Microsoft Defender for Identity(前身為 Azure ATP)是一套雲端式的身分威脅偵測與回應(ITDR)解決方案,專為保護企業 Active Directory 環境中的身分安全而設計。它能夠即時偵測異常行為、識別潛在威脅,並提供深入的調查與回應能力。
- 強化身分安全防護,落實零信任架構
- 即時偵測並回應進階威脅行為
- 提升資安團隊的可視性與調查效率
- 降低帳號遭入侵與資料外洩風險
| 功能模組 | 說明 |
|---|---|
| 身分行為分析 | 利用機器學習建立使用者行為基準,偵測異常登入、權限提升、橫向移動等可疑行為。 |
| 威脅偵測與警示 | 即時偵測暴力破解、憑證竊取、DC Shadow、Golden Ticket 等進階攻擊手法。 |
| 事件關聯與調查 | 將多個警示關聯為單一事件,並提供時間軸與上下文資訊,協助資安團隊快速調查。 |
| 自動化回應 | 可與 Microsoft 365 Defender 整合,自動封鎖帳號、觸發條件式存取或通知管理員。 |
| 整合式報表與安全評分 | 提供 Secure Score 評分與改善建議,協助企業持續提升身分安全態勢。 |
以下是幾個常見的情境:
情境一:總公司 AD 環境遭暴力破解攻擊
挑戰:資安團隊無法即時察覺帳號遭暴力破解,導致憑證被竊取。
解法:
- Defender for Identity 偵測異常登入行為與暴力破解嘗試。
- 自動封鎖可疑帳號,並通知管理員進行調查。
- 提供事件時間軸與來源 IP,協助快速定位攻擊源頭。
情境二:分公司使用者遭釣魚信件誘導登入
挑戰:使用者點擊釣魚信件連結,導致帳號憑證外洩。
解法:
- Defender for Identity 偵測異常登入地點與時間,觸發警示。
- 整合 Defender for Cloud Apps 與 Entra ID,啟用條件式存取與 MFA。
- 將事件關聯至釣魚信件來源,進行全面調查。
情境三:IT 管理員帳號遭橫向移動攻擊
挑戰:攻擊者取得低權限帳號後,進行橫向移動並嘗試存取高權限資源。
解法:
- Defender for Identity 偵測橫向移動行為與權限提升嘗試。
- 自動封鎖攻擊路徑,並提供完整行為分析報告。
- 建議調整 AD 權限架構與分層防護策略。
情境四:資安團隊需統一監控身分安全狀況
挑戰:多個地點與部門使用不同 AD 架構,難以統一監控。
解法:
- Defender for Identity 整合所有 DC 資料,提供統一儀表板。
- 結合 Microsoft 365 Defender 與 Secure Score,進行風險評估與改善建議。
- 支援 KQL 查詢語法,進行進階獵捕與自訂警示規則。
Microsoft Defender for Identity 是企業身分安全防護的核心工具,涵蓋多點營業所與混合 AD 架構。建議您可搭配 Entra ID、Defender for Endpoint、Defender for Cloud Apps 等產品,打造一套完整的 ITDR 解決方案。