Indeed Identity
Threat Detection and Response

MFA нового поколения на страже
инфраструктуры айдентити

Единственная российская
платформа класса ITDR
Защита от Kerberoasting, Golden Ticket, Brute-force и других направленных атак на учетные данные
Инновационное решение
с технологией безагентского MFA

Традиционной системы MFA недостаточно для полноценной защиты учетных данных

Решения многофакторной аутентификации, использующие приложения-агенты на рабочих станциях, не позволяют защитить учетную запись, если используется некорпоративное устройство или злоумышленник деактивирует агент
Классические решения многофакторной аутентификации интегрируются только с определенным кругом продуктов. Этого недостаточно для защиты привилегированных учетных записей, имеющих доступ к широкому кругу административных систем
Для защиты широкого круга приложений требуется несколько параллельных реализаций многофакторной аутентификации. В такой инфраструктуре сложно реализовать консистентные политики безопасности

MFA так, как еще не было

Защита доступа к рабочим станциям на Windows и Linux, введенным в домен
Ограничение административного доступа к рабочим станциям и серверам
Защита общих папок
Защита VPN при использовании NPS или FreeRADIUS в качестве провайдера аутентификации
Защита приложений, использующих аутентификацию через Kerberos, например 1C или DirectumRX
Реализация MFA для ADFS без дополнительной федерации

Indeed ITDR воплощает принцип «одного окна» для реализации MFA и других мер защиты доменов и систем аутентификации

Автоматизация SOC

01.
Унифицированный аудитITDR может дополнить или заменить традиционные коллекторы SIEM, представляя запросы доступа в унифицированном виде и обогащая их данными из систем айдентити
02.
Управление легасиС использованием ITDR можно гранулярно ограничить использование устаревших протоколов и конфигураций, разрешив их для отдельных учетных записей и IP-адресов
03.
Минимизация разрешенийITDR позволяет ограничить использование чувствительных учетных записей, разрешая доступ только для определенных ресурсов и только с определенных IP-адресов
04.
Обнаружение угрозITDR обнаруживает попытки перебора учетных данных, нестандартное использование протоколов и устаревшие алгоритмы шифрования в реальном времени

Как работает Indeed ITDR

Пользователь

Пользователь
обращается
к нужному приложению

Сервер
приложений

Сервер приложения делегирует
аутентификацию
пользователя
контроллеру домена

Пользователь получает
доступ к приложению

Контроллер
домена

Сервер аутентификации перенаправляет запрос в ITDR

ITDR возвращает запрос в сервер аутентификации, если запрос не заблокирован

Сенсор ITDR

ITDR обрабатывает
запрос:

Помещает его в лог запросов доступа
Применяет политики
Запрашивает при необходимости дополнительный фактор аутентификации

Связаться с нами

Оставьте свои контактные данные, и наши эксперты расскажут, как предотвратить угрозы для кибербезопасности с помощью специализированных решений команды Индид

Если нужны детали

Документация

Руководство пользователя, установка и эксплуатация Indeed ITDR

Обновления Indeed ITDR

Версия 2.1
Поддержка геораспределенных инфраструктур
Обработка трафика LDAPS
Интеграция с Indeed Access Manager
Подробнее
Версия 2.0
Перехват и анализ сетевого трафика
Аудит запросов доступа
Контроль доступа в реальном времени
Обнаружение угроз и реагирование на них
Поддержка множественных домен-контроллеров в различных доменах и лесах
Отказоустойчивость
Подробнее

Часто задаваемые вопросы

Общие вопросы

Для кого разработано решение ITDR?

ITDR (Identity Threat Detection and Response) — это новое поколение продуктов для защиты айдентити. Под айдентити мы понимаем компоненты ИТ-инфраструктуры, которые реализуют аутентификацию, авторизацию, контроль доступа и управление учетными данными.

Продукты класса ITDR объединяют внутри себя различные способы защиты: MFA, минимизацию разрешений, аудит небезопасных конфигураций домена, обнаружение атак на учетные данные. Кроме этого, ITDR интегрирует эти технологии защиты с процессами ИБ и предоставляет отделу ИБ данные об используемых учетных записях, сервисах, протоколах и обнаруженных аномалиях.

ITDR внедряют в инфраструктуру с целью:

• реализовать MFA;
• защитить данные от утечек в корпоративной сети;
• повысить общий уровень безопасности системы;
• улучшить взаимодействие отделов ИТ и ИБ.

