Microsoft Defender for Identity

Overview

Microsoft Defender for Identity [in precedenza Azure Advanced Threat Protection (Azure ATP)] è una soluzione di sicurezza basata sul cloud che consente, eseguendo il monitoraggio delle informazioni generate dall’infrastruttura Active Directory e dalle attività di rete dell’organizzazione, di rilevare e investigare possibili attività malevole sospette.

Microsoft Defender for Identity, nello specifico, colleziona e archivia, ad esempio, le seguenti informazioni in ambienti “ibridi”:

  • Il traffico di rete da e verso i Domain Controller;
  • I Security Log;
  • La morfologia dell’infrastruttura Active Directory.

Con il fine ultimo di:

  • Monitorare e classificare il comportamento e le attività degli utenti attraverso analisi basate su Machine Learning;
  • Difendere Active Directory Federation Services (AD FS) in ambienti ibridi;
  • Fornire velocemente informazioni chiare su possibili “incidenti”.

Soluzione

La seguente immagine raffigura l’architettura di Microsoft Defender for Identity:

  1. Portale di Microsoft Defender for Identity: consente di monitorare, gestire e analizzare le minacce
  2. Sensore di Microsoft Defender for Identity, il quale può essere installato su Domain controller oppure su AD FS
  3. Servizio cloud Microsoft Defender for Identity: Viene eseguito nell’infrastruttura di Microsoft Azure ed è connesso a Microsoft Intelligent Security Graph

Prerequisiti

  • È acquistabile come licenza Standalone oppure è  necessario disporre di una delle seguenti licenze:
    • Microsoft Defender for Office 365 Plan 1
    • Microsoft Defender for Office 365 Plan 2
    • Microsoft Defender for Office 365 Plan 1 è incluso in Microsoft 365 Business Premium.
    • Microsoft Defender for Office 365 Plan 2 è incluso in Office 365 E5, Office 365 A5, Microsoft 365 E5 Security e Microsoft 365 E5.
    • La funzionalità “Safe Documents” è disponibile solo per utenti dotati di Microsoft 365 E5 opure Microsoft 365 E5 Security
  • Microsoft supporta l’installazione del sensore Microsoft Defender for Identity sui Domain Controller con a bordo uno dei seguenti sistemi operativi: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 (Windows Nano Server), Windows Server 2019 (NO Windows Nano Server).
  • Il sensore Microsoft Defender for Identity richiede almeno 2 core e 6 GB di RAM sui Domain Controller 

Benefici

  • Identificare proattivamente possibili indicatori di attacco (IOA)
  • Proteggere le identità e le credenziali degli utenti archiviate in Active Directory e ridurre la superficie di attacco
  • Identificare le attività sospette e gli attacchi avanzati attraverso la Kill Chain