إدارة إمكانية الخداع في Microsoft Defender XDR
ينطبق على:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بالمنتجات/الخدمات التي تم إصدارها مسبقا والتي قد يتم تعديلها بشكل كبير قبل الإصدار التجاري. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
Microsoft Defender XDR، من خلال إمكانية الخداع المضمنة، توفر اكتشافات عالية الثقة للحركة الجانبية التي يديرها الإنسان، مما يمنع الهجمات من الوصول إلى الأصول الحرجة للمؤسسة. غالبا ما تستخدم الهجمات المختلفة مثل اختراق البريد الإلكتروني للأعمال (BEC)وبرامج الفدية الضارة والخروقات التنظيمية وهجمات الدولة القومية الحركة الجانبية ويمكن أن يكون من الصعب اكتشافها بثقة عالية في المراحل المبكرة. توفر تقنية الخداع Defender XDR اكتشافات عالية الثقة استنادا إلى إشارات الخداع المرتبطة بإشارات Microsoft Defender لنقطة النهاية.
تنشئ إمكانية الخداع تلقائيا حسابات فك التشفير ذات المظهر الأصلي والمضيفين والإغراءات. ثم يتم توزيع الأصول المزيفة التي تم إنشاؤها تلقائيا لعملاء محددين. عندما يتفاعل المهاجم مع أدوات التشويه أو الإغراء، ترفع إمكانية الخداع تنبيهات عالية الثقة، مما يساعد في تحقيقات فريق الأمان ويسمح له بمراقبة أساليب المهاجم واستراتيجياته. ترتبط جميع التنبيهات التي ترفعها إمكانية الخداع تلقائيا بالحوادث ويتم دمجها بالكامل في Microsoft Defender XDR. بالإضافة إلى ذلك، يتم دمج تقنية الخداع في Defender لنقطة النهاية، ما يقلل من احتياجات النشر.
للحصول على نظرة عامة على إمكانية الخداع، شاهد الفيديو التالي.
المتطلبات الأساسية
يسرد الجدول التالي متطلبات تمكين إمكانية الخداع في Microsoft Defender XDR.
| شرط | التفاصيل |
|---|---|
| متطلبات الاشتراك | أحد هذه الاشتراكات: - Microsoft 365 E5 - Microsoft Security E5 - Microsoft Defender لنقطة النهاية الخطة 2 |
| متطلبات التوزيع | المتطلبات: - Defender لنقطة النهاية هو حل - EDR الأساسي يتم تكوينإمكانات التحقيق والاستجابة التلقائية في Defender لنقطة النهاية - يتم ضم الأجهزة أو انضمامها إلى الأجهزة في Microsoft Entra - يتم تمكين PowerShell على الأجهزة - تغطي ميزة الخداع العملاء الذين يعملون على Windows 10 RS5 والإصدارات الأحدث في المعاينة |
| الأذونات | يجب أن يكون لديك أحد الأدوار التالية المعينة في مركز مسؤولي Microsoft Entra أو في مركز مسؤولي Microsoft 365 لتكوين قدرات الخداع: - مسؤول عمومي - مسؤول الأمان - إدارة إعدادات نظام المدخل |
ما هي تقنية الخداع؟
تقنية الخداع هي إجراء أمني يوفر تنبيهات فورية لهجوم محتمل لفرق الأمان، ما يسمح لها بالاستجابة في الوقت الحقيقي. تنشئ تقنية الخداع أصولا مزيفة مثل الأجهزة والمستخدمين والمضيفين الذين يبدو أنهم ينتمون إلى شبكتك.
يمكن للمهاجمين الذين يتفاعلون مع أصول الشبكة المزيفة التي تم إعدادها بواسطة إمكانية الخداع مساعدة فرق الأمان على منع الهجمات المحتملة من المساس بالمؤسسة ومراقبة إجراءات المهاجمين حتى يتمكن المدافعون من تحسين أمان بيئتهم بشكل أكبر.
