Microsoft Defender predictive shielding stopt AD-aanvallen

Inleiding

Op identiteit gebaseerde aanvallen kunnen in enkele uren escaleren van één gecompromitteerde server naar volledige controle over een Active Directory-domein. Microsofts nieuwste securityonderzoek laat zien hoe predictive shielding in Microsoft Defender dat pad kan onderbreken door blootgestelde bevoorrechte accounts proactief te beperken voordat aanvallers gestolen referenties operationeel inzetten.

Voor beveiligingsteams is dit belangrijk, omdat traditionele respons vaak pas begint nadat kwaadaardig accountgebruik is waargenomen. Predictive shielding verschuift dat model door in vrijwel realtime te handelen op waarschijnlijke blootstelling van referenties.

Wat is er nieuw

Microsoft belichtte een praktijkgerichte aanvalsketen uit 2025 in de publieke sector en legde uit hoe predictive shielding, nu onderdeel van automatic attack disruption in Microsoft Defender, de uitkomst verandert.

Belangrijke mogelijkheden zijn onder meer:

• Detecteren van post-breach-activiteit die verband houdt met referentiediefstal op een apparaat
• Evalueren welke identiteiten met hoge bevoegdheden waarschijnlijk zijn blootgesteld
• Toepassen van just-in-time-beperkingen om misbruik van referenties en laterale beweging te beperken
• De toegang van aanvallers tot gevoelige identiteitsoperaties verminderen terwijl responders onderzoek doen

Het onderzoek liet zien hoe aanvallers zich verplaatsten van een IIS-webshell naar lokale privilege-escalatie, credential dumping met Mimikatz en later misbruik van toegang tot domain controllers, Exchange-delegatie en Impacket-tooling.

Hoe predictive shielding helpt

In het incident dat Microsoft beschreef, gingen aanvallers snel van initiële toegang naar activiteiten op domeinniveau, waaronder:

• Dumpen van LSASS, SAM en ander referentiemateriaal
• Aanmaken van geplande taken op een domain controller
• Toegang krijgen tot NTDS-data voor offline misbruik van referenties
• Een webshell plaatsen op Exchange Server
• Mailboxdelegatiemachtigingen inventariseren en misbruiken
• Tools zoals Impacket, PsExec en secretsdump gebruiken voor laterale beweging

Microsoft zegt dat predictive shielding dit patroon eerder kan onderbreken door accounts te beperken op het moment dat ze waarschijnlijk zijn blootgesteld, in plaats van te wachten op bevestigd kwaadaardig gebruik. Die aanpak is bedoeld om de "speed gap" tussen referentiediefstal en respons van defenders te dichten.

Impact op IT-beheerders

Voor defenders die hybride identiteit en on-premises Active Directory beheren, is dit significant. Een domeincompromis is moeilijk in te dammen, omdat beheerders domain controllers of kernservices voor identiteit niet simpelweg kunnen uitschakelen zonder de bedrijfsvoering te verstoren.

Predictive shielding geeft SOC- en identiteitsteams een extra laag geautomatiseerde indamming door:

• Accounts met hoge bevoegdheden te beschermen tijdens incidenten met referentiediefstal
• De laterale beweging van aanvallers over servers en identiteitsinfrastructuur te vertragen
• Responders tijd te geven voor herstelwerkzaamheden zoals wachtwoordresets, ACL-validatie en krbtgt-rotatie

De functie is beschikbaar als een out-of-the-box-uitbreiding voor klanten van Microsoft Defender for Endpoint P2 die voldoen aan de Defender-vereisten.

Volgende stappen

Security administrators moeten:

• De instellingen voor automatic attack disruption in Microsoft Defender beoordelen
• Geschiktheid en vereisten voor predictive shielding bevestigen
• Blootstellingspaden van IIS, Exchange en domain controllers verder hardenen
• Bevoorrechte identiteiten en gedelegeerde machtigingen auditen
• Incident response-playbooks voor scenario's met domeincompromis valideren

De belangrijkste conclusie is duidelijk: proactieve identiteitsindamming wordt essentieel om Active Directory-omgevingen te verdedigen tegen moderne technieken voor laterale beweging.