlik Güvenliği
Kimlik için Microsoft Defender, Microsoft Identity Security'nin temel bileşenlerindendir. Kimlik Güvenliği, kimlik kapsamı ve duruşu hakkında görünürlük sağlayarak, kimlik tabanlı tehditleri algılayarak ve kimlik sistemleri, uygulamalar ve altyapı genelinde araştırma ve yanıt sağlama yoluyla kimlikleri korumaya odaklanır.
Kimlik için Defender kimlik sinyallerini Microsoft Defender portalına aktarır ve burada uç noktalardan, e-postadan, SaaS uygulamalarından, bulut iş yüklerinden ve diğer güvenlik kaynaklarından gelen verilerle ilişkilendirilir. Bu bağıntı, güvenlik ekiplerinin anormal davranışları tanımlamalarına, saldırgan hareketlerini izlemelerine ve yalıtılmış uyarılar yerine bir saldırının tam kapsamını yansıtan birleşik olaylar üzerinden yanıt vermelerine yardımcı olur.
Kimlik için Defender özellikleri
Kimlik için Defender, aşağıdakilerle modern bir kimlik tehdit algılama çözümü sunar:
- Proaktif kimlik güvenliği duruş değerlendirmeleri
- Analiz ve davranış zekası kullanarak gerçek zamanlı tehdit algılama
- Net, eyleme dönüştürülebilir olay bağlamıyla şüpheli etkinliklerin araştırılma
- Güvenliği aşılmış kimlikler için düzeltme eylemleri
Proaktif kimlik güvenliği duruş değerlendirmeleriyle ihlalleri önleme
Kimlik için Defender, kuruluşların kimlik saldırı yüzeyini proaktif olarak azaltmalarına yardımcı olur. Kimlik yapılandırmalarını değerlendirir ve saldırganların yaygın olarak yararlandıkları güvenlik zayıflıklarını vurgulayarak ekiplerin kötüye kullanımdan önce riskleri ele almalarına olanak tanır.
Temel duruş özellikleri şunlardır:
- Microsoft Güvenli Puanı aracılığıyla kullanılabilen kimlik güvenliği duruşu değerlendirmeleri
- Riskli yapılandırmaların ve açığa çıkarmaların belirlenmesi
- Bir saldırganın ortamdan nasıl geçebileceğini ortaya koyan yanal hareket yollarının analizi
Bu içgörüler kuruluşların kimlik dayanıklılığını güçlendirmesine ve başarılı bir uzlaşma olasılığını azaltmaya yardımcı olur.
Kimlik tabanlı tehditleri algılama
Kimlik için Defender, hizmet hesapları, eşitleme hesapları ve uygulamalar gibi hem insan hem de uman olmayan kimlikler de dahil olmak üzere özellikle kimlikleri hedefleyen tehditleri algılamak için tasarlanmıştır. Algılama, tek olaylar yerine davranış analizi ve sinyal bağıntısını temel alır.
Kimlik için Defender, kimlik etkinliğini izler ve analiz eder, örneğin:
- Kimlik doğrulaması ve yetkilendirme davranışı
- Kimlik bilgisi kötüye kullanımı ve riskli oturum açma işlemleri
- Ayrıcalık yükseltme ve şüpheli rol veya grup üyeliği değişiklikleri
- Ortam içinde yanal hareket girişimleri
- Hizmet hesapları ve diğer insan olmayan kimlikler ile ilgili anormal davranışlar
Aşağıdaki tabloda Kimlik için Defender algılamalarının kimlik tabanlı saldırının temel aşamalarıyla nasıl uyumlu olduğu gösterilmektedir:
| Saldırı aşaması | Kimlik için Defender algılamaları |
|---|---|
| Keşif | Kullanıcı adlarını listeleme girişimleri, grup üyeliği, IP adresleri ve kaynaklar gibi şüpheli bulma etkinliğini tanımlar. |
| Güvenliği aşılmış kimlik bilgileri | Deneme yanılma, yinelenen başarısız kimlik doğrulamaları ve kullanıcı grubu üyeliğindeki şüpheli değişiklikler gibi teknikleri kullanarak kimlik bilgilerinin güvenliğini aşma girişimlerini algılar. |
| Yanal hareket | Hassas kimliklerin ve farklı ortamların denetimini yaya olarak taşıma ve genişletme girişimlerini algılar. |
| AD Etki Alanı Hakimiyeti | Etki alanı denetleyicilerinde uzaktan kod yürütme, DCShadow, kötü amaçlı etki alanı denetleyicisi çoğaltması ve Altın Anahtar etkinliği gibi tam etki alanı güvenliğinin aşılmasıyla ilişkili davranışı vurgular. |
Saldırganlar genellikle erişilebilir kimliklerle başlar ve ardından etki alanı yöneticileri, genel yönetici, uygulama yöneticileri ve hassas veriler gibi ayrıcalıklı hesaplar gibi yüksek değerli hedeflere doğru hareket eder. Kimlik için Defender, kullanıcılar, cihazlar ve hesaplar için davranış profilleri oluşturarak ve saldırgan etkinliğini gösteren sapmaları algılayarak bu davranışları erken tanımlamaya yardımcı olur.