كيف تعمل إمكانية الخداع Microsoft Defender XDR؟
تستخدم إمكانية الخداع المضمنة في مدخل Microsoft Defender قواعد لإجراء عمليات تزييف وإغراء تطابق بيئتك. تطبق الميزة التعلم الآلي لاقتراح زخرفات وإغراءات مصممة خصيصا لشبكتك. يمكنك أيضا استخدام ميزة الخداع لإنشاء زخرفة وإغراء يدويا. ثم يتم توزيع هذه الأدوات والاغراءات تلقائيا على شبكتك وزرعها على الأجهزة التي تحددها باستخدام PowerShell.
الشكل 1. تقنية الخداع، من خلال اكتشافات الثقة العالية للحركة الجانبية التي يديرها الإنسان، تنبه فرق الأمان عندما يتفاعل المهاجم مع مضيفين مزيفين أو يغريهم
إن أدوات فك التشفير هي أجهزة وحسابات مزيفة يبدو أنها تنتمي إلى شبكتك. Lures هي محتوى مزيف تم زرعه على أجهزة أو حسابات محددة وتستخدم لجذب المهاجم. يمكن أن يكون المحتوى مستندا أو ملف تكوين أو بيانات اعتماد مخزنة مؤقتا أو أي محتوى يمكن للمهاجم قراءته أو سرقته أو التفاعل معه على الأرجح. يحاكي Lures معلومات الشركة المهمة أو الإعدادات أو بيانات الاعتماد.
هناك نوعان من الإغراءات المتوفرة في ميزة الخداع:
- الإغراء الأساسي - المستندات المزروعة وملفات الارتباط وما شابه ذلك ليس لها تفاعل أو الحد الأدنى من التفاعل مع بيئة العميل.
- استدراج متقدم - محتوى مزروع مثل بيانات الاعتماد المخزنة مؤقتا والاعتراضات التي تستجيب أو تتفاعل مع بيئة العميل. على سبيل المثال، قد يتفاعل المهاجمون مع بيانات اعتماد فك التشفير التي تم إدخالها استجابات لاستعلامات Active Directory، والتي يمكن استخدامها لتسجيل الدخول.
ملاحظة
يتم زرع Lures فقط على عملاء Windows المحددين في نطاق قاعدة الخداع. ومع ذلك، فإن محاولات استخدام أي مضيف أو حساب فك التشفير على أي عميل تم إلحاقه ب Defender لنقطة النهاية يثير تنبيها بالخداع. تعرف على كيفية إلحاق العملاء في إلحاق Microsoft Defender لنقطة النهاية. من المقرر غرس الغرغرة على Windows Server 2016 والإصدارات الأحدث للتطوير المستقبلي.
يمكنك تحديد زخرفة، وإغراءات، والنطاق في قاعدة الخداع. راجع تكوين ميزة الخداع لمعرفة المزيد حول كيفية إنشاء قواعد الخداع وتعديلها.
عندما يستخدم المهاجم أداة فك التشفير أو الإغراء على أي عميل تم إلحاقه ب Defender لنقطة النهاية، تقوم إمكانية الخداع بتشغيل تنبيه يشير إلى نشاط مهاجم محتمل، بغض النظر عما إذا كان قد تم نشر الخداع على العميل أم لا.
تحديد الحوادث والتنبيهات التي تم تنشيطها بواسطة الخداع
تحتوي التنبيهات المستندة إلى الكشف عن الخداع على مخادعة في العنوان. بعض الأمثلة على عناوين التنبيه هي:
- محاولة تسجيل الدخول باستخدام حساب مستخدم مخادع
- محاولة الاتصال بمضيف مخادع
تحتوي تفاصيل التنبيه على:
- علامة الخداع
- جهاز فك التشفير أو حساب المستخدم حيث نشأ التنبيه
- نوع الهجوم مثل محاولات تسجيل الدخول أو محاولات الحركة الجانبية
الشكل 2. تفاصيل تنبيه متعلق بالخداع
الخطوة التالية
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