Security

Microsoft Defender Predictive Shielding blokuje ataki AD

3 min czytania

Podsumowanie

Microsoft opisał, jak predictive shielding w Defender może ograniczyć przejęcie domeny Active Directory poprzez blokowanie ujawnionych kont o wysokich uprawnieniach, zanim atakujący ponownie wykorzystają skradzione poświadczenia. Funkcja pomaga zespołom bezpieczeństwa ograniczyć ruch boczny i skrócić lukę reakcji podczas szybko rozwijających się ataków na tożsamość.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie

Ataki oparte na tożsamości mogą eskalować z jednego przejętego serwera do pełnej kontroli nad domeną Active Directory w ciągu kilku godzin. Najnowsze badania Microsoft dotyczące bezpieczeństwa pokazują, jak predictive shielding w Microsoft Defender może przerwać tę ścieżkę, proaktywnie ograniczając ujawnione konta uprzywilejowane, zanim atakujący wykorzystają skradzione poświadczenia.

Dla zespołów bezpieczeństwa ma to znaczenie, ponieważ tradycyjna reakcja często rozpoczyna się dopiero po zaobserwowaniu złośliwego użycia konta. Predictive shielding zmienia ten model, działając niemal w czasie rzeczywistym na podstawie prawdopodobnego ujawnienia poświadczeń.

Co nowego

Microsoft wskazał rzeczywisty łańcuch ataku z sektora publicznego z 2025 roku i wyjaśnił, jak predictive shielding, obecnie będący częścią automatic attack disruption w Microsoft Defender, zmienia rezultat.

Kluczowe możliwości obejmują:

  • Wykrywanie aktywności po naruszeniu związanej z kradzieżą poświadczeń na urządzeniu
  • Ocenę, które tożsamości o wysokich uprawnieniach mogły zostać ujawnione
  • Stosowanie ograniczeń just-in-time w celu ograniczenia nadużyć poświadczeń i ruchu bocznego
  • Ograniczanie dostępu atakującego do wrażliwych operacji tożsamości podczas analizy incydentu przez responderów

Badanie pokazało, jak atakujący przeszli od IIS web shell do lokalnej eskalacji uprawnień, zrzutu poświadczeń przy użyciu Mimikatz, a następnie do nadużycia dostępu do domain controller, delegacji Exchange i narzędzi Impacket.

Jak pomaga predictive shielding

W incydencie opisanym przez Microsoft atakujący szybko przeszli od początkowego dostępu do operacji na poziomie domeny, w tym:

  • Zrzucania LSASS, SAM i innych materiałów poświadczeń
  • Tworzenia scheduled tasks na domain controller
  • Uzyskiwania dostępu do danych NTDS w celu offline'owego nadużycia poświadczeń
  • Umieszczania web shell na Exchange Server
  • Enumeracji i nadużywania uprawnień delegacji skrzynek pocztowych
  • Wykorzystywania narzędzi takich jak Impacket, PsExec i secretsdump do ruchu bocznego

Microsoft twierdzi, że predictive shielding może wcześniej przerwać ten schemat, ograniczając konta w momencie, gdy prawdopodobnie zostały ujawnione, zamiast czekać na potwierdzone złośliwe użycie. Takie podejście ma na celu zamknięcie „luki prędkości” między kradzieżą poświadczeń a reakcją obrońców.

Wpływ na administratorów IT

Dla obrońców zarządzających tożsamością hybrydową i lokalnym Active Directory ma to duże znaczenie. Przejęcie domeny jest trudne do powstrzymania, ponieważ administratorzy nie mogą po prostu wyłączyć domain controllers ani kluczowych usług tożsamości bez zakłócania działania firmy.

Predictive shielding zapewnia zespołom SOC i tożsamości kolejną warstwę zautomatyzowanego ograniczania skutków poprzez:

  • Ochronę kont o wysokich uprawnieniach podczas incydentów kradzieży poświadczeń
  • Spowalnianie ruchu bocznego atakującego między serwerami i infrastrukturą tożsamości
  • Danie responderom czasu na działania naprawcze, takie jak reset haseł, walidacja ACL i rotacja krbtgt

Ta funkcja jest dostępna jako gotowe rozszerzenie dla klientów Microsoft Defender for Endpoint P2, którzy spełniają wymagania wstępne Defender.

