إدارة إمكانية الخداع في Microsoft Defender XDR

ينطبق على:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالمنتجات/الخدمات التي تم إصدارها مسبقا والتي قد يتم تعديلها بشكل كبير قبل الإصدار التجاري. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

يوفر Microsoft Defender XDR، من خلال إمكانية الخداع المضمنة، اكتشافات عالية الثقة للحركة الجانبية التي يديرها الإنسان، ما يمنع الهجمات من الوصول إلى الأصول الهامة للمؤسسة. غالبا ما تستخدم الهجمات المختلفة مثل اختراق البريد الإلكتروني للأعمال (BEC)وبرامج الفدية الضارة والخروقات التنظيمية وهجمات الدولة القومية الحركة الجانبية ويمكن أن يكون من الصعب اكتشافها بثقة عالية في المراحل المبكرة. توفر تقنية الخداع الخاصة ب Defender XDR اكتشافات عالية الثقة استنادا إلى إشارات الخداع المرتبطة بإشارات Microsoft Defender لنقطة النهاية.

تنشئ إمكانية الخداع تلقائيا حسابات فك التشفير ذات المظهر الأصلي والمضيفين والإغراءات. ثم يتم توزيع الأصول المزيفة التي تم إنشاؤها تلقائيا لعملاء محددين. عندما يتفاعل المهاجم مع أدوات التشويه أو الإغراء، ترفع إمكانية الخداع تنبيهات عالية الثقة، مما يساعد في تحقيقات فريق الأمان ويسمح له بمراقبة أساليب المهاجم واستراتيجياته. ترتبط جميع التنبيهات التي ترفعها إمكانية الخداع تلقائيا بالحوادث ويتم دمجها بالكامل في Microsoft Defender XDR. بالإضافة إلى ذلك، يتم دمج تقنية الخداع في Defender لنقطة النهاية، ما يقلل من احتياجات النشر.

للحصول على نظرة عامة على إمكانية الخداع، شاهد الفيديو التالي.

المتطلبات الأساسية

يسرد الجدول التالي متطلبات تمكين إمكانية الخداع في Microsoft Defender XDR.

احتياج التفاصيل
متطلبات الاشتراك أحد هذه الاشتراكات:
- Microsoft 365 E5
- Microsoft Security E5
- خطة Microsoft Defender لنقطة النهاية 2
متطلبات التوزيع المتطلبات:
- Defender لنقطة النهاية هو حل -
EDR الأساسي يتم تكوين
إمكانات التحقيق والاستجابة التلقائية في Defender لنقطة النهاية - يتم ربط الأجهزة أو الانضمام المختلط في Microsoft Entra
- يتم تمكين PowerShell على الأجهزة
- تغطي ميزة الخداع العملاء الذين يعملون على Windows 10 RS5 والإصدارات الأحدث في المعاينة
الأذونات يجب أن يكون لديك أحد الأدوار التالية المعينة في مركز إدارة Microsoft Entra أو في مركز إدارة Microsoft 365 لتكوين قدرات الخداع:
- المسؤول
العام - مسؤول
الأمان - إدارة إعدادات نظام المدخل

ملاحظة

توصي Microsoft باستخدام الأدوار ذات الأذونات الأقل للحصول على أمان أفضل. يجب استخدام دور المسؤول العام، الذي لديه العديد من الأذونات، فقط في حالات الطوارئ عندما لا يكون هناك دور آخر مناسب.

ما هي تقنية الخداع؟

تقنية الخداع هي إجراء أمني يوفر تنبيهات فورية لهجوم محتمل لفرق الأمان، ما يسمح لها بالاستجابة في الوقت الحقيقي. تنشئ تقنية الخداع أصولا مزيفة مثل الأجهزة والمستخدمين والمضيفين الذين يبدو أنهم ينتمون إلى شبكتك.

يمكن للمهاجمين الذين يتفاعلون مع أصول الشبكة المزيفة التي تم إعدادها بواسطة إمكانية الخداع مساعدة فرق الأمان على منع الهجمات المحتملة من المساس بالمؤسسة ومراقبة إجراءات المهاجمين حتى يتمكن المدافعون من تحسين أمان بيئتهم بشكل أكبر.

