Blokering og opbevaring af funktionsmåder

Hvad er adfærdsblokering og indeslutning?

Dagens trusselslandskab er overrendt af filløs malware , der lever ud for landet, meget polymorfe trusler, der muterer hurtigere end traditionelle løsninger kan holde trit med, og menneskedrevne angreb, der tilpasser sig, hvad modstandere finder på kompromitterede enheder. Traditionelle sikkerhedsløsninger er ikke tilstrækkelige til at stoppe sådanne angreb; Du har brug for funktioner, der understøttes af kunstig intelligens (AI) og maskinel indlæring (ML), f.eks. funktionsblokering og indeslutning, som er inkluderet i Defender for Endpoint.

Funktionalitet til adfærdsblokering og opbevaring kan hjælpe med at identificere og stoppe trusler baseret på deres adfærd og procestræer, selv når truslen allerede er startet. Næste generations beskyttelse, EDR og Defender for Endpoint-komponenter og -funktioner arbejder sammen i funktionsblokerings- og indeslutningsfunktioner.

Funktionalitet til funktionsblokering og indeslutning fungerer sammen med flere komponenter og funktioner i Defender for Endpoint for at stoppe angreb med det samme og forhindre, at angreb skrider frem.

• Næste generations beskyttelse (som omfatter Microsoft Defender Antivirus) kan registrere trusler ved at analysere adfærd og stoppe med at køre trusler.

• EDR (Endpoint Detection and Response) modtager sikkerhedssignaler på tværs af dit netværk, dine enheder og kernefunktionsmåden. Når der registreres trusler, oprettes der beskeder. Flere beskeder af samme type samles i hændelser, hvilket gør det nemmere for dit team af sikkerhedshandlinger at undersøge og svare.

• Defender for Endpoint har en bred vifte af optik på tværs af identiteter, mail, data og apps ud over netværket, slutpunktet og kernefunktionsmådesignaler, der modtages via EDR. En komponent i Microsoft Defender XDR, Defender for Endpoint-processer og korrelerer disse signaler, udløser registreringsbeskeder og opretter forbindelse til relaterede beskeder i hændelser.

Med disse funktioner kan flere trusler forhindres eller blokeres, selvom de begynder at køre. Når mistænkelig adfærd registreres, er truslen indeholdt, der oprettes beskeder, og trusler stoppes i deres spor.

På følgende billede vises et eksempel på funktionalitetsblokering og opbevaringsfunktioner, der udløser en besked:

Forudsætninger

Understøttede operativsystemer

• Windows

Komponenter til funktionsblokering og indeslutning

• Asr-regler (on-client), policy-driven attack surface reduction (ASR) Undgå foruddefineret, almindelig angrebsfunktion fra apps. Hvis du vil overvåge registreringer af ASR-regler, skal du se Overvåg asr-regelaktivitet (Attack Surface Reduction).

• Blokering af klientens funktionsmåde Trusler på slutpunkter registreres via maskinel indlæring og blokeres og afhjælpes derefter automatisk. (Blokering af klientens funktionsmåde er aktiveret som standard).

• Blokering af feedbackløkke (også kaldet hurtig beskyttelse) Trusselsregistreringer observeres via adfærdsintelligens. Trusler stoppes og forhindres i at køre på andre slutpunkter. (Blokering af feedbackløkke er aktiveret som standard).

• EDR (Endpoint Detection and Response) i bloktilstand Skadelige artefakter eller funktionsmåder, der observeres via beskyttelse efter sikkerhedsbrud, blokeres og indesluttet. EDR i bloktilstand fungerer, selvom Microsoft Defender Antivirus ikke er den primære antivirusløsning. (EDR i blokeringstilstand er ikke aktiveret som standard. Du aktiverer den ved Microsoft Defender XDR).

