Sdílet prostřednictvím


Správa možnosti podvodu v Microsoft Defenderu XDR

Platí pro:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

Důležité

Některé informace v tomto článku se týkají předem vydaných produktů nebo služeb, které mohou být podstatně změněny před komerčním vydáním. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Microsoft Defender XDR prostřednictvím integrované funkce podvodu poskytuje vysoce spolehlivé detekce laterálního pohybu řízeného člověkem a brání útokům v dosažení důležitých prostředků organizace. Různé útoky, jako jsou ohrožení podnikového e-mailu (BEC),ransomware, porušení zabezpečení organizace nebo útoky na národní stát, často využívají laterální pohyb a v počátečních fázích je obtížné je s vysokou jistotou rozpoznat. Technologie klamání defenderu XDR poskytuje detekci vysoké spolehlivosti založené na podvodných signálech korelovaných se signály Microsoft Defenderu for Endpoint.

Tato schopnost podvodu automaticky generuje autenticky vypadající účty, hostitele a vábí. Vygenerované falešné prostředky se pak automaticky nasadí na konkrétní klienty. Když útočník komunikuje s okny nebo vábí, schopnost podvodu vyvolává upozornění s vysokou spolehlivostí, pomáhá při vyšetřování týmu zabezpečení a umožňuje mu sledovat metody a strategie útočníka. Všechna upozornění vyvolaná funkcí podvodu se automaticky korelují do incidentů a jsou plně integrována do XDR v programu Microsoft Defender. Kromě toho je do Defenderu for Endpoint integrovaná technologie podvodu, která minimalizuje požadavky na nasazení.

Přehled možností podvodu získáte v následujícím videu.

Požadavky

Následující tabulka uvádí požadavky na povolení možnosti podvodu v microsoft defenderu XDR.

Požadavek Podrobnosti
Požadavky na předplatné Jedno z těchto předplatných:
– Microsoft 365 E5
– Microsoft Security E5
– Microsoft Defender for Endpoint Plan 2
Požadavky na nasazení Požadavky:
Defender for Endpoint je primární řešení
- EDRAutomatizované prověřování a reakce v Defenderu for Endpoint je nakonfigurované
– Zařízení jsou připojená nebo hybridně připojená v Microsoft Entra
– Na zařízeních
je povolený PowerShell – Funkce podvodu se vztahuje na klienty, kteří pracují s Windows 10 RS5 a novější verzí Preview.
Oprávnění Abyste mohli konfigurovat možnosti podvodu, musíte mít v Centru pro správu Microsoft Entra nebo v Centru pro správu Microsoftu 365 přiřazenou jednu z následujících rolí:
– Globální správce
– Správce
zabezpečení – Správa nastavení systému portálu

Poznámka

Microsoft pro lepší zabezpečení doporučuje používat role s menším počtem oprávnění. Roli globálního správce, která má mnoho oprávnění, by se měla používat pouze v případě mimořádných událostí, pokud se žádná jiná role nehodí.

Co je technologie podvodu?

Technologie podvodu je bezpečnostní opatření, které poskytuje okamžitá upozornění na potenciální útok bezpečnostním týmům a umožňuje jim reagovat v reálném čase. Podvodná technologie vytváří falešné prostředky, jako jsou zařízení, uživatelé a hostitelé, které zdánlivě patří do vaší sítě.

Útočníci, kteří pracují s falešnými síťovými prostředky nastavenými funkcí podvodu, můžou bezpečnostním týmům pomoct zabránit potenciálním útokům, které by mohly ohrozit organizaci, a monitorovat akce útočníků, aby mohli ochránci dále zlepšit zabezpečení svého prostředí.

Jak funguje funkce podvodu v programu Microsoft Defender XDR?

Integrovaná funkce podvodu na portálu Microsoft Defender používá pravidla k vytváření návnad a lákání, které odpovídají vašemu prostředí. Tato funkce používá strojové učení k navrhování návnad a vábí, které jsou přizpůsobené vaší síti. Pomocí funkce podvodu můžete také ručně vytvořit návnady a vábí. Tyto návnady a návnady se pak automaticky nasadí do vaší sítě a nasadí do zařízení, která určíte pomocí PowerShellu.

Snímek obrazovky s útokem s laterálním pohybem a s místem, kde podvod zachytí útok

Obrázek 1 Technologie podvodu prostřednictvím vysoce důvěryhodných detekcí laterálního pohybu ovládaného člověkem upozorní bezpečnostní týmy, když útočník interaguje s falešnými hostiteli nebo láká

Podvody jsou falešná zařízení a účty, které zdánlivě patří do vaší sítě. Návnady jsou falešný obsah vysazený na konkrétních zařízeních nebo účtech a používají se k přilákání útočníka. Obsahem může být dokument, konfigurační soubor, přihlašovací údaje uložené v mezipaměti nebo jakýkoli obsah, který může útočník pravděpodobně číst, ukrást nebo s ním pracovat. Nástrahy napodobují důležité firemní informace, nastavení nebo přihlašovací údaje.

Ve funkci podvodu jsou k dispozici dva typy návnad:

  • Základní vábí – vysazované dokumenty, soubory odkazů a podobně, které nemají žádnou nebo minimální interakci s prostředím zákazníka.
  • Pokročilé nástrahy – vysazený obsah, jako jsou přihlašovací údaje uložené v mezipaměti a zachytávání, které reagují nebo komunikují s prostředím zákazníka. Útočníci mohou například pracovat s přihlašovacími údaji, které byly vloženy do odpovědí na dotazy služby Active Directory, které se dají použít k přihlášení.

Poznámka

Návnady se vysazují jenom na klienty Windows definované v rámci pravidla podvodu. Pokusy o použití libovolného hostitele nebo účtu v libovolném klientovi onboardovaného v programu Defender for Endpoint však vyvolá klamavé upozornění. Zjistěte, jak onboardovat klienty v části Onboarding do Microsoft Defenderu for Endpoint. Vysazování lákadeb na Windows Server 2016 a novějších verzích je plánováno pro budoucí vývoj.

V pravidle podvodu můžete zadat návnady, návnady a rozsah. Další informace o vytváření a úpravách pravidel podvodu najdete v tématu Konfigurace funkce podvodu .

Když útočník na libovolném klientovi onboardovaného v programu Defender for Endpoint použije návnadu nebo návnadu, funkce podvodu aktivuje výstrahu, která indikuje možnou aktivitu útočníka bez ohledu na to, jestli byl podvod na klientovi nasazen nebo ne.

Identifikace incidentů a upozornění aktivovaných podvodem

Upozornění založená na detekci podvodu obsahují v názvu klamavé upozornění. Mezi příklady názvů upozornění patří:

  • Pokus o přihlášení pomocí podvodného uživatelského účtu
  • Pokus o připojení k podvodnému hostiteli

Podrobnosti o upozornění obsahují:

  • Značka Podvod
  • Zařízení nebo uživatelský účet, ze kterého výstraha pochází
  • Typ útoku, jako jsou pokusy o přihlášení nebo pokusy o laterální pohyb

Snímek obrazovky s upozorněním na podvod se zvýrazněnou značkou a pokusem

Obrázek 2 Podrobnosti o upozornění souvisejícím s podvodem

Další krok

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.