Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Prediktivní stínění (Preview) je proaktivní strategie obrany navržená k předvídání a zmírnění hrozeb v rámci probíhajícího útoku. Prediktivní stínění rozšiřuje Microsoft Defender zásobníku autonomní ochrany a vylepšuje možnosti automatického přerušení útoku pomocí proaktivních opatření.
Tento článek poskytuje přehled prediktivního stínění, abyste porozuměli jeho možnostem a jak vylepšuje stav zabezpečení.
Zjistěte, jak funguje prediktivní stínění nebo jak spravovat prediktivní stínění v Microsoft Defender.
Jak se prediktivní stínění rozšiřuje při automatickém přerušení útoku
Vyvíjející se prostředí hrozeb vytváří nerovnováhu: ochránci musí zabezpečit všechny prostředky, zatímco útočníci potřebují pouze jedno otevření. Tradiční obrana je reaktivní a reaguje po zahájení škodlivé aktivity. Tento přístup ponechá defendery, kteří honí útočníky, kteří často jedná příliš rychle nebo nenápadně, než aby je v reálném čase detekovali. I když některá chování útočníka musí být přímo blokovaná, statická prevence narušuje produktivitu a zvyšuje provozní režii.
Pokud chcete tyto výzvy vyřešit, prediktivní stínění vylepšuje zásobník autonomní ochrany Defenderu, rozšiřuje přerušení útoku tak, aby zahrnovalo proaktivní opatření během útoku, předvídání rizik a použití cílené ochrany pouze tam, kde je to potřeba.
Tento proaktivní přístup snižuje reaktivní pronásledování, minimalizuje provozní zátěž, udržuje použitelnost a chrání prostředí před tím, než útočníci pokročí.
Zatímco přerušení útoku identifikuje a obsahuje ohrožené prostředky, prediktivní stínění předvídá potenciální průběh útoku a proaktivně omezuje ohrožené prostředky nebo cesty. Zatímco například automatické přerušení útoku izoluje ohrožené zařízení, prediktivní stínění může proaktivně omezit přístup k citlivým datům pro ohrožená zařízení.
Jak funguje prediktivní stínění
Prediktivní stínění využívá prediktivní analýzy a přehledy v reálném čase k dynamické identifikaci nově vznikajících rizik a používá cílenou ochranu.
Prediktivní stínění integruje stav, aktivitu a kontext scénářů, aby bylo možné identifikovat potenciální cesty a cíle útoku, selektivně posílit důležité prostředky nebo omezit cesty útoku právě včas.
Tento přístup minimalizuje provozní režii a poskytuje bezpečnostním týmům více času na reakci. Prediktivní stínění může například dynamicky omezit přístup k citlivým datům u zařízení identifikovaných jako ohrožená, což snižuje potřebu rozsáhlých omezení pro celé prostředí.
Prediktivní stínění se spoléhá na dva pilíře:
-
Předpověď
- Zahrnuje analýzu analýzy hrozeb, chování útočníka, minulých incidentů a odhalení organizace.
- Defender používá tato data predikce k identifikaci vznikajících rizik, k pochopení pravděpodobného průběhu útoku a k odvozování rizika u nekompromisních prostředků.
- Vynucování používá preventivní ochranné prvky k narušení potenciálních cest útoku v reálném čase.
Tento duální přístup zajišťuje, že ochrana je přesná a včasná.
Logika predikce
Predikce umožňuje organizacím identifikovat ohrožené prostředky a v reálném čase používat přizpůsobenou ochranu. Predikce se zaměřuje spíše na vznikající rizika než na statickou prevenci, která minimalizuje provozní třecí plochy a zajišťuje, aby se bezpečnostní opatření použila přesně tam, kde je to potřeba. Pokud je například zjištěn konkrétní nástroj útočníka, prediktivní stínění může odvodit další pravděpodobný cíl na základě minulých vzorců útoku.
