Security

Predictive shielding в Microsoft Defender против AD-атак

3 мин. чтения

Кратко

Microsoft рассказала, как predictive shielding в Defender помогает сдерживать компрометацию домена Active Directory, ограничивая доступ скомпрометированных высокопривилегированных учетных записей до того, как злоумышленники смогут повторно использовать украденные учетные данные. Эта возможность помогает командам безопасности сократить латеральное перемещение и уменьшить окно реагирования при быстро развивающихся атаках на идентификацию.

Нужна помощь с Security?Поговорить с экспертом

Введение

Атаки на основе идентификационных данных могут развиться от одного скомпрометированного сервера до полного контроля над доменом Active Directory за считаные часы. Новое исследование Microsoft в области безопасности показывает, как predictive shielding в Microsoft Defender может прервать этот путь, проактивно ограничивая доступ к скомпрометированным привилегированным учетным записям до того, как злоумышленники начнут использовать украденные учетные данные.

Для команд безопасности это важно, потому что традиционное реагирование часто начинается только после обнаружения вредоносного использования учетной записи. Predictive shielding меняет эту модель, реагируя на вероятную компрометацию учетных данных почти в реальном времени.

Что нового

Microsoft выделила реальную цепочку атаки на государственный сектор в 2025 году и объяснила, как predictive shielding, теперь входящий в состав automatic attack disruption в Microsoft Defender, меняет результат.

Ключевые возможности включают:

  • Обнаружение действий после компрометации, связанных с кражей учетных данных на устройстве
  • Оценку того, какие высокопривилегированные идентичности, вероятно, были скомпрометированы
  • Применение ограничений just-in-time для снижения риска злоупотребления учетными данными и латерального перемещения
  • Снижение доступа злоумышленников к критически важным операциям с идентификацией, пока специалисты расследуют инцидент

Исследование показало, как злоумышленники переходили от IIS web shell к повышению локальных привилегий, извлечению учетных данных с помощью Mimikatz, а затем к злоупотреблению доступом к контроллеру домена, делегированием Exchange и инструментами Impacket.

Как помогает predictive shielding

В описанном Microsoft инциденте злоумышленники быстро перешли от первоначального доступа к операциям на уровне домена, включая:

  • Извлечение данных LSASS, SAM и других материалов учетных данных
  • Создание запланированных задач на контроллере домена
  • Доступ к данным NTDS для автономного злоупотребления учетными данными
  • Размещение web shell на Exchange Server
  • Перечисление и злоупотребление разрешениями делегирования почтовых ящиков
  • Использование таких инструментов, как Impacket, PsExec и secretsdump, для латерального перемещения

По словам Microsoft, predictive shielding может прервать этот сценарий раньше, ограничивая учетные записи в момент вероятной компрометации, а не ожидая подтвержденного вредоносного использования. Такой подход призван закрыть «разрыв по скорости» между кражей учетных данных и реакцией защитников.

Влияние на IT-администраторов

Для защитников, управляющих гибридной идентификацией и локальной Active Directory, это особенно важно. Компрометацию домена трудно сдерживать, поскольку администраторы не могут просто отключить контроллеры домена или основные службы идентификации без ущерба для бизнеса.

Predictive shielding дает SOC и командам по идентификации дополнительный уровень автоматизированного сдерживания за счет:

  • Защиты высокопривилегированных учетных записей во время событий кражи учетных данных
  • Замедления латерального перемещения злоумышленников между серверами и инфраструктурой идентификации
  • Выигрыша времени для реагирования и таких задач по устранению последствий, как сброс паролей, проверка ACL и ротация krbtgt

Эта функция доступна как встроенное улучшение для клиентов Microsoft Defender for Endpoint P2, которые соответствуют требованиям Defender.

Следующие шаги

Администраторам безопасности следует:

  • Проверить настройки automatic attack disruption в Microsoft Defender
  • Подтвердить соответствие требованиям и предварительные условия для predictive shielding
  • Усилить защиту путей доступа через IIS, Exchange и контроллеры домена
  • Провести аудит привилегированных идентичностей и делегированных разрешений
  • Проверить сценарии реагирования на инциденты для случаев компрометации домена

Главный вывод очевиден: проактивное сдерживание на уровне идентификации становится необходимым для защиты сред Active Directory от современных методов латерального перемещения.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Microsoft Defenderpredictive shieldingActive Directorylateral movementdomain compromise

Похожие статьи

Security

Взлом macOS Sapphire Sleet: выводы Defender

Microsoft Threat Intelligence подробно описала кампанию Sapphire Sleet, нацеленную на macOS и использующую социальную инженерию и поддельные обновления ПО вместо эксплуатации уязвимостей. Цепочка атаки основана на инициированном пользователем запуске AppleScript и Terminal для обхода встроенных средств защиты macOS, что делает особенно важными многоуровневую защиту, осведомлённость пользователей и обнаружение угроз на конечных точках.

Security

Стратегия криптографической инвентаризации для квантовой готовности

Microsoft призывает организации рассматривать криптографическую инвентаризацию как первый практический шаг к постквантовой готовности. Компания описывает непрерывный жизненный цикл Cryptography Posture Management, который помогает командам безопасности выявлять, оценивать, приоритизировать и устранять криптографические риски в коде, сети, среде выполнения и хранилищах.

Security

Реагирование на AI-инциденты: что менять командам

Microsoft заявляет, что традиционные принципы incident response по-прежнему применимы к AI-системам, но командам нужно адаптироваться к недетерминированному поведению, более быстрому масштабному ущербу и новым категориям рисков. Компания подчеркивает необходимость более качественной AI-телеметрии, кросс-функциональных планов реагирования и поэтапного устранения проблем, чтобы быстро сдерживать инциденты, пока разрабатываются долгосрочные исправления.

Security

Agentic SOC от Microsoft: видение будущего SecOps

Microsoft описывает модель «agentic SOC», которая сочетает автономное предотвращение угроз и AI agents для ускорения расследований и снижения усталости от оповещений. Этот подход должен перевести операции безопасности от реактивного реагирования на инциденты к более быстрой и адаптивной защите, давая командам SOC больше времени на стратегическое снижение рисков и управление.

Security

Атаки Storm-2755 на payroll в Канаде

Microsoft раскрыла детали финансово мотивированной кампании Storm-2755, нацеленной на сотрудников в Канаде с атаками на перенаправление зарплатных выплат. Злоумышленник использовал SEO poisoning, malvertising и adversary-in-the-middle методы, чтобы красть сессии, обходить устаревшие MFA и изменять реквизиты direct deposit, что делает phishing-resistant MFA и мониторинг сессий критически важной защитой.

Security

Уязвимость EngageSDK для Android затронула кошельки

Microsoft раскрыла серьёзную уязвимость перенаправления intent в стороннем EngageSDK для Android, из-за которой миллионы пользователей криптокошельков могли подвергнуться риску утечки данных и повышения привилегий. Проблема устранена в EngageSDK версии 5.2.1, а сам случай подчёркивает растущие риски безопасности, связанные с непрозрачными зависимостями мобильной цепочки поставок.