Microsoft Defender for Identity (MDI) gần đây đã ra mắt một bản xem trước công khai (public preview) giúp khám phá tài khoản dịch vụ, tự động xác định và phân loại các tài khoản dịch vụ trong Active Directory. Chức năng mới này giúp các tổ chức giám sát và bảo vệ các tài khoản dịch vụ một cách hiệu quả hơn.
Hiểu về danh tính
Khi nghĩ về danh tính (identity), nhiều người sẽ mặc định khái niệm này chỉ dành cho con người – một người dùng có tên tài khoản và mật khẩu. Nhưng theo hầu hết các ước tính, danh tính của con người bị áp đảo với tỉ lệ 1:10 so với danh tính không phải con người.
Danh tính không phải của con người (non-human identity), có thể bao gồm tài khoản dịch vụ, danh tính cho các công việc trên đám mây và thậm chí là các “bí mật” bảo mật. Chúng là những yếu tố thiết yếu trong giao tiếp giữa máy với máy thúc đẩy thế giới kỹ thuật số của chúng ta. Bản chất quan trọng của chúng cũng khiến chúng trở thành mục tiêu chính cho các cuộc tấn công mạng.
Và mới đây, Microsoft đã bổ sung một chức năng mới trong Microsoft Defender for Identity để bảo vệ các tài khoản loại này. Tính năng mới mở rộng khả năng phát hiện và phản hồi các mối đe dọa danh tính bằng cách giúp nhanh chóng xác định và bảo vệ tài khoản dịch vụ.
Các tài khoản dịch vụ (Service Account) là gì?
Tài khoản dịch vụ là các danh tính chuyên biệt trong Active Directory, được sử dụng để chạy ứng dụng, dịch vụ và các tác vụ tự động. Chúng được phân loại thành một số loại, bao gồm:
- gMSA (Group Managed Service Accounts): gMSA cung cấp giải pháp danh tính duy nhất cho nhiều dịch vụ yêu cầu xác thực lẫn nhau trên nhiều máy chủ, cho phép Windows quản lý mật khẩu tự động, giảm bớt gánh nặng quản trị.
- sMSA (Managed Service Accounts): Tương tự như gMSA nhưng được thiết kế cho các dịch vụ riêng lẻ trên một máy chủ duy nhất thay vì nhóm nhiều máy chủ.
- Tài khoản người dùng: Các tài khoản người dùng tiêu chuẩn thường được sử dụng cho đăng nhập nhưng cũng có thể được cấu hình để chạy dịch vụ.
Những tài khoản này thường yêu cầu quyền hạn cao để thực hiện nhiệm vụ của mình nhưng không thể xác thực theo cách giống như tài khoản người dùng, do đó không được hưởng lợi từ các phương thức xác thực hiện đại như MFA. Do đó, việc quản lý và giám sát cẩn thận là rất quan trọng để tránh trở thành điểm yếu bảo mật.
Service account discovery module mới trong MDI
Là một phần quan trọng trong MDI, mô-đun này giúp các tổ chức chủ động giám sát và bảo vệ các tài khoản dịch vụ trong hệ thống danh tính của họ. Tính năng tự động khám phá nhanh chóng xác định các tài khoản gMSA, sMSA và các tài khoản người dùng trong Active Directory đáp ứng các tiêu chí cụ thể và phân loại chúng là tài khoản dịch vụ. Những tài khoản này sau đó được hiển thị cùng với thông tin liên quan như thông tin về các lần xác thực gần đây và nguồn gốc cũng như đích đến của các tương tác đó, giúp trung tâm điều hành bảo mật (SOC) hiểu rõ mục đích của các tài khoản để dễ dàng phát hiện hoạt động bất thường và hiểu rõ tác động của nó.
Ngoài các chế độ xem danh sách, mỗi tài khoản cũng có trang chi tiết riêng được bổ sung dữ liệu từ toàn bộ trải nghiệm Defender. Những thông tin như ngày tạo tài khoản, lần đăng nhập cuối cùng, hoạt động gần đây, quyền hạn và mức độ quan trọng cung cấp cái nhìn sâu sắc về chính các tài khoản dịch vụ. Chuyên gia SOC cũng có thể thực hiện hành động trực tiếp trên các danh tính này, như vô hiệu hóa người dùng, ngay trong chế độ xem này.
Trong trang này còn có tab Connections mới, nơi đội ngũ bảo mật có thể khám phá các kết nối độc đáo được thực hiện bởi các tài khoản này và xem thông tin chi tiết về các máy tính liên quan, mức độ rủi ro tiềm ẩn và xác định các tương tác bất thường.
Bên cạnh đó, các tổ chức cũng có thể tận dụng các tích hợp gần đây của Defender for Identity với các nhà cung cấp PAM hàng đầu. Bất kỳ tài khoản dịch vụ nào được quản lý bởi các giải pháp PAM đó sẽ tự động được gắn thẻ “đặc quyền” và SOC sẽ có thể thực thi việc xoay vòng mật khẩu ngay trong trải nghiệm này.
Những khả năng này hiện đang ở giai đoạn xem trước công khai (public review) và được tự động kích hoạt cho các tổ chức đang sử dụng Defender for Identity.
Truy cập chức năng mới
Truy cập trang https://security.microsoft.com, vào Identities > Service Accounts
Có một số tùy chọn bạn có thể thực hiện để tùy chỉnh chế độ xem danh sách danh tính. Trên thanh điều hướng trên cùng, bạn có thể:
- Thêm hoặc xóa cột.
- Áp dụng bộ lọc.
- Xuất danh sách sang tập tin CSV. Lưu ý, hiện tại chỉ tối đa 2000 tài khoản quản trị sẽ được hiển thị trong tập tin CSV xuất ra.
- Sắp xếp và lọc danh sách Tài khoản dịch vụ.