Indeed ITDR реализует MFA на основе перехвата трафика, поступающего на контроллеры домена. Подход Identity Security позволяет внедрять MFA для сложных сценариев:

• вход в домен с некорпоративных устройств;
• доступ к общим папкам;
• доменная аутентификация в традиционных десктоп-приложениях.

Что такое «MFA на основе перехвата трафика»? Чем такой подход отличается от традиционных решений MFA?

Традиционные решения MFA — агентские. В такой реализации обнаружение и блокирование запроса доступа происходит на рабочей станции или на сервере приложений. Если агент не установлен на сервере или удален, доступ будет предоставлен без подтверждения MFA. Внедрение агентского MFA требует дополнительных действий со стороны инфраструктурной команды для каждого устройства или приложения, и поэтому сохраняет риски несанкционированного доступа.

Indeed ITDR перехватывает трафик, поступающий на контроллеры домена со стороны пользователей и приложений, и приостанавливает процесс аутентификации до подтверждения дополнительного фактора. Таким образом, при помощи ITDR можно реализовать MFA для любых сценариев с использованием доменной аутентификации, без необходимости установки дополнительного ПО на рабочие станции пользователей или серверы приложений.

Взаимодействие между контроллерами домена Active Directory и другими серверами всегда происходит по одному из трех протоколов: Kerberos, LDAP и NTLM (MS-NRPC). В результате защита всех сценариев, где аутентификация происходит с использованием доменной учетной записи, сводится к обработке трафика, связанного с этими тремя протоколами.

Как лицензируется ITDR?

Стоимость лицензии Indeed ITDR зависит от двух факторов:

• общего количества пользователей в компании (числа учетных записей в каталоге);
• количества пользователей, использующих MFA (числа настроенных MFA-аутентификаторов).

Способ подсчета числа учетных записей в каталоге определяется индивидуально. Учитываются особенности жизненного цикла учетных записей в конкретной организации.

Можно ли установить ITDR в импортозамещенной среде?

Indeed ITDR устанавливается на отдельные виртуальные машины в виде контейнеров Docker. В текущей версии в качестве хостовой операционной системы можно использовать в том числе отечественные ОС. Тестирование таких конфигураций запланировано на 2027 год — пока возможны ограничения, которые потребуют дополнительных действий со стороны администратора.

Для хранения данных применяются СУБД PostgreSQL и Redis, которые также могут быть развернуты на импортозамещенных платформах.

При этом базовые образы контейнеров фиксированы на стороне решения и не изменяются пользователем — используются Alpine и Debian 12. Их замена является обязательным требованием для получения сертификата ФСТЭК, но требует существенной доработки продукта.

Работы по портированию продукта на сертифицированные базовые образы и использование сертифицированных СУБД планируются на 2027 год.

Есть ли сертификат соответствия ФСТЭК?

Пока нет. Для получения сертификата соответствия ФСТЭК нам нужно портировать продукт на сертифицированные базовые образы контейнеров, выполнить адаптацию и тестирование для работы с сертифицированными ОС и СУБД. Эти работы запланированы на 2027 год.

Развертывание ITDR в инфраструктуре

С какими доменами можно интегрировать ITDR?

Indeed ITDR совместим с доменами Active Directory с функциональным уровнем Windows Server 2012R2 и выше. Он может работать в инфраструктурах с несколькими доменами и несколькими лесами доменов.

Продукт основан на перехвате трафика, поэтому может интегрироваться с доменами на Linux: FreeIPA, ALD Pro, Samba, РЕД АДМ. Тестирование показало, что несмотря на принципиальную совместимость, некоторые функции продукта требуют доработки для корректной работы.

Доработки, необходимые для полноценной поддержки доменов на Linux, запланированы на вторую половину 2026 года.

Сколько виртуальных машин требуется для разворачивания ITDR? Какие требования к ним предъявляются?

Для работы продукта требуются:

• один узел управления — Debian 12, 4 ядра, 8 Гб RAM;
• по одному узлу обнаружения на каждый контроллер домена — Debian 12, 2 ядра, 4 Гб RAM;
• опционально — резервные узлы обнаружения.

Узлы обнаружения разворачиваются в тех же сегментах сети, что и контроллеры домена. Оптимально — на том же физическом хосте.

Требуется ли установка агента на контроллеры домена?

Indeed ITDR не требует установки бинарных компонентов: драйверов, фильтров или сервисов. Необходимо лишь донастроить контроллеры домена с помощью PowerShell-скрипта.