كيف تعمل إمكانية خداع Microsoft Defender XDR؟

تستخدم إمكانية الخداع المضمنة في مدخل Microsoft Defender قواعد لإجراء عمليات تزييف وإغراء تطابق بيئتك. تطبق الميزة التعلم الآلي لاقتراح زخرفات وإغراءات مصممة خصيصا لشبكتك. يمكنك أيضا استخدام ميزة الخداع لإنشاء زخرفة وإغراء يدويا. ثم يتم توزيع هذه الأدوات والاغراءات تلقائيا على شبكتك وزرعها على الأجهزة التي تحددها باستخدام PowerShell.

لقطة شاشة لهجوم بالحركة الجانبية وحيث يعترض الخداع الهجوم

الشكل 1. تقنية الخداع، من خلال اكتشافات الثقة العالية للحركة الجانبية التي يديرها الإنسان، تنبه فرق الأمان عندما يتفاعل المهاجم مع مضيفين مزيفين أو يغريهم

إن أدوات فك التشفير هي أجهزة وحسابات مزيفة يبدو أنها تنتمي إلى شبكتك. Lures هي محتوى مزيف تم زرعه على أجهزة أو حسابات محددة وتستخدم لجذب المهاجم. يمكن أن يكون المحتوى مستندا أو ملف تكوين أو بيانات اعتماد مخزنة مؤقتا أو أي محتوى يمكن للمهاجم قراءته أو سرقته أو التفاعل معه على الأرجح. يحاكي Lures معلومات الشركة المهمة أو الإعدادات أو بيانات الاعتماد.

هناك نوعان من الإغراءات المتوفرة في ميزة الخداع:

  • الإغراء الأساسي - المستندات المزروعة وملفات الارتباط وما شابه ذلك ليس لها تفاعل أو الحد الأدنى من التفاعل مع بيئة العميل.
  • استدراج متقدم - محتوى مزروع مثل بيانات الاعتماد المخزنة مؤقتا والاعتراضات التي تستجيب أو تتفاعل مع بيئة العميل. على سبيل المثال، قد يتفاعل المهاجمون مع بيانات اعتماد فك التشفير التي تم إدخالها استجابات لاستعلامات Active Directory، والتي يمكن استخدامها لتسجيل الدخول.

ملاحظة

يتم زرع Lures فقط على عملاء Windows المحددين في نطاق قاعدة الخداع. ومع ذلك، فإن محاولات استخدام أي مضيف أو حساب فك التشفير على أي عميل تم إلحاقه ب Defender لنقطة النهاية يثير تنبيها بالخداع. تعرف على كيفية إلحاق العملاء في إلحاق Microsoft Defender لنقطة النهاية. من المقرر غرس الغرغرة على Windows Server 2016 والإصدارات الأحدث للتطوير المستقبلي.

يمكنك تحديد زخرفة، وإغراءات، والنطاق في قاعدة الخداع. راجع تكوين ميزة الخداع لمعرفة المزيد حول كيفية إنشاء قواعد الخداع وتعديلها.

عندما يستخدم المهاجم أداة فك التشفير أو الإغراء على أي عميل تم إلحاقه ب Defender لنقطة النهاية، تقوم إمكانية الخداع بتشغيل تنبيه يشير إلى نشاط مهاجم محتمل، بغض النظر عما إذا كان قد تم نشر الخداع على العميل أم لا.

تحديد الحوادث والتنبيهات التي تم تنشيطها بواسطة الخداع

تحتوي التنبيهات المستندة إلى الكشف عن الخداع على مخادعة في العنوان. بعض الأمثلة على عناوين التنبيه هي:

  • محاولة تسجيل الدخول باستخدام حساب مستخدم مخادع
  • محاولة الاتصال بمضيف مخادع

تحتوي تفاصيل التنبيه على:

  • علامة الخداع
  • جهاز فك التشفير أو حساب المستخدم حيث نشأ التنبيه
  • نوع الهجوم مثل محاولات تسجيل الدخول أو محاولات الحركة الجانبية

لقطة شاشة لتنبيه الخداع يسلط الضوء على العلامة والمحاولة

الشكل 2. تفاصيل تنبيه متعلق بالخداع

الخطوة التالية

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.