Microsoft Defender for Identity: implementazione e gestione

Microsoft Defender for Identity

La protezione della propria infrastruttura informatica deve passare tassativamente dai Domain Controller, perchè sono loro che autenticano i vari oggetti ma anche perchè sono i primi ad essere sotto attacco da parte dei ransomware e software malevoli.

Un normale antivirus serve solo a prevenire certe attività ma la componente di Identity richiede qualcosa di più mirato e capace di fare analisi mirata.

Microsoft Defender for Identity (conosciuto come Azure Advanced Threat Protection) è una soluzione di sicurezza basata sul cloud che riceve i segnali di Active Directory per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le attività svolte da utenti interni malintenzionati ai danni dell’organizzazione.

Installazione

Microsoft Defender for Identity richiede una licenza Enterprise Mobility + Security 5 (EMS E5), ma è possibile anche cominciare attivando la trial.

Figura 1 – Configurazione Account

La prima operazione da fare è quella di impostare un account capace di scansionare l’infrastruttura Active Directory; questo account non deve avere nessun tipo di privilegio particolare. Successivamente sarà possibile scaricare l’agent che dovrà essere installato sui vari Domain Controller; sarà necessario anche copiare la Access Key che serve per creare il link tra la sottoscrizione cloud ed i vari oggetti – figura 2.

Figura 2 – Download Sensori

L’installazione è abbastanza semplice e richiede solo l’inserimento della Access Key copiata in precedenza.

Figura 3 – Setup Sensore

Analisi e Protezione

Una volta iniziata la scansione, inizieranno ad arrivare i primi warning sulle attività considerate sospette che ovviamente saranno analizzabili facendo drill-down sui singoli oggetti – figura 4 e 5.

Figura 4 – Elenco Case
Figura 5 – Drill Down Case

Microsoft Defender for Identity monitora e analizza le attività e le informazioni degli utenti, ad esempio le autorizzazioni e l’appartenenza ai gruppi, creando una baseline comportamentale per ogni utente. Tutto questo grazie alle logiche di Machine Learning che analizzano informazioni dettagliate su attività ed eventi sospetti e rivelando gli attacchi avanzati, gli utenti compromessi e le minacce interne all’organizzazione – figura 6.

Figura 6 – Dettaglio Server

E’ bene notare che Microsoft Defender for Identity non conosce da subito cos’è giusto o cos’è sbagliato, quindi è fondamentale fare tuning sui processi ed account che vengono ritenuti corretti – figura 7.

Figura 7 – Remediation

Integrazione con Cloud App Security

La console di Microsoft Defender for Identity è in fase di dismissione per consentire una maggiore integrazione con Cloud App Security e Microsoft Defender for Endpoint.

Figura 8 – Integrazione con CAS
Figura 9 – Integrazione con Microsoft Defender Security Center

Aggiornamento Agent

L’aggiornamento dell’agent può essere fatto manualmente o automaticamente, tuttavia nel secondo caso è possibile che i server vengano riavviati e questo potrebbe creare dei disservizi. Per questo motivo può essere utile impostare il delay nel riavvio delle macchine, così da lasciare sempre un Domain Controller attivo.

Figura 10 – Gestione Aggiornamenti

Reporting

La reportistica di Microsoft Defender for Identity consente di inviare notifiche agli amministratori, sulle varie attività sospette come la modifica dei gruppi di sistema. Attraverso report sulla sicurezza e analisi dei profili utente, Defender for Identity consente di ridurre drasticamente la superficie di attacco dell’organizzazione, rendendo più difficile violare le credenziali degli utenti e attuare un attacco.

Conclusioni

Microsoft Defender for Identity è la soluzione perfetta per la protezione della propria infrastruttura Active Directory capace di identificare, rilevare e analizzare le minacce avanzate. Grazie all’integrazione con le logiche di Machine Learning, è possibile prevenire la corruzione dei propri Domain Controller in modo rapido ed automatico.

Get Started

Enable Microsoft Defender for Identity