Microsoft Defender for Identity是一個基於雲的安全解決方案,利用本地 Active Directory信號識別、檢測並調查針對企業內部的高級威脅、身份盜用和惡意內部操作。Defender for Identity之前的名字Azure ATP爲微軟三大ATP之一,大家應該不陌生。ATP對應的本地部署版本爲Advanced Threat Analytics(ATA 已於2021年1月12日結束主流支持。擴展支持將持續到2026年1月。)
Microsoft Defender for Identity體系架構
Defender for Identity需要在企業環境中安裝傳感器,在ATA體系中叫做ATA網關。傳感器可以選擇直接安裝在域控服務器和ADFS服務器上,也可以獨立安裝(需要做域控的端口鏡像)
傳感器會在本地收集相關事件和日誌信息,並傳輸到Defender for Identity門戶中,同時Defender雲服務會連接到Microsoft Intelligent Security Graph通過機器學習分析安全威脅信號,達到防護、偵測、迴應甚至反擊的效果,傳感器的主要功能如下:
- 捕獲並檢查域控制器網絡流量(域控制器的本地流量)
- 直接從域控制器接收 Windows 事件(需要開啓域控的高級審覈日誌,參考:審覈 Windows 事件 8004)。
- 從 *** 提供商接收 RADIUS 記帳信息
- 從 Active Directory 域檢索用戶和計算機的數據
- 執行用戶、組和計算機解析
- 將相關數據傳輸到 Defender for Identity 雲服務
管理員通過Denfender門戶來監視和響應偵測到的可疑活動,針對安全事件來進行調查取證。
通過***時間線,我們可以很容易的快速識別出威脅事件,深入瞭解可疑活動的詳細過程。![利用Defender for Identity保護企業身份安全]()
Defender for identity時間線
下面我們將通過一次內網的overpass-the-hash***的事件來介紹下Defender for identity如何來監視安全威脅事件的。
- ***通過釣魚等手段獲取了企業內網用戶權限和計算機,偷偷潛入開始偵查Domain情況,首先獲取域用戶和Domain Admin名單。
![利用Defender for Identity保護企業身份安全]()
- 得知了管理員用戶後,繼續SMB會話枚舉,收集管理員和用戶的登錄位置,爲後續橫向移動做準備。
![利用Defender for Identity保護企業身份安全]()
- 接下來,抓取本地內存中的用戶信息,成功收集到了內存中管理員的NTML Hash。
![利用Defender for Identity保護企業身份安全]()
- 接下來,利用NTLM Hash來獲取Domain Admins權限,把當前的Users用戶添加爲了Domain Admins。那麼,***的這一次獲權的***就成功完成。
![利用Defender for Identity保護企業身份安全]()
![利用Defender for Identity保護企業身份安全]()
那麼這樣一系列的***過程,Defender for Identity是如何來偵查的呢?我們回到Defender Portal,查看時間線,發現剛纔的***行爲已經產生了警報。如下圖中的SMB偵測和overpass-the-hase***。
從上圖內容,我們發現了azure這個可疑用戶,那麼可以通過用戶行爲的時間線來分析***的動作,包括剛纔執行的SMB枚舉等動作。
我們再看看SCCM這臺***發起的計算機時間線,這裏可以看出sccmadmin這個用戶的hash已經泄漏。
同時,Defender for identity也會標記出登錄用戶中的可疑用戶。
在警報控制檯中我們還可以看到sccmadmin在sccm這臺計算機中遭到泄露,並利用可疑的kerberos協議在DC進行了身份驗證。
大多數安全工具無法檢測何時使用合法憑據來訪問合法資源。尤其在後續還會進行的***鏈過程,看起來都是合法的訪問請求。Defender for Identity可以檢測***者使用盜用票證訪問的確切資源,提供關鍵信息和證據,以確定開始調查的確切位置以及要採取的補救措施。Defender for Identity 檢測和警報信息對信息安全團隊都具有重要意義。 不僅可以發現憑據被盜,還可以瞭解***者使用盜用票證訪問和***的資源。