Kimlik tehditlerini araştırma
Kimlik için Defender, etkilenen kimlikler, ilgili etkinlik ve saldırgan teknikleri gibi bağlamla zenginleştirilmiş uyarılar oluşturur. Analistler şüpheli davranışı doğrulamak ve ne olduğunu anlamak için bu bağlamı kullanabilir.
Kimlik için Defender, kimlik araştırma ve tehdit avcılığı iş akışlarını da destekler. Kimlik varlıkları ve kimlik doğrulama etkinliği, Microsoft Defender portalında kullanılabilir ve güvenlik ekiplerinin etkinlik düzenlerini araştırmasına ve bulut, şirket içi ve karma kullanıcılar genelinde ek kimlik tabanlı tehditleri avlamasına olanak tanır.
Kimlik tabanlı saldırılara yanıt verme
Kimlik için Defender şu şekilde yanıt vermektedir:
- Kimlik uyarılarını Microsoft Defender birleşik olaylarla ilişkilendirme
- Etkiyi kapsamak ve eylemleri önceliklendirmek için kimlik bağlamı (kullanıcılar, hesaplar, roller ve yanal hareket göstergeleri) sağlama
- Etkilenen kimlikler ve ilgili varlıklar için Microsoft Defender portalında düzeltme eylemlerini etkinleştirme
Microsoft Defender portalı deneyimi
Microsoft Defender portalı kimlik tehditlerini izlemek, araştırmak ve yanıtlamak için birleşik bir deneyim sağlar. Güvenlik ekipleri portaldan şunları yapabilir:
- Kimlik tabanlı uyarıları ve bağıntılı olayları görüntüleme
- Kullanıcıları, cihazları ve kimlik ilişkilerini araştırma
- Kimlik güvenliği duruşu ve düzeltme önerilerini izleme
- Güvenliği aşılmış kimliklerde yanıt eylemleri gerçekleştirme
Kimlik için Defender, birleşik olaylara zengin kimlik bağlamı ekleyerek güvenlik ekiplerinin saldırgan davranışını anlamasına, riski önceliklendirmesine ve kuruluş genelinde kimlik tabanlı saldırıları kesintiye uğratmak için eylem gerçekleştirmesine yardımcı olur.
Mimariye genel bakış
Kimlik için Microsoft Defender basit algılayıcılar, API bağlayıcıları ve Microsoft Defender portalında yönetilen bulut tabanlı bir analiz hizmeti kullanır.
Algılayıcılar kimlik altyapınızda çalışır, ilgili ağ trafiğini ve Windows olaylarını yerel olarak yakalayıp ayrıştırabilir. API bağlayıcıları, kapsamlı kimlik koruması sağlamak için dış Kimlik ve Erişim Yönetimi (IAM) sistemlerini tümleştirir.
Kimlik için Defender bulut hizmetine yalnızca gerekli sinyaller gönderilerek performans etkisi en aza indirilir ve karmaşık ağ değişikliklerinden kaçınılır.
Bulut hizmeti kimlik sinyallerini analiz eder ve bunları diğer Microsoft Defender iş yükleriyle tümleştirerek Microsoft Defender XDR genelinde ilişkili uyarılara ve olaylara kimlik bilgileri sağlar.