现代化您的身份防御：微软身份威胁检测与响应

在当今快速演变的网络环境中，企业需平衡本地系统和云资源，而基于身份的网络威胁正变得更加频繁和复杂。问题不在于身份攻击是否会发生，而在于何时发生。数据显示，2024年微软平均每秒发生超过7000次密码攻击，仅中间人（AiTM）钓鱼攻击就增加了146%。1

统一的身份威胁检测与响应（ITDR）方法不再是奢侈品，而是必需品。无论您是身份管理员还是安全运营中心（SOC）分析师，最小化风险始于消除保护漏洞。

从混乱到控制：统一身份和安全解决方案

随着企业IT环境的演变，组织不得不管理跨多个环境、工具和供应商的复杂身份网络，这为网络犯罪分子提供了许多潜在的漏洞。最近的《安全访问报告》说明了复杂的多解决方案身份供应商与重大泄露概率之间的直接相关性。

根据报告研究，依赖六个或更多身份和网络解决方案拼凑的公司不仅面临操作效率低下，而且重大泄露的概率高出79%。2

在微软，我们理解ITDR是身份与访问管理（IAM）和扩展检测与响应（XDR）之间的集成合作伙伴关系，我们的愿景是消除组织孤岛，统一这些团队、工具和流程。

我们集成解决方案的关键优势之一是提供端到端的可见性和保护。微软Entra原生地将关键信号馈送到微软Defender，反之亦然，从而在本地、云环境和第三方中实现全面的身份保护。像ElringKlinger这样的客户已经认识到，碎片化、孤岛化的安全解决方案不再足以应对网络威胁的复杂性质。

“微软各个身份解决方案的组合非常棒。它帮助我们发现问题，如果我们有孤岛化的身份解决方案，可能无法发现这些问题，并使我们的团队工作更轻松。”
— Alexander Maute, ElringKlinger IT总监

主动保护：强化您的身份安全态势

ITDR在网络攻击开始之前就开始了，具体来说是通过最小化攻击面。从身份角度来看，这意味着消除网络攻击者经常利用的易受攻击的配置、陈旧账户和过度特权实例。微软的ITDR方法强调这种主动立场：态势管理不仅是最佳实践，而且是实现实时ITDR的基础。我们还理解，成功的安全实践需要跨不同团队和流程的协调。

微软Entra和微软Defender将可操作的建议直接呈现在微软安全评分和扩展安全暴露管理（XSPM）中，使安全团队能够可视化攻击路径、优先修复，并在威胁实现之前主动强化防御。身份安全倡议提供了跨本地和云身份、身份基础设施和第三方身份提供商的推荐操作的身份特定视图。这些以及其他跨端点、应用程序、数据、网络和身份的建议，帮助安全领导者获得对潜在攻击路径和漏洞的无与伦比的可见性，使他们能够在风险升级之前识别和缓解风险。

毫秒至关重要：实时检测和响应的力量

在当今不断演变的威胁环境中，仅靠预防已不足够——真正的网络弹性依赖于快速检测和响应的能力。在每秒钟都至关重要的环境中，微软的ITDR方法通过提供战略分层的防御，帮助主动实时中断网络威胁，通过统一IAM和SOC团队的数据、工具和工作流程。

第一层是以动态、基于风险的访问控制形式，利用身份领域的无与伦比的洞察力。作为身份提供商，微软Entra直接管理云身份验证，并在身份验证点实时执行保护。这使我们能够比任何其他人更快、更一致地动态执行访问控制和升级身份验证。这是通过Entra和Defender之间的原生双向集成实现的，该集成实现了跨身份和安全操作的持续、实时身份信号共享。

这种方法的不同之处在于内置的反馈循环：身份信号即时通知安全检测，而来自Defender的威胁情报直接影响Entra中的访问决策——无需手动交接或延迟。除了增加更多潜在故障点外，多供应商解决方案通常依赖于先前登录尝试的旧日志，可能没有完整的上下文或看到自那时以来发生的变化。

然而，集成真正闪耀的地方是我们的身份威胁响应能力。在主动网络攻击期间，响应速度至关重要。这就是为什么微软有自动攻击中断，这是一种内置的自卫能力，使用XDR中的相关原生信号、AI和最新威胁情报来识别和遏制进行中的攻击，如AiTM、勒索软件等，以防止进一步的横向移动。攻击中断使用统一平台的洞察力绘制攻击路径，准确预测攻击者下一步将去哪里。一旦威胁被确认，Defender启动自动遏制——隔离受损资产或关闭用户会话以防止进一步传播。

这种近实时响应不仅停止攻击，而且最小化其影响，为安全团队提供关键时间来调查和修复，而不干扰更广泛的环境。这种闭环集成随着时间的推移加强风险引擎，响应变得更智能、更快，为您的身份和SOC团队节省时间，并平衡生产力和安全性。

将零信任扩展到ITDR之外

ITDR是现代网络安全战略的关键组成部分，但它只是一个更大、不断演变的愿景的一部分。在微软，零信任不是一个检查点——它是一个指导性的安全理念，随着不断演变的威胁环境而扩展和适应。保护现代组织意味着采用零信任策略，保护用户、数据、应用程序和基础设施——无论它们位于何处。这包括执行最小特权访问、显式验证和假设违规是常态。这些原则必须扩展到数字资产，不仅在身份内，而且跨端点、应用程序和网络。

微软通过支持全方位零信任功能的端到端产品组合实现这一愿景。微软Entra提供强大的身份和访问管理。微软Intune确保设备合规性和健康。微软Purview强制执行数据安全和治理。微软Defender提供跨端点、身份、软件即服务应用、电子邮件和协作工具、多云工作负载和数据安全洞察的威胁保护。而微软的网络访问能力——通过Entra套件提供——保护连接并减少横向移动风险。当您一起使用它们时，您可以保护任何身份、任何应用程序、任何地方。

随着组织导航日益复杂的环境——从混合工作到多云基础设施——微软致力于成为零信任旅程中的可信合作伙伴。借助微软，组织不仅为今天的身份威胁做好准备——而且为安全数字转型的未来做好准备。

ITDR的未来

随着威胁行为者变得更加复杂，安全策略必须超越碎片化工具和孤立信号。展望未来，ITDR将继续作为零信任的基石——一个原生集成跨身份、应用、端点、云、网络及更远的基石。以微软为可信合作伙伴，业务领导者能够超越ITDR，保护您的身份，保护您的操作，并为未来建立弹性。

观看我们的视频以了解更多。
了解更多关于微软身份威胁检测与响应的信息。
要了解更多关于微软安全解决方案的信息，请访问我们的网站。将安全博客加入书签以跟上我们关于安全事务的专家报道。此外，在LinkedIn（Microsoft Security）和X（@MSFTSecurity）上关注我们，以获取网络安全的最新新闻和更新。

1微软数字防御报告2024
2AI时代的员工安全访问