De meeste succesvolle cyberaanvallen beginnen niet met een spectaculaire exploit, maar met een gestolen account dat zich ongemerkt door Active Directory beweegt. Microsoft Defender for Identity legt sensoren op uw domeincontrollers en toont precies welke aanvalspaden richting uw meest gevoelige accounts lopen, voordat een aanvaller ze bewandelt.
Negentig procent van de succesvolle cyberaanvallen op organisaties begint niet met een geavanceerde zero-day exploit, maar met een gestolen of geraden wachtwoord. Eenmaal binnen bewegen aanvallers lateraal door het netwerk, verzamelen ze rechten en werken ze systematisch toe naar de meest waardevolle systemen. Active Directory is daarin vrijwel altijd het eindpunt: wie controle heeft over het AD heeft de sleutels tot de volledige Windows-omgeving.
Microsoft Defender for Identity (MDI) is het specifieke product waarmee Microsoft dit aanvalspad aanpakt. Het plaatst een lichtgewicht sensor op uw domeincontrollers die continu het verkeer van Kerberos-, NTLM- en DNS-protocollen analyseert, afwijkend gedrag detecteert en aanvalspaden visualiseert, nog voordat een aanvaller ze kan bewandelen. Dit artikel legt uit hoe MDI werkt, wat het detecteert en hoe u de implementatie aanpakt.
MDI werkt met een lichtgewicht sensor die u installeert op uw domeincontrollers, AD FS-servers en AD CS-servers. De sensor leest lokaal het netwerkverkeer en stuurt versleutelde metadata naar de MDI-cloudservice voor analyse. Er worden geen wachtwoorden of inhoudelijke gegevens doorgestuurd, alleen gedragsdata op basis van authenticatiegebeurtenissen en protocollen. De sensor heeft minimale impact op domeincontroller-prestaties en vereist geen extra proxy-configuratie.
Door dit ontwerp ziet MDI vrijwel alle relevante authenticatiegebeurtenissen: wie probeert in te loggen op welke machine, met welke rechten, via welk protocol en op welk tijdstip. Die constante stroom van events vormt de gedragsbaseline die de cloudservice gebruikt om afwijkingen te herkennen.
MDI herkent een breed scala aan technieken die aanvallers inzetten na een eerste inbreuk. In de verkenningsfase detecteert het queries waarmee aanvallers de AD-structuur in kaart brengen: gebruikers, groepen, machineaccounts en vertrouwensrelaties. Bekende technieken zoals LDAP-reconnaissance en SAMR-enumeration worden opgepikt en gekoppeld aan het bronaccount.
Laterale bewegingstechnieken vormen de kern van wat MDI bewaakt. Pass-the-hash en pass-the-ticket, waarbij aanvallers gestolen authenticatiedata gebruiken om zich voor te doen als een andere gebruiker zonder het wachtwoord te kennen, worden herkend aan kenmerkende patronen in het Kerberos- en NTLM-verkeer. Overpass-the-hash en Kerberoasting, waarbij aanvallers serviceaccount-hashes offline proberen te kraken, zijn eveneens in scope.
De zwaarste aanvallen, zoals golden ticket-aanvallen waarbij een aanvaller volledig valse Kerberos-tickets aanmaakt, skeleton key-malware die een achterdeur in het AD installeert, en DCSync-aanvallen waarbij de aanvaller de volledige AD-database probeert te repliceren, worden ook gedetecteerd. Al deze alerts verschijnen in het Microsoft Defender-portaal met een gestructureerde toelichting: welke techniek, welke accounts, welke mitigatiestap.
Een van de onderscheidende functies van MDI is de aanvalspadanalyse. MDI berekent dagelijks voor uw omgeving welke routes een aanvaller kan bewandelen vanaf een gecompromitteerd laag-geprivilegieerd account richting een gevoelig doelwit, zoals een Domain Admin, een Tier-0-server of een account met toegang tot kritieke bedrijfssystemen.
Een typisch aanvalspad ziet er zo uit: account A heeft lokale beheerdersrechten op server B. Op server B heeft Domain Admin C een actieve sessie. Wie account A compromitteert, kan via server B de inloggegevens van Domain Admin C onderscheppen en zo de volledige omgeving overnemen. Dit pad bestaat in veel organisaties al jaren zonder dat iemand het opmerkt, omdat geen enkele afzonderlijke configuratie als fout wordt gezien.
MDI visualiseert deze paden en rangschikt ze op risico. Dat maakt gerichte mitigatie mogelijk: rechten terugschroeven, sessies scheiden, gevoelige accounts afschermen met Entra PIM of een eigen Privileged Access Workstation. U hoeft niet blind een hardening-checklist af te werken, maar pakt de specifieke zwakke plekken aan die in uw eigen omgeving de grootste impact hebben.
MDI is één van de pijlers van Microsoft Defender XDR, het geïntegreerde beveiligingsplatform dat endpoints (Defender for Endpoint), identiteiten (MDI), e-mail (Defender for Office 365) en cloudapplicaties (Defender for Cloud Apps) combineert tot één enkel onderzoeksinterface. Wanneer een incident signalen van meerdere pijlers combineert, bijvoorbeeld een phishing-e-mail gevolgd door een verdachte Kerberos-authenticatie vanuit datzelfde account, groepeert XDR die signalen tot één incident met een gereconstrueerd aanvalsscenario.
Voor organisaties die ook Microsoft Sentinel gebruiken als SIEM, streamt MDI zijn alerts en ruwe events via een native connector. Dat maakt langere bewaarperioden voor forensisch onderzoek mogelijk en correlatie met databronnen buiten het Microsoft-ecosysteem, zoals netwerklogs, firewalls of een on-premises SIEM die u wilt overzetten.
Microsoft Defender for Identity is verkrijgbaar als standalone licentie en is inbegrepen in Microsoft 365 E5, Microsoft 365 E5 Security en Enterprise Mobility + Security E5. Organisaties die al op een van deze bundels draaien, kunnen MDI activeren zonder extra licentiekosten. Microsoft 365 Business Premium bevat Defender for Business, maar dat product heeft een beperkter identiteitsdetectie-spectrum en plaatst geen sensoren op domeincontrollers.
De investering in MDI is het meest gericht voor organisaties met een on-premises of hybride Active Directory, een domeincontroller die centraal staat in de bedrijfsvoering, en een verhoogde complianceverplichting vanuit NIS2, ISO 27001 of een cyberverzekering. Veel cyberverzekeraars vragen inmiddels bij acceptatie expliciet of identiteitsdetectie op AD-niveau is ingericht.
Een MDI-implementatie verloopt overzichtelijk. Stap één is het aanmaken van een MDI-workspace in het Microsoft Defender-portaal en het activeren van de licentie voor uw tenant. Stap twee is het downloaden en installeren van de MDI-sensor op elke domeincontroller. In de meeste omgevingen duurt dit minder dan een uur per server. De sensor vereist een serviceaccount met beperkte leesrechten op het AD, geen domeinbeheerder. Stap drie is kalibratie: MDI heeft doorgaans twee weken nodig om een gedragsbaseline op te bouwen. In die periode ontvangt u mogelijk fout-positieve meldingen; pas de drempelwaarden aan op basis van uw specifieke omgeving.
Na de eerste twee weken is de combinatie van aanvalspadanalyse en actieve alerts het best te combineren met een gerichte AD-hardeningssessie, waarbij u de gevonden risico's systematisch aanpakt. Wilt u weten of uw omgeving klaar is voor MDI, welke licentieconstructie op u van toepassing is of hoe u de implementatie het efficiëntst aanpakt? Neem contact op met Zarioh voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
