La protezione della propria infrastruttura informatica deve passare tassativamente dai Domain Controller, perchè sono loro che autenticano i vari oggetti ma anche perchè sono i primi ad essere sotto attacco da parte dei ransomware e software malevoli.
Un normale antivirus serve solo a prevenire certe attività ma la componente di Identity richiede qualcosa di più mirato e capace di fare analisi mirata.
Microsoft Defender for Identity (conosciuto come Azure Advanced Threat Protection) è una soluzione di sicurezza basata sul cloud che riceve i segnali di Active Directory per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le attività svolte da utenti interni malintenzionati ai danni dell’organizzazione.
Installazione
Microsoft Defender for Identity richiede una licenza Enterprise Mobility + Security 5 (EMS E5), ma è possibile anche cominciare attivando la trial.
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-00-1024x559.png)
La prima operazione da fare è quella di impostare un account capace di scansionare l’infrastruttura Active Directory; questo account non deve avere nessun tipo di privilegio particolare. Successivamente sarà possibile scaricare l’agent che dovrà essere installato sui vari Domain Controller; sarà necessario anche copiare la Access Key che serve per creare il link tra la sottoscrizione cloud ed i vari oggetti – figura 2.
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-02-1024x429.png)
L’installazione è abbastanza semplice e richiede solo l’inserimento della Access Key copiata in precedenza.
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-03.png)
Analisi e Protezione
Una volta iniziata la scansione, inizieranno ad arrivare i primi warning sulle attività considerate sospette che ovviamente saranno analizzabili facendo drill-down sui singoli oggetti – figura 4 e 5.
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-05-1024x305.png)
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-06-1024x605.png)
Microsoft Defender for Identity monitora e analizza le attività e le informazioni degli utenti, ad esempio le autorizzazioni e l’appartenenza ai gruppi, creando una baseline comportamentale per ogni utente. Tutto questo grazie alle logiche di Machine Learning che analizzano informazioni dettagliate su attività ed eventi sospetti e rivelando gli attacchi avanzati, gli utenti compromessi e le minacce interne all’organizzazione – figura 6.
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-07-1024x543.png)
E’ bene notare che Microsoft Defender for Identity non conosce da subito cos’è giusto o cos’è sbagliato, quindi è fondamentale fare tuning sui processi ed account che vengono ritenuti corretti – figura 7.
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-08-1024x338.png)
Integrazione con Cloud App Security
La console di Microsoft Defender for Identity è in fase di dismissione per consentire una maggiore integrazione con Cloud App Security e Microsoft Defender for Endpoint.
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-09-1024x162.png)
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-11-1024x387.png)
Aggiornamento Agent
L’aggiornamento dell’agent può essere fatto manualmente o automaticamente, tuttavia nel secondo caso è possibile che i server vengano riavviati e questo potrebbe creare dei disservizi. Per questo motivo può essere utile impostare il delay nel riavvio delle macchine, così da lasciare sempre un Domain Controller attivo.
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-10-1024x486.png)
Reporting
La reportistica di Microsoft Defender for Identity consente di inviare notifiche agli amministratori, sulle varie attività sospette come la modifica dei gruppi di sistema. Attraverso report sulla sicurezza e analisi dei profili utente, Defender for Identity consente di ridurre drasticamente la superficie di attacco dell’organizzazione, rendendo più difficile violare le credenziali degli utenti e attuare un attacco.
![](https://www.windowserver.it/wp-content/uploads/2021/01/2021_01_01_azureatp-12-1024x570.png)
Conclusioni
Microsoft Defender for Identity è la soluzione perfetta per la protezione della propria infrastruttura Active Directory capace di identificare, rilevare e analizzare le minacce avanzate. Grazie all’integrazione con le logiche di Machine Learning, è possibile prevenire la corruzione dei propri Domain Controller in modo rapido ed automatico.