Como implantar o Microsoft Defender for Identity

O que é o Microsoft Defender para Identidade?

O Microsoft Defender para Identidade (antigo ATP do Azure, Proteção Avançada contra Ameaças do Azure) é uma solução de segurança baseada em nuvem que aproveita os sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de usuários internos mal-intencionados direcionadas à sua organização.

O Defender para Identidade permite aos analistas de SecOp e profissionais de segurança com dificuldades para detectar ataques avançados em ambientes híbridos:

  • Monitorar usuários, comportamento de entidade e atividades com a análise baseada em aprendizado
  • Proteger as identidades do usuário e as credenciais armazenadas no Active Directory
  • Identificar e investigar atividades de usuário suspeitas e ataques avançados em toda a cadeia do ataque cibernético
  • Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápida

Arquitetura do Microsoft Defender para Identidade

Componentes do Microsoft Defender para Identidade

O Defender para Identidade é composto pelos seguintes componentes:

  • Portal do Defender para Identidade
    O portal do Defender para Identidade permite a criação da sua instância do Defender para Identidade, exibe os dados recebidos dos sensores do Defender para Identidade e permite monitorar, gerenciar e investigar ameaças em seu ambiente de rede.
  • Sensor do Microsoft Defender para Identidade
    Os sensores do Defender para Identidade podem ser instalados diretamente nos seguintes servidores:

    • Controladores de domínio: O sensor monitora diretamente o tráfego do controlador de domínio sem a necessidade de um servidor dedicado ou configuração de espelhamento de porta.
    • AD FS: O sensor monitora diretamente o tráfego de rede e os eventos de autenticação.
  • Serviço de nuvem do Defender para Identidade
    O serviço de nuvem do Defender para Identidade é executado na infraestrutura do Azure e implantado no momento nos EUA, na Europa e na Ásia. O serviço de nuvem do Defender para Identidade está conectado ao grafo de segurança inteligente da Microsoft.

Pré-requisitos do Microsoft Defender para Identidade

  • Adquira uma licença para Enterprise Mobility + Security E5 (EMS E5/A5), Microsoft 365 E5 (M365 E5/A5/G5) ou segurança do Microsoft 365 E5/A5/G5 diretamente por meio do portal do Microsoft 365 ou use o modelo de licenciamento do CSP (Parceiro de Soluções na Nuvem). As licenças autônomas do Defender para Identidade também estão disponíveis.
  • Verifique se os servidores nos quais você pretende instalar os sensores do Defender para Identidade podem acessar o Serviço de Nuvem do Defender para Identidade. Eles devem poder acessar https://your-instance-name sensorapi.atp.azure.com (porta 443). Por exemplo, https://contoso-corpsensorapi.atp.azure.com.Para obter o nome da instância, confira a página Sobre na seção Configurações de identidades em https://security.microsoft.com/settings/identities. O sensor do Defender para Identidade dá suporte ao uso de um proxy. Para obter mais informações sobre a configuração de proxy, confira Configurar um proxy para o Defender para Identidade.
  • Pelo menos uma conta de serviços de diretório com acesso de leitura a todos os objetos nos domínios monitorados. Para obter instruções sobre como criar a conta de serviço de diretório, confira recomendações de conta de serviço de diretório.
  • Se você executar o Wireshark no sensor autônomo do Defender para Identidade, reinicie o serviço de sensor do Defender para Identidade depois de parar a captura do Wireshark. Se não reiniciar o serviço de sensor, o sensor interromperá a captura de tráfego.
  • Se você tentar instalar o sensor do Defender para Identidade em um computador configurado com um adaptador de Agrupamento NIC, receberá um erro de instalação. Se você quiser instalar o sensor do Defender para Identidade em um computador configurado com o agrupamento NIC, confira Problema de agrupamento NIC do sensor do Defender para Identidade.
  • Honeytoken opcional: Uma conta de usuário que não tem nenhuma atividade de rede. Essa conta é configurada como um usuário Honeytoken do Defender para Identidade. Para obter mais informações sobre como usar Honeytokens, confira Gerenciar contas confidenciais ou honeytoken.
  • Opcional: ao implantar o sensor autônomo, será necessário encaminhar os eventos do Windows para o Defender para Identidade para aprimorar ainda mais as adições a grupos confidenciais, as detecções de criação de serviço suspeito e as detecções baseadas na autenticação do Defender para Identidade. O sensor do Defender para Identidade recebe esses eventos automaticamente. No sensor autônomo do Defender para Identidade, esses eventos podem ser recebidos do SIEM ou pela definição do Encaminhamento de Eventos do Windows no controlador de domínio. Os eventos coletados fornecem ao Defender para Identidade informações adicionais que não estão disponíveis por meio do tráfego de rede do controlador de domínio.

