Microsoft Defender XDR Master Class: Phần 3 – ITDR

ITDR là gì?

ITDR (Identity Threat Detection and Response) là một nhánh trong chiến lược bảo mật hiện đại, tập trung vào việc phát hiện, phân tích và phản ứng với các mối đe dọa liên quan đến danh tính, bao gồm tài khoản người dùng, thiết bị, ứng dụng, và mối quan hệ truy cập trong hệ thống CNTT của doanh nghiệp.

Trong bối cảnh chiến lược Zero Trust đang trở thành mô hình bảo mật chủ đạo, danh tính được xem là đường biên mới (new perimeter). Hiện tại, tin tặc ngày càng tinh vi hơn trong việc tấn công hệ thống của doanh nghiệp thông qua:

• Tài khoản bị lộ do tấn công lừa đảo (phishing) hoặc rò rỉ dữ liệu
• Tấn công di chuyển ngang (lateral movement) để leo thang đặc quyền
• Sử dụng các tài khoản hợp pháp để hoạt động như người dùng bình thường

Do đó, ITDR là lớp bảo vệ bổ sung giúp tổ chức có thể tăng cường:

• Giám sát hành vi bất thường của người dùng
• Phát hiện hành vi có thể là dấu hiệu của tấn công danh tính
• Phản ứng sớm, ngăn chặn rủi ro và bảo vệ tài sản số

Microsoft tiếp cận ITDR như thế nào?

Microsoft triển khai ITDR không phải dưới một sản phẩm duy nhất mà là sự kết hợp của nhiều công cụ bảo mật danh tính trong hệ sinh thái Microsoft Entra và Microsoft Defender:

• Microsoft Entra: quản lý danh tính và triển khai các chính sách bảo mật liên quan đến danh tính.
• Microsoft Entra ID Protection: giám sát rủi ro đăng nhập, người dùng, và áp dụng chính sách đáp ứng tự động.
• Microsoft Defender for Identity: phân tích hành vi bất thường trong hệ thống AD on-premises.
• Defender XDR: Defender XDR hợp nhất cảnh báo, phân tích và phản ứng mối đe dọa danh tính, tăng tốc điều tra và ngăn chặn tấn công..

Bộ ba giải pháp ITDR trong hệ sinh thái Microsoft

Microsoft triển khai chiến lược ITDR thông qua sự kết hợp chặt chẽ giữa ba sản phẩm chính Microsoft Entra ID, Microsoft Entra ID Protection và Microsoft Defender for Identity

Mỗi công cụ giữ một vai trò riêng biệt, nhưng khi tích hợp sẽ tạo thành một lớp bảo vệ toàn diện cho danh tính người dùng.

Microsoft Entra ID (trước đây là Azure Active Directory)

Vai trò trong ITDR:

• Là trung tâm quản lý danh tính cho người dùng và ứng dụng, cả nội bộ lẫn bên ngoài.
• Cung cấp các phương thức xác thực mạnh (MFA, passwordless).
• Ghi nhận nhật ký đăng nhập (sign-in logs), thiết bị, vai trò và ứng dụng người dùng sử dụng. Đây là nguồn dữ liệu nền tảng cho ITDR.

Một số tính năng nổi bật trong Entra ID:

• Conditional Access giúp áp dụng chính sách truy cập dựa trên các điều kiện khác nhau như rủi ro, vị trí, loại thiết bị…
• Privileged Identity Management giúp quản lý, cấp quyền đặc biệt tạm thời, giảm rủi ro lạm dụng quyền có vai trò cao trong hệ thống
• Entra ID Governance: Tự động quản lý vòng đời quyền truy cập, đảm bảo tuân thủ và giảm quyền dư thừa.
• Permission Management: Giám sát, kiểm soát và tối ưu quyền trên tài nguyên thuộc nhiều nền tảng khác nhau như Azure, AWS, GCP,… để giảm rủi ro bảo mật.
• Role-based access control (RBAC) phân quyền chi tiết danh tính, đảm bảo chỉ được truy cập trong phạm vi cho phép, phù hợp với công việc.

Yêu cầu về giấy phép:

• Entra ID Free (RBAC)
• Microsoft Entra ID P1 (Conditional Access)
• Microsoft Entra ID P2 (Privileged Identity Management, Entra ID Governance)
• Permission Management yêu cầu giấy phép riêng

Microsoft Entra ID Protection

Vai trò trong ITDR:

• Phân tích hàng triệu tín hiệu đăng nhập và hành vi người dùng để xác định rủi ro đăng nhập và rủi ro người dùng (risk-based detection).
• Tự động ngăn chặn truy cập hoặc yêu cầu xác minh bổ sung nếu phát hiện có nguy cơ.

Tính năng chính:

• Risky sign-ins detection: phát hiện đăng nhập từ IP bất thường, từ TOR, từ thiết bị bị lây nhiễm…
• User risk detection: phát hiện người dùng có hành vi đáng ngờ (ví dụ đăng nhập từ nhiều nơi khác nhau trong thời gian ngắn)
• Risk policies: tự động khóa tài khoản, yêu cầu MFA, hay chuyển sang quy trình xác minh thủ công
• Tích hợp trực tiếp với Conditional Access để phản ứng tự động

Yêu cầu giấy phép:

• Microsoft Entra ID P2 (trước đây là Azure AD Premium P2)

Microsoft Defender for Identity (MDI)

Vai trò trong ITDR:

• Phát hiện các cuộc tấn công vào hệ thống Active Directory truyền thống (on-prem AD), ví dụ như:
  • Pass-the-Hash, Pass-the-Ticket
  • Reconnaissance attacks (LDAP enumeration)
  • Lateral movement (di chuyển giữa các máy)

Tính năng nổi bật:

• Phân tích hành vi người dùng và thiết bị (UEBA) thông qua cảm biến (sensor) đặt trên Domain Controller, Active Directory Federation Services (AD FS), Active Directory Certificate services (AD CS)
• Cảnh báo tấn công thời gian thực dựa trên signature & anomaly
• Giao diện dễ hiểu và tích hợp trực tiếp với Microsoft 365 Defender

Ví dụ cảnh báo:

• Một người dùng truy cập dữ liệu AD bất thường
• Một domain admin đăng nhập từ một máy chưa từng dùng
• Di chuyển lateral từ máy bị lây nhiễm đến domain controller

Yêu cầu giấy phép:

• Có sẵn trong:
  • Microsoft 365 E5 (Teams/No Teams)
  • Microsoft 365 E5 Security
  • Microsoft Defender for Identity dạng mua rời (Standalone)

3 bài viết tiếp theo sẽ đi sâu vào từng giải pháp này.

• Cấu hình và triển khai Defender for Identity
• Cấu hình và triển khai Entra ID
• Cấu hình và triển khai Entra ID Protection