利用Defender for Identity保护企业身份安全

Microsoft Defender for Identity是一个基于云的安全解决方案，利用本地 Active Directory信号识别、检测并调查针对企业内部的高级威胁、身份盗用和恶意内部操作。Defender for Identity之前的名字Azure ATP为微软三大ATP之一，大家应该不陌生。ATP对应的本地部署版本为Advanced Threat Analytics（ATA 已于2021年1月12日结束主流支持。扩展支持将持续到2026年1月。）

Microsoft Defender for Identity体系架构

image.png

Defender for Identity需要在企业环境中安装传感器，在ATA体系中叫做ATA网关。传感器可以选择直接安装在域控服务器和ADFS服务器上，也可以独立安装（需要做域控的端口镜像）

传感器会在本地收集相关事件和日志信息，并传输到Defender for Identity门户中，同时Defender云服务会连接到Microsoft Intelligent Security Graph通过机器学习分析安全威胁信号，达到防护、侦测、回应甚至反击的效果，传感器的主要功能如下：

1. 捕获并检查域控制器网络流量（域控制器的本地流量）
2. 直接从域控制器接收 Windows 事件（需要开启域控的高级审核日志，参考：审核 Windows 事件 8004）。
3. 从 VPN 提供商接收 RADIUS 记帐信息
4. 从 Active Directory 域检索用户和计算机的数据
5. 执行用户、组和计算机解析
6. 将相关数据传输到 Defender for Identity 云服务 管理员通过Denfender门户来监视和响应侦测到的可疑活动，针对安全事件来进行调查取证。 通过攻击时间线，我们可以很容易的快速识别出威胁事件，深入了解可疑活动的详细过程。

				Defender for identity时间线

下面我们将通过一次内网的overpass-the-hash攻击的事件来介绍下Defender for identity如何来监视安全威胁事件的。

1. 黑客通过钓鱼等手段获取了企业内网用户权限和计算机，偷偷潜入开始侦查Domain情况，首先获取域用户和Domain Admin名单。

image.png

1. 得知了管理员用户后，继续SMB会话枚举，收集管理员和用户的登录位置，为后续横向移动做准备。

image.png

1. 接下来，抓取本地内存中的用户信息，成功收集到了内存中管理员的NTML Hash。

image.png

1. 接下来，利用NTLM Hash来获取Domain Admins权限，把当前的Users用户添加为了Domain Admins。那么，黑客的这一次获权的入侵就成功完成。

image.png

image.png

那么这样一系列的攻击过程，Defender for Identity是如何来侦查的呢？我们回到Defender Portal，查看时间线，发现刚才的攻击行为已经产生了警报。如下图中的SMB侦测和overpass-the-hase攻击。

image.png

从上图内容，我们发现了azure这个可疑用户，那么可以通过用户行为的时间线来分析黑客的动作，包括刚才执行的SMB枚举等动作。

image.png

我们再看看SCCM这台攻击发起的计算机时间线，这里可以看出sccmadmin这个用户的hash已经泄漏。

image.png

同时，Defender for identity也会标记出登录用户中的可疑用户。

image.png

在警报控制台中我们还可以看到sccmadmin在sccm这台计算机中遭到泄露，并利用可疑的kerberos协议在DC进行了身份验证。

image.png

大多数安全工具无法检测何时使用合法凭据来访问合法资源。尤其在后续还会进行的攻击链过程，看起来都是合法的访问请求。Defender for Identity可以检测攻击者使用盗用票证访问的确切资源，提供关键信息和证据，以确定开始调查的确切位置以及要采取的补救措施。Defender for Identity 检测和警报信息对信息安全团队都具有重要意义。 不仅可以发现凭据被盗，还可以了解攻击者使用盗用票证访问和入侵的资源。