Requisitos do portal do Microsoft Defender para Identidade

O acesso ao portal do Defender para Identidade ocorre por meio de um navegador, que dá suporte aos seguintes navegadores e configurações:

Requisitos da NNR (Resolução de Nomes de Rede) do Microsoft Defender para Identidade

A NNR (Resolução de Nomes de Rede) é um componente principal da funcionalidade do Defender para Identidade. Para resolver os endereços IP para nomes do computador, os sensores do Defender para Identidade pesquisam os endereços IP usando os seguintes métodos:

  • NTLM sobre RPC (porta TCP 135)
  • NetBIOS (porta UDP 137)
  • RDP (porta TCP 3389): apenas o primeiro pacote do Client hello
  • Consultas ao servidor DNS usando a pesquisa de DNS reverso do endereço IP (UDP 53)

Para que os três primeiros métodos funcionem, as portas relevantes precisam ser abertas para entrada dos sensores do Defender para Identidade para os dispositivos na rede. Para saber mais sobre o Defender para Identidade e a NNR, Política da NNR do Defender para Identidade.

Requisitos do sensor do Microsoft Defender para Identidade

O sensor do Defender para Identidade dá suporte à instalação em controladores de domínio ou servidores do AD FS (Serviços de Federação do Active Directory), conforme mostrado na tabela a seguir.

Versão do sistema operacionalServidor com Experiência DesktopServer CoreNano ServerInstalações com suporte
Windows Server 2008 R2 SP1Não aplicávelControlador de domínio
Windows Server 2012Não aplicávelControlador de domínio
Windows Server 2012 R2Não aplicávelControlador de domínio
Windows Server 2016Controlador de domínio, AD FS
Windows Server 2019*Controlador de domínio, AD FS
Windows Server 2022Controlador de domínio, AD FS

* Requer a atualização cumulativa KB4487044 ou mais recente. Os sensores instalados no Server 2019 sem essa atualização serão interrompidos automaticamente se a versão do arquivo ntdsai.dll no diretório do sistema for mais antiga que 10.0.17763.316.

O controlador de domínio pode ser um RODC (controlador de domínio somente leitura).

Para que os sensores em execução nos controladores de domínio e no AD FS se comuniquem com o serviço de nuvem, será necessário abrir a porta 443 para o *.atp.azure.com nos firewalls e proxies. Caso esteja executando uma instalação em um farm do AD FS, recomendamos instalar um sensor em cada servidor do AD FS ou pelo menos em um nó primário.

Durante a instalação, se o .NET Framework 4.7 ou posterior não estiver instalado, o .NET Framework 4.7 será instalado e poderá exigir uma reinicialização do servidor. Uma reinicialização também poderá ser necessária se já houver uma reinicialização pendente.

