Site icon

דגשים בפריסת Defender for Identity

הפלטפורמה של Microsoft Defender for Identity (לשעבר Azure ATP) הוא פתרון אבטחה מבוסס ענן הממנף תעבורת רשת, לוגים וסיגנלים של Active Directory מקומי כדי לזהות פערי אבטחה, לחקור סיכונים, להבין היכן ישנם איומים מתקדמים, לחשוף זהויות שנמצאות בסכנה ולזהות פעולות פנימיות התקפיות או זדוניות המופנות ישירות או נעשות בסביבה המקומית של Active Directory.

Defender for Identity (בקצרה MDI) משולב באופן עמוק עם הכלים והתשתית של Microsoft 365 Defender (מוכר כ XDR),כגון, Defender for Endpoint לתחנות, Defender for Cloud Apps לענן, והכלים הנוספים שנמצאים במשפחת Microsoft 365 Defender.

טיפ: האפשרויות של Advanced Hunting משכללות את החיפושים על גבי שרשרת זיהוי, תקיפה , ניטור וניתוח בעיות או תקיפות.

בשנים האחרונות פרסתי וביצעתי תריסרי בדיקות אבטחה בסביבות שונות של MDI, בין אם זה בסביבות קטנות, גדולות או מורכבות, ואת האינטגרציה אל הכלים השונים במשפחת הדפדנר. נראה כאילו ישנם אתגרים בפריסה של MDI, בפרט בסביבות מורכבות. לעיתים הפריסה עלולה להיתקל בקשיים שונים עקב ידע ספציפי במוצר, סביבה מורכבת, מוכנות ודרישות, שילוב בין בקרות אבטחה וכן הלאה. חשוב להדגיש כי, פריסה של MDI הינו תהליך קצר, וגם במקרים של סביבות גדולות וכאלה שהן מורכבות במיוחד הפריסה איננה תהליך של חודשים, אלא תהליך של שבועות בודדים בלבד. 

הפריסה של Defender for Identity אינה תהליך סבוך, עם זאת, חשוב להבין כי הגדרת סביבה (workspace) של Defender for Identity בענן והתקנת סנסורים בשרתי DC's אינה מספקת לנו את התמונה המלאה. במידה ולא משלימים את ההגדרות והדרישות בצורה מלאה ומוודאים תקינות, החיישן של MDI לא יזהה את כלל הפעולות, מצב קיים, האפשרויות של פערי אבטחה, זיהוי סיכונים, איומים ופעולות בסביבת Active Directory.

מצרף כאן מספר נקודות מרכזיות (בלבד) ומשאבים נוספים שיכולים לסייע, וכאלה שכדאי לשים לב אליהם בכל פריסה ואף בתחזוקה של סביבות קיימות.

נקודות מרכזיות בפריסה

טיפ: סביבות Active Directory משתנות לעיתים ופעולות כמו, הוספת DC, הורדת DC, וביצוע Trust לסביבה אחרת מצריכה מאיתנו לוודא שכלל ההגדרות נמצאות במקום, הדגשים שבוצעו בתחילת הפריסה תקפות לשינויים שיגיעו אחריה בסביבת Active Directory.

תרשים עם זמני הלמידה של MDI לפי סוגי התראות ופרק זמן הלמידה של כל אחד מהם. שימו לב כי אלה הן רק חלק קטן מאוד מתוך סוגי ההתראות של MDI ומדובר על התראות שמצריכות זמן למידה – יתר ההתראות אינן מצריכות זמני למידה.

לדוקס המלא של כלל ההתראות ולפי קטגוריות בקישור הבא Microsoft Defender for Identity Security Alerts

טיפ: ביצוע בדיקות אבטחה (חדירות/RT) מול סביבת Active Directory במצב שהחיישנים אינם סיימו ללמוד התנהגויות, או שאיננה מוגדרת נכון לא תניב את התוצאות הנדרשות של זיהוי והנגשת מידע במצבי תחקור.

משאבים ספציפיים של MDI

קישורים נוספים לגבי MDI

Exit mobile version