אלי שלמה

דגשים בפריסת Defender for Identity

by · 12/11/2022

הפלטפורמה של Microsoft Defender for Identity (לשעבר Azure ATP) הוא פתרון אבטחה מבוסס ענן הממנף תעבורת רשת, לוגים וסיגנלים של Active Directory מקומי כדי לזהות פערי אבטחה, לחקור סיכונים, להבין היכן ישנם איומים מתקדמים, לחשוף זהויות שנמצאות בסכנה ולזהות פעולות פנימיות התקפיות או זדוניות המופנות ישירות או נעשות בסביבה המקומית של Active Directory.

Defender for Identity (בקצרה MDI) משולב באופן עמוק עם הכלים והתשתית של Microsoft 365 Defender (מוכר כ XDR),כגון, Defender for Endpoint לתחנות, Defender for Cloud Apps לענן, והכלים הנוספים שנמצאים במשפחת Microsoft 365 Defender.

טיפ: האפשרויות של Advanced Hunting משכללות את החיפושים על גבי שרשרת זיהוי, תקיפה , ניטור וניתוח בעיות או תקיפות.

בשנים האחרונות פרסתי וביצעתי תריסרי בדיקות אבטחה בסביבות שונות של MDI, בין אם זה בסביבות קטנות, גדולות או מורכבות, ואת האינטגרציה אל הכלים השונים במשפחת הדפדנר. נראה כאילו ישנם אתגרים בפריסה של MDI, בפרט בסביבות מורכבות. לעיתים הפריסה עלולה להיתקל בקשיים שונים עקב ידע ספציפי במוצר, סביבה מורכבת, מוכנות ודרישות, שילוב בין בקרות אבטחה וכן הלאה. חשוב להדגיש כי, פריסה של MDI הינו תהליך קצר, וגם במקרים של סביבות גדולות וכאלה שהן מורכבות במיוחד הפריסה איננה תהליך של חודשים, אלא תהליך של שבועות בודדים בלבד. 

הפריסה של Defender for Identity אינה תהליך סבוך, עם זאת, חשוב להבין כי הגדרת סביבה (workspace) של Defender for Identity בענן והתקנת סנסורים בשרתי DC’s אינה מספקת לנו את התמונה המלאה. במידה ולא משלימים את ההגדרות והדרישות בצורה מלאה ומוודאים תקינות, החיישן של MDI לא יזהה את כלל הפעולות, מצב קיים, האפשרויות של פערי אבטחה, זיהוי סיכונים, איומים ופעולות בסביבת Active Directory.

מצרף כאן מספר נקודות מרכזיות (בלבד) ומשאבים נוספים שיכולים לסייע, וכאלה שכדאי לשים לב אליהם בכל פריסה ואף בתחזוקה של סביבות קיימות.

נקודות מרכזיות בפריסה

  • מדיניות ופוליסי של Advanced Audit העומדת בדרישות של MDI היא קריטית
  • השבתת LSO בסביבות שבהם ישנם שרתי DC המתבססים על VMware
  • הגדרת תעבורת 443 יוצאת אל הסביבה העננית והדומיין הספציפי של atp.azure.com
  • הגדרת הרשאות SAMR אשר מוגדרות עם אפשרויות לזיהוי נתיב תנועה רוחבי
  • לוודא שתקשורת אינה חסומה עבור localhost בפורט TCP 444
  • חשבונות gMSA עבור ניטור ופעולות מנע חייבות להיות חשבונות נפרדים
  • חשבון gMSA לניטור מצריך הגדרה עם הרשאת Log on as a service
  • הגדרת חשבון ניטור שאינו מזכיר את שם המוצר וחשבון שמוגדר לפי הגדרות Account ספציפיות
  • זמן למידה של MDI אל מול סביבת Active Directory מקומי- לפחות 30 יום
  • לפני שמתחילים בדיקות אבטחה ופעולות התקפיות חשוב להבין שאין התראות Health ועבר זמן הלמידה
  • במידה וישנו Firewall מקומי בשרתים יש לשים תגיות של AzureAdvancedThreatProtection
  • במידה ושרת DC נמצא על גבי מכונה וירטואלית בענן צריך לאפשר גישת ברמת NSG/VPC
  • לוודא שעדכון סנסור נעשה באופן אוטומטי
  • ביצוע בדיקות Sizing צריכות להיעשות במשך שבוע (אינו מופע חד פעמי)
  • בחירה והגדרת Network Name Resolution בהתאם לסביבה – מומלץ להשתמש בכולם במידה ואפשרי
  • התקנת חיישן על מכונה עם תצורת NIC teaming מצריכה הגדרות נוספות

טיפ: סביבות Active Directory משתנות לעיתים ופעולות כמו, הוספת DC, הורדת DC, וביצוע Trust לסביבה אחרת מצריכה מאיתנו לוודא שכלל ההגדרות נמצאות במקום, הדגשים שבוצעו בתחילת הפריסה תקפות לשינויים שיגיעו אחריה בסביבת Active Directory.

תרשים עם זמני הלמידה של MDI לפי סוגי התראות ופרק זמן הלמידה של כל אחד מהם. שימו לב כי אלה הן רק חלק קטן מאוד מתוך סוגי ההתראות של MDI ומדובר על התראות שמצריכות זמן למידה – יתר ההתראות אינן מצריכות זמני למידה.

לדוקס המלא של כלל ההתראות ולפי קטגוריות בקישור הבא Microsoft Defender for Identity Security Alerts

a2567 mdi learn days.drawio2

טיפ: ביצוע בדיקות אבטחה (חדירות/RT) מול סביבת Active Directory במצב שהחיישנים אינם סיימו ללמוד התנהגויות, או שאיננה מוגדרת נכון לא תניב את התוצאות הנדרשות של זיהוי והנגשת מידע במצבי תחקור.

משאבים ספציפיים של MDI

קישורים נוספים לגבי MDI

Tags:

השאר תגובה