Portas

A seguinte tabela lista o mínimo de portas exigidas pelo sensor do Defender para Identidade:

ProtocoloTransportPortaDePara
Portas de Internet
SSL (*.atp.azure.com)TCP443Sensor do Microsoft Defender para IdentidadeServiço de nuvem do Defender para Identidade
Portas internas
DNSTCP e UDP53Sensor do Microsoft Defender para IdentidadeServidores DNS
Netlogon (SMB, CIFS, SAM-R)TCP/UDP445Sensor do Microsoft Defender para IdentidadeTodos os dispositivos na rede
RAIOUDP1813RAIOSensor do Microsoft Defender para Identidade
Portas localhost*Obrigatório para o atualizador de Serviço de Sensor
SSL (localhost)TCP444Serviço de SensorServiço de Atualizador de Sensor
Portas NNR**
NTLM via RPCTCPPorta 135Sensor do Microsoft Defender para IdentidadeTodos os dispositivos na rede
NetBIOSUDP137Sensor do Microsoft Defender para IdentidadeTodos os dispositivos na rede
RDPTCP3389, apenas o primeiro pacote do Client helloSensor do Microsoft Defender para IdentidadeTodos os dispositivos na rede

* Por padrão, o tráfego de localhost para localhost é permitido, a menos que uma política de firewall personalizada o bloqueie.
** Uma dessas portas é necessária, mas é recomendável abrir todas elas.

Para maiores informações sobre pré-requisitos consulte o link abaixo:

Pré-requisitos do Microsoft Defender para Identidade | Microsoft Docs

Passo a passo

Para iniciar a implantação do Defender para Identidade, entre no portal do Microsoft 365 Defender. No menu de navegação, selecione qualquer item, como Incidents & alertsHuntingAction center, ou Threat analytics  para iniciar o processo de integração.

Então você terá a opção de implantar os serviços com suporte, incluindo o Microsoft Defender para Identidade. Ao acessar as configurações do Defender para Identidade, os componentes de nuvem necessários serão provisionados automaticamente.

01 – Faça login no portal do Microsoft Defender for Identity.

https://portal.atp.azure.com/

02 – Na tela inicial do Microsoft Defender for Identity clique em Configuration.

03 – Na tela Directory services em corp.domain.cpm\user insira o nome da conta do domain controler, senha e nome do domínio.

Em nosso exemplo criamos a conta svc-identity sem privilégios administrativos para adicionar ao Directory services.

Insira o nome da conta, senha e nome do domínio, em seguida clique em Save.

04 – Após finalizarmos as configurações em Directory services percebam que a opção Download Sensor Setup está disponível, clique em Download Sensor Setup.

05 – Na tela Sensors em Sensor setup clique em Download, copie o Access key, vamos precisar dessa informação no momento da instalação.

06 – Após efetuar o download do Sensor extraia o arquivo Azure ATP Sensor Setup.

07 – Na pasta Azure ATP Sensor Setup execute o Azure ATP Sensor Setup.

08 – Na tela Install Microsoft Defender for Identity Sensor em Choose your language selecione a linguagem de sua preferência e clique em Next.

09 – Na tela Sensor deployment type clique em Next.

10 – Na tela Configure the Sensor para a opção Access key cole a key que copiamos do portal do Microsoft Defender for Identity, em seguida clique em Install.

11 – Aguarde o processo de instalação finalizar.

12 – Após a instalação finalizar clique em Finish para fechar o assistente de instalação.

13 – Apos finalizar a instalação são criados dos serviços no sistema peracional para o Microsoft Defender for Identity.

14 – De volta ao portal do Microsoft Defender for Identity percebam que o serviço está com o status Running.

Configurando Notificações

Sempre que um novo incidente de segurança for criado ou tivermos problemas com o agente do Microsoft Defender for Identity seremos notificados por email.

15 – Na tela settings clique em Notifications, para a opção A new alert is detected e A new health issue is detected adicione a conta de email do grupo ou usuário que vai receber as notificações, em seguida clique em Save.

Capturando movimentações laterais

Movimento lateral é quando um invasor aproveita seus direitos de acesso atuais para navegar em torno de seu ambiente. A escalada de privilégios está ganhando maior permissões de acesso. Os atacantes combinam essas duas táticas para alcançar seu objetivo final de roubar dados ou causar outros danos à sua organização.

