Trong bối cảnh doanh nghiệp ưu tiên kỹ thuật số, định danh đã trở thành vành đai bảo mật mới. Các chiến lược làm việc hybrid và ưu tiên đám mây (cloud-first) đã xóa bỏ ranh giới mạng truyền thống và làm tăng đáng kể độ phức tạp của hệ thống định danh. Điều này đặt ra thách thức lớn cho các đội ngũ bảo mật trong việc quản lý người dùng, hạ tầng và công cụ phân tán trên các môi trường hybrid và thậm chí là đa nhà cung cấp.
Sự phát triển này đòi hỏi một sự thay đổi cơ bản trong cách tiếp cận Identity Threat Detection and Response (ITDR) – Phát hiện và Phản hồi các Mối đe dọa Định danh. Vấn đề không còn chỉ là bảo vệ người dùng, mà là bảo vệ nhất quán và toàn diện cho mọi thành phần của hệ thống định danh, dù là con người hay máy, tại chỗ (on-premises) hay trên cloud, từ Microsoft hay nhà cung cấp khác.
ITDR cho doanh nghiệp hiện đại
Các phương pháp bảo mật định danh thành công đều hiểu rằng những kẽ hở trong hệ thống phòng thủ chính là kẻ thù thực sự. Một cách tiếp cận hợp nhất giữa các đội ngũ quản lý định danh và bảo mật là điều cần thiết. Với vị thế là nhà cung cấp hàng đầu cả về định danh và bảo mật, Microsoft có thể tinh giản luồng thông tin, hành động và quy trình công việc giữa các nhóm này, giảm thiểu các lỗ hổng tiềm ẩn.
Đối với các chuyên gia tại trung tâm điều hành an ninh (SOC), nhiệm vụ cốt lõi vẫn là ngăn chặn, phát hiện và ứng phó với các mối đe dọa an ninh mạng. Trong đó, ITDR là một phần quan trọng nhưng tập trung. Các cảnh báo về định danh cung cấp thông tin vô giá, nhưng chúng phải được đặt trong bối cảnh tổng thể của một cuộc tấn công mạng. Tương tự, các hành động phản ứng như thu hồi phiên làm việc hay thực thi xác thực đa yếu tố (MFA) phải được phối hợp với các hành động khác trên endpoint và các miền khác để chặn đứng sự lây lan trong hệ thống.
Phòng thủ thực sự đòi hỏi phải làm giàu tín hiệu định danh và cung cấp chúng trong bối cảnh của một bức tranh mối đe dọa hợp nhất, cho phép phản ứng phối hợp và liên tục cải thiện trạng thái bảo mật. Bài viết này khám phá cách Microsoft đang định hình lại an ninh định danh để giải quyết những thách thức này.
Xây dựng nền tảng bảo mật định danh: Tầm nhìn và tương quan sâu sắc
An ninh định danh bắt đầu bằng việc đảm bảo môi trường của bạn được bảo vệ một cách nền tảng. Tầm nhìn xuyên suốt hệ thống định danh, hạ tầng và ứng dụng cho phép các đội ngũ SOC phát hiện mối đe dọa sớm hơn, phản ứng nhanh hơn và giảm thiểu rủi ro. Để giải quyết thách thức này, các tổ chức cần có các cảm biến (sensor) cho hạ tầng on-premises và tích hợp với các giải pháp định danh trên cloud.
Hiểu được điều này, Microsoft cung cấp một trong những bộ cảm biến chuyên dụng rộng nhất cho hạ tầng định danh on-premises, bao gồm Domain Controllers, Active Directory Federation Services (AD FS), Active Directory Certificate Services (AD CS), và Microsoft Entra ID Connect. Các cảm biến này được xây dựng chuyên biệt để giám sát và phát hiện các bất thường trong hoạt động hoặc cấu hình của từng dịch vụ.
Đặc biệt, vào ngày 23/10/2025, Microsoft đã công bố phát hành chính thức (GA) cảm biến hợp nhất cho định danh và endpoint, vốn được giới thiệu lần đầu tại sự kiện Microsoft Ignite năm 2024. Cột mốc quan trọng này giúp khách hàng mới của Microsoft Defender for Identity dễ dàng hơn trong việc kích hoạt các lớp bảo vệ định danh trên các domain controller đủ điều kiện, và bắt đầu hưởng lợi từ tầm nhìn chuyên sâu, các đề xuất về trạng thái bảo mật, cảnh báo và khả năng tự động ngăn chặn tấn công ngay trong trải nghiệm Defender.
Khả năng bảo vệ của Microsoft không chỉ dừng lại ở môi trường on-premises. Tích hợp gốc của Defender với Microsoft Entra ID cung cấp cho SOC tầm nhìn thời gian thực về hoạt động và mức độ rủi ro của danh tính trên Entra. Vì hệ thống định danh hiếm khi đồng nhất, Microsoft cũng hỗ trợ các nhà cung cấp định danh đám mây khác như Okta, mang lại tầm nhìn hợp nhất và khả năng ITDR trên nhiều nền tảng.
Microsoft cũng đang chuyển đổi mô hình từ tập trung vào tài khoản (account-centric) sang tập trung vào định danh (identity-centric). Điều này có nghĩa là tương quan thông tin giữa các tài khoản, nền tảng và môi trường để tiết lộ dấu vết thực sự của một định danh, giúp SOC điều tra và phản ứng chính xác hơn.
Bối cảnh là tất cả: Phản ứng thông minh hơn
Microsoft Defender mang lại tầm nhìn sâu sắc và phong phú về hệ thống định danh của doanh nghiệp. Sức mạnh thực sự nằm ở cách thông tin này được vận hành trong trải nghiệm của SOC. Defender và Microsoft Entra phối hợp tạo ra các cảnh báo định danh, sau đó được tương quan thành các sự cố bảo mật lớn hơn trong Microsoft Defender XDR, cung cấp cho các nhà phân tích một cái nhìn hợp nhất về hoạt động của mối đe dọa trên các endpoint, định danh và tài nguyên cloud.
Khi một mối đe dọa được xác nhận, tính năng tự động ngăn chặn tấn công có thể tự động cô lập không chỉ người dùng bị xâm phạm mà còn cả các thiết bị và phiên làm việc liên quan đến cuộc tấn công. Việc đặt thông tin trong bối cảnh phù hợp sẽ biến những hiểu biết sâu sắc thành hành động quyết đoán, giúp doanh nghiệp không chỉ nhìn thấy nhiều hơn mà còn phản ứng thông minh và nhanh hơn.
Bắt đầu
Các khách hàng mới của Defender for Identity quan tâm đến việc kích hoạt cảm biến hợp nhất có thể tìm hiểu thêm, bao gồm cả cách triển khai, trong tài liệu của Microsoft. Các khách hàng hiện tại đã triển khai cảm biến Defender for Identity chưa cần thực hiện hành động nào vào lúc này; hướng dẫn chuyển đổi sẽ được cung cấp trong những tháng tới.
Để tìm hiểu thêm về các giải pháp bảo mật của Microsoft, hãy truy cập website của hãng.
