BleepingComputer与TechRadar等媒体在微软Microsoft 365开发蓝图中发现,微软正着手强化Microsoft Defender for Identity的能力,其中之一是让安全性作业(SecOps)可直接封锁可疑的Active Directory账号。
原本称为Azure高端威胁防护(Azure ATP)的Microsoft Defender for Identity为一身份保护机制,可用来保护本地部署系统的身份认证安全,并与Microsoft 365互通有无;它可借由自我学习的分析,监控用户与实体的行为及活动,也能识别整个狙杀链中的可疑用户行为与高端攻击。
微软在Microsoft 365开发蓝图中,公布了7项准备于今年发布的Microsoft Defender for Identity新功能,其中的5项将在7月问世,包括可识别原生的回应行动、提供step-by-step的配置指南、添加警报过滤功能、改善对机密群组的侦测,以及于Microsoft 365安全中心纳入Microsoft Defender for Identity等。
最受瞩目的是其中的原生回应行动(Native “response” actions),允许SecOps在怀疑有用户受到危害时,直接封锁该Active Directory账号,或是提醒用户修改密码。
另一项功能则是在Microsoft Defender for Identity创建一个集中管理中心,以用来识别、侦测及调查与身份有关的威胁,并提供step-by-step指南,协助管理人员打造身份实例,连接Active Directory与安装传感器,以保障本地部署端的身份认证安全。