Defender používá k vytváření přesných předpovědí několik vrstev přehledů:
- Analýza hrozeb sjednocuje pozorovanou aktivitu se známými nástroji a taktikami útočníka.
- Poznatky z minulých incidentů slouží k rozpoznání statistických vzorců a extrapolaci nejpravděpodobnějších dalších kroků.
- Data o expozici organizace se používají k mapování struktury prostředí – které prostředky a identity jsou propojené, jaká oprávnění tyto identity mají, jaká ohrožení zabezpečení nebo chybné konfigurace existují a jak se mezi nimi může šířit riziko.
Tyto přehledy společně vytvářejí dynamické porozumění prostředí a jeho rizikům.
Logika založená na grafech
Logika predikce založená na grafech překlenuje mezeru mezi systémy před porušením zabezpečení a následným porušením zabezpečení a poskytuje jednotný pohled na aktivitu útočníka napříč organizační topologií. Toto jednotné zobrazení zahrnuje prostředky, připojení a ohrožení zabezpečení organizace. Logika založená na grafech kombinuje data živých aktivit se strukturní mapou prostředí.
Tato integrace umožňuje defenderu dynamicky upravit ochranu na základě nejdůležitějších ohrožení zabezpečení, což umožňuje stanovení priorit obrany v reálném čase a zastavení útočníků předtím, než se dostanou k důležitým prostředkům.
Proces zahrnuje tři klíčové fáze:
- Defender překryvuje aktivitu po porušení zabezpečení do grafu vystavení organizace a vytváří komplexní pohled na potenciální cesty útoku.
- Defender identifikuje poloměr výbuchu – související prostředky, které může identifikovaná aktivita ovlivnit.
- Modely uvažování předpovídají cesty, které útočníci s největší pravděpodobností posílají, což bere v potaz minulé chování, vlastnosti prostředků a ohrožení zabezpečení prostředí.
Toto dynamické porozumění umožňuje Defenderu posunout se za reaktivní odpovědi a zajistit ochranu za běhu, která útočníky zastaví, než se dostanou k důležitým prostředkům.
Akce prediktivního stínění
Prediktivní stínění využívá akce založené na Defenderu pro koncové body. K použití těchto akcí potřebujete licenci Defenderu for Endpoint.
Posílení zabezpečení safebootu – zpevní zařízení proti spuštění do nouzového režimu. Spuštění do nouzového režimu je běžná taktika, kterou útočníci používají k obejití bezpečnostních mechanismů a zachování trvalosti na ohrožených systémech.
Posílení zabezpečení objektů zásad skupiny – zpevňuje Zásady skupiny objekty (GPO), aby zabránilo útočníkům v zneužití chybných konfigurací nebo slabých míst v nastavení objektu zásad skupiny k eskalaci oprávnění nebo k laterálně přesunu v rámci sítě.
Proaktivní omezování uživatelů (obsahující uživatele) – do dat o aktivitách se zasadí data o expozici, aby bylo možné identifikovat vystavené přihlašovací údaje, u kterých hrozí ohrožení zabezpečení a opětovné použití k provádění škodlivých aktivit. Proaktivně omezuje aktivitu uživatelů přidružených k těmto přihlašovacím údajům.
Poznámka
I když se akce obsahovat uživatele používá při přerušení útoku i prediktivním stínění, tato akce se v každém kontextu použije odlišně. Při prediktivním stínění akce obsahující uživatele používá omezení selektivněji a zaměřuje se na uživatele, kteří jsou prostřednictvím logiky predikce identifikováni jako vysoce rizikové. Tato akce zabrání novým relacím místo ukončení existujících relací.
Další kroky
- Správa prediktivního stínění v Microsoft Defender – Naučte se spravovat akce prediktivního stínění a zkoumat jejich dopad na vaše prostředí.
- Automatické přerušení útoku v Microsoft Defender – Zjistěte, jak funguje automatické přerušení útoku při identifikaci a neutralizaci potvrzených škodlivých aktivit.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.