Для работы скрипта нужно добавить роль сервера Routing and Remote Access. Если роль отсутствует, скрипт установит ее автоматически. Рекомендуемый способ выполнения скрипта — через задачу по расписанию (Scheduled Task), распространяемую через групповую политику (GPO).

Трафик на каких портах будет перенаправлен с контроллера на узел обнаружения?

Indeed ITDR 2.0 обрабатывает трафик, поступающий на контроллеры домена на следующие порты:

• TCP/88 — Kerberos;
• UDP/88 — Kerberos;
• TCP/389 — LDAP;
• TCP/636 — LDAPS.

В следующих релизах список портов будет расширен:

• TCP/3268 — Global Catalog;
• TCP/3269 — Global Catalog (TLS).

Какой IP будет отображаться в логах контроллеров домена?

Прокси-сервера в составе продукта Indeed ITDR используют прозрачный режим (Transparent mode). Это означает, что трафик возвращается на контроллер домена с сохранением исходного адреса и порта отправителя при проксировании. В логах контроллеров домена при этом отображается тот же адрес отправителя, что и без использования ITDR.

Поддерживается ли LDAPS?

Функциональность продукта

Какие методы дополнительной аутентификации реализованы в продукте?

Indeed ITDR интегрирован с системой Indeed Key. Эта система состоит из On-premise сервера для отправки пуш-уведомлений и мобильных приложений для Android и iOS.

Начиная с версии 2.1, доступно использование Indeed Access Manager в качестве платформы MFA — это позволяет расширить уже внедренный в инфраструктуру продукт, а также использовать пуш-уведомления в Telegram.

Сейчас поддерживаются только пуш-уведомления. В следующих релизах планируется реализация OTP при помощи легковесного агента, запрашивающего код на рабочей станции — позволит использовать все варианты одноразовых паролей, доступные в Indeed Access Manager: TOTP, SMS OTP, Email OTP.

Технологических ограничений для использования USB-токенов и RFID-карт нет. Поддержка конкретных типов токенов в агенте будет добавлена по запросу.

Реализована ли защита от MFA Bombing?

В Indeed ITDR используется механизм кэширования подтверждений MFA (Graceful authentication), который позволяет избежать множественных повторяющихся запросов на подтверждение дополнительного фактора. В качестве критерия для кэширования в этой версии используется только учетная запись, с которой запрашивали доступ.

Поддерживается ли IPv6?

Поддерживается ли протокол RADIUS?

Indeed ITDR не перехватывает и не обрабатывает напрямую трафик, связанный с протоколом RADIUS. Тем не менее, во многих сценариях с использованием RADIUS возможна реализация MFA. Чаще всего, RADIUS-серверы не выполняют аутентификацию самостоятельно, а делегируют ее контроллеру домена при помощи другого протокола (Kerberos, LDAP или NTLM). При обработке трафика, связанного с делегированным запросом, ITDR может обнаружить такой запрос доступа и потребовать дополнительный фактор.

Поддерживается ли Kerberos Delegation и Kerberos FAST Extensions?

Indeed ITDR разбирает незашифрованную часть запросов Kerberos, которая не отличается для запросов с делегированием или FAST. Все запросы доступа будут отображаться в консоли, и для них будут применяться политики доступа и противодействия угрозам.

Поддержка дополнительных признаков, связанных с делегированием и FAST, для более детального контроля доступа запланирована на 2026 год.

Каким образом реализована интеграция с системами SIEM или SOAR?

В Indeed ITDR реализована шина данных, позволяющая передавать запросы доступа, факты применения правил политики и обнаруженные угрозы. В версии 2.1 возможно просмотреть перечисленные события в консоли. В течение 2026 года планируется добавить Syslog-коннектор — появится возможность направлять данные об этих событиях во внешние SIEM-системы.

Интеграция с SIEM и SOAR уже заложена в архитектуре Indeed ITDR и реализована через шину данных, позволяющую передавать запросы доступа, факты применения правил политики и обнаруженные угрозы. Сейчас эти события доступны для просмотра в консоли. Это временная реализация, которая используется как демонстрационный вариант. Впереди — финальный этап работ. В течение 2026 года мы добавим Syslog-коннектор. Появится возможность направлять данные об этих событиях во внешние SIEM-системы.

