Sdílet prostřednictvím

Konfigurace možnosti podvodu v Microsoft Defender XDR

  • Článek

Platí pro:

  • Microsoft Defender XDR

Poznámka

Integrovaná funkce podvodu v Microsoft Defender XDR pokrývá všechny klienty Windows nasazené do Microsoft Defender for Endpoint. Zjistěte, jak připojit klienty k Defenderu for Endpoint v tématu Onboarding a Microsoft Defender for Endpoint.

Microsoft Defender XDR má integrovanou technologii podvodu, která chrání vaše prostředí před útoky s vysokým dopadem, které využívají laterální pohyb ovládaný člověkem. Tento článek popisuje, jak nakonfigurovat schopnost podvodu v Microsoft Defender XDR.

Zapnutí možnosti podvodu

Funkce podvodu je ve výchozím nastavení vypnutá. Pokud ho chcete zapnout, proveďte následující kroky:

  1. VyberteKoncové bodynastavení>.
  2. V části Obecné vyberte Rozšířené funkce.
  3. Vyhledejte možnosti podvodu a přepněte přepínač do polohy Zapnuto.

Snímek obrazovky s nastavením Defender XDR pro konfiguraci funkce podvodu

Výchozí pravidlo se automaticky vytvoří a zapne, když je povolená funkce podvodu. Výchozí pravidlo, které můžete odpovídajícím způsobem upravit, automaticky vygeneruje účty a hostitele, které jsou integrované do systému, a vyláká je do všech cílových zařízení v organizaci. I když je rozsah funkce podvodu nastavený na všechna zařízení v organizaci, vábí se jenom do klientských zařízení s Windows.

Snímek obrazovky s výchozím pravidlem vygenerovaným funkcí podvodu

Create a upravit pravidla podvodu

Poznámka

Microsoft Defender XDR v současné době podporuje vytvoření až deseti (10) pravidel podvodu.

Pokud chcete vytvořit pravidlo podvodu, proveďte následující kroky:

  1. Přejděte naKoncové bodynastavení>. V části Pravidla vyberte Pravidla podvodu.
  2. Vyberte Přidat pravidlo podvodu. Snímek obrazovky s funkcí přidat pravidlo v nastavení pravidla podvodu
  3. V podokně pro vytvoření pravidla přidejte název a popis pravidla a vyberte, jaké typy návnad chcete vytvořit. Můžete vybrat základní i rozšířený typ návnady. Snímek obrazovky se stránkou pravidla pro přidání podvodu
  4. V části rozsahu určete zařízení, do kterých chcete vysadit vábí. Můžete vybrat, jestli chcete vábít na všechna klientská zařízení s Windows nebo do klientů s konkrétními značkami. Funkce podvodu v současné době pokrývá klienty Windows. Snímek obrazovky se stránkou oboru pravidla podvodu
  5. Schopnost podvodu pak trvá několik minut, než automaticky vygeneruje podvodné účty a hostitele. Všimněte si, že funkce podvodu generuje podvodné účty, které napodobují hlavní název uživatele (UPN) ve službě Active Directory.
  6. Automaticky generované návnady můžete zkontrolovat, upravit nebo odstranit. V této části můžete také přidat vlastní účty a hostitele. Pokud chcete zabránit falešně pozitivním detekcím, ujistěte se, že organizace nepoužívá přidané hostitele nebo IP adresy. Snímek obrazovky se stránkou podvodných pravidel
  7. Můžete upravit název účtu, název hostitele a IP adresu, na kterou jsou návnady zasazeny, v oddílu s návnadami. Při přidávání IP adres doporučujeme použít IP adresu sandboxu, pokud v organizaci existuje. Nepoužívejte běžně používané adresy, například 127.0.0.1, 10.0.0.1 a podobně. Snímek obrazovky s úpravou hostitele dekóduSnímek obrazovky s úpravou účtu dekódu

Upozornění

Pokud se chcete vyhnout falešně pozitivním upozorněním, důrazně doporučujeme při vytváření a úpravách účtů a hostitelů vytvářet jedinečné uživatelské účty a názvy hostitelů. Ujistěte se, že vytvořené uživatelské účty a hostitelé jsou pro každé pravidlo podvodu jedinečné a že tyto účty a hostitelé v adresáři organizace neexistují.

  1. Zjistěte, jestli v oddílu s lákáky používáte automaticky vygenerované nebo vlastní návnady. V části Použít vlastní nástrahy k nahrání vlastní návnady vyberte Přidat novou návnadu. Vlastní nástrahy můžou být libovolného typu souborů (s výjimkou souborů .DLL a .EXE) a jejich velikost je omezená na 10 MB. Při vytváření a nahrávání vlastních návnad doporučujeme vábení obsahovat nebo zmínit falešné hostitele nebo falešné uživatelské účty vygenerované v předchozích krocích, aby se zajistilo, že návnady budou pro útočníky atraktivní. Snímek obrazovky s možností přidat novou návnadu
  2. Zadejte název vábí a cestu, kam bude návnada zasazena. Pak můžete vybrat, jestli se má návnada umístit na všechna zařízení, na která se vztahuje část rozsahu, a pokud chcete, aby se návnada vysadila jako skrytý soubor. Pokud jsou tato pole nezaškrtnutá, funkce podvodu automaticky vysadí neskryté návnady do náhodných zařízení v rámci oboru. Snímek obrazovky s podoknem přidat nové podrobnosti o návnadách
  3. Zkontrolujte podrobnosti o vytvořeném pravidlu v části souhrnu. Podrobnosti pravidla můžete upravit tak, že v oddílu, který potřebujete upravit, vyberete Upravit. Po kontrole vyberte Uložit . Snímek obrazovky s podoknem podrobností pravidla podvodu s oddíly s možností úprav
  4. Nové pravidlo se po úspěšném vytvoření zobrazí v podokně Pravidla podvodu. Vytvoření pravidla trvá přibližně 12 až 24 hodin. Zkontrolujte Stav a sledujte průběh vytváření pravidla.
  5. Pokud chcete zkontrolovat podrobnosti o aktivních pravidlech, včetně podrobností o pokrytých a osázených zařízeních a návnadách, vyberte v podokně pravidel exportovat. Snímek obrazovky s možností podrobností pravidla podvodu pro export

Pokud chcete upravit pravidlo podvodu, proveďte následující kroky:

  1. V podokně Pravidla podvodu vyberte pravidlo, které chcete upravit.
  2. V podokně podrobností pravidla vyberte Upravit .
  3. Pokud chcete pravidlo vypnout, vyberte v podokně úprav vypnout .
  4. Pokud chcete odstranit pravidlo podvodu , vyberte Odstranit v podokně úprav.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.