Normalmente, quando um invasor entra no seu ambiente, ele começa a fazer reconhecimento para entender quais recursos eles têm acesso e quais contas eles podem ser capazes de comprometer a seguir. À medida que descobrem caminhos para aumentar seus privilégios, eles ganham acesso a ainda mais dados e recursos. Ao repetir esse ciclo, eles se esforçam para eventualmente obter acesso aos seus dados ou sistemas mais valiosos.

Vamos simular a ação de um atacante executando alguns comandos para que o Microsoft Defender for Identity detecte essas atividades suspeitas.

16 – Na máquina cliente que está ingressada no domínio “jadsonalves.com.br”, faça login com uma conta de usuário do domínio em seguida abra o Command Prompt (cmd).

17 – Na máquina cliente execute o comando net user /domain, com esse comando o atacante vai visualizar todas as contas criadas no Active Directory.

Digamos que as credencias da vítima foram comprometidas e o atacante teve acesso a conta, uma das coisas que o invasor pode querer fazer é tentar enumerar o usuário do usuário da rede.

18 – Agora vamos verificar todos os grupos criados no Active directory com o comando net group /domain

O atacante pode querer ter acesso a esses grupos para chegar no Active Directoty.

19 – Agora vamos pesquisar quais usuários fazem parte do grupo Domains Admins com o comando net group “domain admins” /domain

Então agora sabemos que as contas adm.jadson e jadson.alves fazem parte do grupo Domain Admins, sendo assim o atacante tentaria obter as credencias  dessas credencias.

20 – Possivelmente o atacante tentaria enumera o acesso do grupo Enterprise Admins, podemos fazer isso com o comando net group “enterprise admins” /domain

Então agora o atacante sabe qual usuário tem a autoridade máxima no Active directory, que nesse caso é o adm.jadson.

Caso o atacante tenha acesso ao usuário com permissão de Enterprise Admins poderá executar qualquer coisa no ambiente.

Uma coisa certa é que seus usuários da organização não estarão executando esses comandos no dia a dia, então é nesse momento que o Microsoft Defender for Identity detecta essas atividades anormais no ambiente.

Integração Microsoft Defender for Identity com Microsoft Defender for Endpoint

21 – Faça login no portal Microsoft Defender for Identity.

https://portal.atp.azure.com/

22 – No portal Microsoft Defender for Identity clique em Configuration.

23 – Na tela Configurations clique em Microsoft Defender for Endpoints e habilite a opção Integration with Microsoft Defender for Endpoint, em seguida clique em Save.

24 – Faça login no Microsoft 365 Defender.

https://security.microsoft.com/

25 – No portal do Microsoft 365 Defender clique em Settings.

26 – Na tela Settings clique em Endpoints.

27 – Na tela Endpoints clique em Advanced features e selecione a opção Microsoft Defender for Identity integration, em seguida clique em Save preferences.

Analizando os incidentes de segurança no Microsoft Defender for Cloud Apps

Por padrão a integração do Microsoft Defender for Identity e Microsoft Defender for Cloud Apps está habilitada.

28 – Faça login no portal do Microsoft Defender for Cloud Apps.

https://portal.atp.azure.com/

29 – No portal do Microsoft Defender for cloud Apps clique em Investigate e selecione Activity log.

30 – Na tela Activity log temos todos os incidentes capturados pelo Microsoft Defender for Identity

31 – Inclusive podemos visualizar a enumeração executada para os usuários e grupos do domínio jadsonalves.com.br.

Analizando os incidentes de segurança no Microsoft 365 Defender

Para que os incidentes do Microsoft Defender for Identity sejam reportados no Microsoft defender for Endpoint a máquina tem que está com o agente do Microsoft Defender for Endpoint instalado.

32 – No portal Microsoft 365 Defender em Incidents & Alerts clique em Alerts.

33 – Como podemos observar os incidentes de segurança foram exibidos no Microsoft 365 Defender.

34 – Selecione o incidente que deseja analisar, após selecionar o incidente podemos visualizar o incidente de forma detalhada.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.