Технические характеристики

Операционные системы

Протоколы

Службы доменов

Факторы аутентификации

Детектирование атак

Обучаем, участвуем в мероприятиях

Смотреть все новости

Indeed ITDR

Indeed ITDR 2.1: больше контроля над доступом без усложнения инфраструктуры

Компания «Индид» представила Indeed ITDR 2.1 (Indeed Identity Threat Detection and Response — продукт для своевременного выявления и реагирования на угрозы, связанные с компрометацией айдентити.Версия Indeed ITDR 2.1…

13.05.2026

Indeed ITDR

Индид представила первую публичную версию Indeed ITDR

Компания «Индид», российский разработчик решений в области защиты айдентити, объявила о выпуске Indeed Identity Threat Detection and Response (ITDR) 2.0 — продукта для своевременного выявления и реагирования на…

17.11.2025

Indeed ITDR

Защита identity — ключ к безопасности

Злоумышленники все чаще и чаще выбирают в качестве мишени инфраструктуру IAM (Identity and Access Management). Об этом говорится в последнем отчете Gartner® Hype Cycle™ Security Operations 2024.Киберпреступники могут…

28.08.2024

Indeed ITDR

Как развивается кибербезопасность: от EDR/XDR к ITDR

Руководитель продуктового офиса (CPO) Компании Индид Андрей Лаптев рассказал об особенностях класса решений ITDR и как устранить значительные пробелы в обеспечении безопасности учетных данных.Статья опубликована на портале https://infoforum.online/.…

12.02.2024

Indeed ITDR

Ежегодная аналитическая конференция «КОД ИБ ИТОГИ 2023»

Компания Индид выступила партнером ежегодной аналитической конференции «КОД ИБ | ИТОГИ 2023». Мероприятие состоялось 7 декабря в Москве при поддержке Минцифры РФ.Компанию на мероприятии представили:Андрей Лаптев, руководитель направления…

08.12.2023

Indeed ITDR

Почему многофакторной аутентификации уже недостаточно

Текущие принципы построения системы многофакторной аутентификации не отвечают современным вызовам и далеко не всегда закрывают имеющиеся потребности обеспечения безопасности доступа. На разработку и модернизацию систем аутентификации тратятся колоссальные силы…

21.11.2023

Indeed ITDR

Компания Индид на «AM Camp: Развитие российской платформы кибербезопасности»

9 ноября Компания Индид приняла участие в конференции «AM Camp: Развитие российской платформы кибербезопасности», организатором которой ежегодно выступает Anti-Malware.Компанию Индид на мероприятии представили директор по развитию бизнеса Ольга…

10.11.2023

Indeed ITDR

Что такое ITDR

В этой статье мы расскажем о новом эффективном инструменте противодействия киберзлоумышленникам, который позволяет выявить уязвимые учетные данные и атаки на них в режиме реального времени. Как показывают многие…

16.10.2023

Смотреть все новости

Indeed Identity Threat Detection and Response

Традиционной системы MFA недостаточно для полноценной защиты учетных данных

MFA так, как еще не было

Indeed ITDR воплощает принцип «одного окна» для реализации MFA и других мер защиты доменов и систем аутентификации

Автоматизация SOC

Как работает Indeed ITDR

Связаться с нами

Если нужны детали

Получить техописание

Документация

Скачать презентацию

Обновления Indeed ITDR

Версия 2.1

Версия 2.0

Часто задаваемые вопросы

Общие вопросы

Для кого разработано решение ITDR?

Что такое «MFA на основе перехвата трафика»? Чем такой подход отличается от традиционных решений MFA?

Как лицензируется ITDR?

Можно ли установить ITDR в импортозамещенной среде?

Есть ли сертификат соответствия ФСТЭК?

Развертывание ITDR в инфраструктуре

С какими доменами можно интегрировать ITDR?

Сколько виртуальных машин требуется для разворачивания ITDR? Какие требования к ним предъявляются?

Требуется ли установка агента на контроллеры домена?

Трафик на каких портах будет перенаправлен с контроллера на узел обнаружения?

Какой IP будет отображаться в логах контроллеров домена?

Поддерживается ли LDAPS?

Функциональность продукта

Какие методы дополнительной аутентификации реализованы в продукте?

Реализована ли защита от MFA Bombing?

Поддерживается ли IPv6?

Поддерживается ли протокол RADIUS?

Поддерживается ли Kerberos Delegation и Kerberos FAST Extensions?

Каким образом реализована интеграция с системами SIEM или SOAR?

Технические характеристики

Операционные системы

Протоколы

Службы доменов

Факторы аутентификации

Детектирование атак

Обучаем, участвуем в мероприятиях

Indeed Identity
Threat Detection and Response