Kolejne kroki

Administratorzy bezpieczeństwa powinni:

  • Przejrzeć ustawienia automatic attack disruption w Microsoft Defender
  • Potwierdzić kwalifikację i wymagania wstępne dla predictive shielding
  • Wzmocnić zabezpieczenia ścieżek ekspozycji IIS, Exchange i domain controller
  • Przeprowadzić audyt tożsamości uprzywilejowanych i delegowanych uprawnień
  • Zweryfikować playbooki reagowania na incydenty dla scenariuszy przejęcia domeny

Najważniejszy wniosek jest jasny: proaktywne ograniczanie zagrożeń związanych z tożsamością staje się niezbędne do ochrony środowisk Active Directory przed nowoczesnymi technikami ruchu bocznego.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
Microsoft Defenderpredictive shieldingActive Directorylateral movementdomain compromise

Powiązane artykuły

Security

Sapphire Sleet na macOS: kluczowe ustalenia Defender

Microsoft Threat Intelligence opisał kampanię Sapphire Sleet wymierzoną w macOS, która wykorzystuje socjotechnikę i fałszywe aktualizacje oprogramowania zamiast luk w zabezpieczeniach. Łańcuch ataku opiera się na uruchamianiu AppleScript i Terminal przez użytkownika, aby ominąć natywne mechanizmy ochrony macOS, co szczególnie podkreśla znaczenie wielowarstwowej ochrony, świadomości użytkowników i wykrywania na punktach końcowych.

Security

Strategia inwentaryzacji kryptografii dla gotowości na kwanty

Microsoft zachęca organizacje, by traktowały inwentaryzację kryptografii jako pierwszy praktyczny krok w kierunku gotowości na erę post-quantum. Firma przedstawia ciągły cykl zarządzania stanem kryptografii, który pomaga zespołom bezpieczeństwa wykrywać, oceniać, priorytetyzować i usuwać ryzyka kryptograficzne w kodzie, sieci, środowisku uruchomieniowym i pamięci masowej.

Security

Reagowanie na incydenty AI: co muszą zmienić zespoły

Microsoft twierdzi, że tradycyjne zasady reagowania na incydenty nadal mają zastosowanie w systemach AI, ale zespoły muszą dostosować się do niedeterministycznego działania, szybszego rozprzestrzeniania szkód na dużą skalę oraz nowych kategorii ryzyka. Firma podkreśla potrzebę lepszej telemetrii AI, międzydziałowych planów reagowania i etapowego usuwania skutków, aby szybko ograniczać problemy, równolegle opracowując długoterminowe poprawki.

Security

Agentic SOC Microsoft: wizja przyszłości SecOps

Microsoft przedstawia model „agentic SOC”, który łączy autonomiczne zakłócanie zagrożeń z agentami AI, aby przyspieszać dochodzenia i ograniczać zmęczenie alertami. To podejście ma przesunąć operacje bezpieczeństwa z reaktywnej obsługi incydentów w stronę szybszej, bardziej adaptacyjnej obrony, dając zespołom SOC więcej czasu na strategiczne ograniczanie ryzyka i nadzór.

Security

Ataki płacowe Storm-2755 na pracowników w Kanadzie

Microsoft opisał motywowaną finansowo kampanię Storm-2755 wymierzoną w pracowników w Kanadzie z użyciem ataków przekierowujących wypłaty. Aktor zagrożeń wykorzystał SEO poisoning, malvertising oraz techniki adversary-in-the-middle do kradzieży sesji, obejścia starszych metod MFA i zmiany danych direct deposit, co sprawia, że MFA odporne na phishing i monitorowanie sesji są kluczowymi zabezpieczeniami.

Security

Luka EngageSDK Android narażała miliony portfeli

Microsoft ujawnił poważną lukę typu intent redirection w zewnętrznym EngageSDK dla Android, która mogła narazić miliony użytkowników portfeli crypto na wyciek danych i eskalację uprawnień. Problem naprawiono w EngageSDK w wersji 5.2.1, a ten przypadek pokazuje rosnące ryzyko bezpieczeństwa związane z nieprzejrzystymi zależnościami w łańcuchu dostaw aplikacji mobilnych.