Forvent, at der kommer mere inden for adfærdsblokering og -opbevaring, efterhånden som Microsoft fortsætter med at forbedre funktioner og funktioner til trusselsbeskyttelse. Hvis du vil se, hvad der er planlagt og udrullet nu, skal du besøge Microsoft 365-køreplanen.

Eksempler på funktionsblokering og -indeslutning i aktion

Funktionalitet til funktionsblokering og opbevaring har blokeret følgende hackerteknikker:

• Dumping af legitimationsoplysninger fra LSASS
• Tværgående procesinjektion
• Behandl udhuling
• Tilsidesættelse af brugerkontokontrol
• Manipulation med antivirus (f.eks. deaktivering af det eller tilføjelse af malware som udelukkelse)
• Kontakter kommando og kontrol (C&C) for at downloade nyttedata
• Møntmining
• Ændring af startpost
• Pass-the-hash angreb
• Installation af rodcertifikat
• Udnyttelsesforsøg for forskellige sikkerhedsrisici

Følgende er to virkelige eksempler på adfærdsblokering og indeslutning i aktion.

Eksempel 1: Angreb på 100 organisationer for tyveri af legitimationsoplysninger

Som beskrevet i Hurtig jagt på flygtige trusler: AI-drevet adfærdsbaseret blokering stopper angreb på deres spor, adfærdsblokering og indeslutningsfunktioner stoppede et angreb på legitimationstyveri mod 100 organisationer over hele verden. Spear-phishing-mails, der indeholdt et lokkedokument, blev sendt til de målrettede organisationer. Hvis en modtager åbnede den vedhæftede fil, kunne et relateret fjerndokument udføre kode på brugerens enhed og indlæse Lokibot-malware, som stjal legitimationsoplysninger, eksfiltrerede stjålne data og ventede på yderligere instruktioner fra en kommando- og kontrolserver.

Adfærdsbaserede modeller til maskinel indlæring i Defender for Endpoint fangede og stoppede hackerens teknikker på to punkter i angrebskæden:

• Det første beskyttelseslag registrerede funktionsmåden for udnyttelse. Klassificeringer af maskinel indlæring i cloudmiljøet identificerede truslen korrekt og bad straks klientenheden om at blokere angrebet.
• Det andet beskyttelseslag, som hjalp med at stoppe tilfælde, hvor angrebet kom forbi det første lag, registrerede procesudhulning, stoppede denne proces og fjernede de tilsvarende filer (såsom Lokibot).

Mens angrebet blev registreret og stoppet, blev beskeder, f.eks. en "indledende adgangsbesked", udløst og vist på Microsoft Defender-portalen.

Dette eksempel viser, hvordan adfærdsbaserede modeller til maskinel indlæring i cloudmiljøet tilføjer nye lag af beskyttelse mod angreb, selv efter at de allerede kører.

Eksempel 2: NTLM-relæ – Variant af saftig kartoffelmalware

Som beskrevet i det seneste blogindlæg Adfærdsblokering og indeslutning: Transformation af optik til beskyttelse registrerede Defender for Endpoint i januar 2020 en rettighedseskaleringsaktivitet på en enhed i en organisation. En besked med navnet "Mulig rettighedseskalering ved hjælp af NTLM-relæ" blev udløst.

Truslen viste sig at være malware; det var en ny ikke-set før-variant af et berygtet hackingværktøj kaldet Juicy Potato, som bruges af angribere til at få rettighedseskalering på en enhed.

Minutter efter beskeden blev udløst, blev filen analyseret og bekræftet til at være skadelig. Processen blev stoppet og blokeret, som vist på følgende billede:

Få minutter efter at artefaktet blev blokeret, blev flere forekomster af den samme fil blokeret på den samme enhed, hvilket forhindrede flere hackere eller anden malware i at installere på enheden.

Dette eksempel viser, at med funktionalitet til funktionsblokering og funktionalitet til opbevaring registreres, indesluttet og blokeres trusler automatisk.

Tip

Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, kan du se følgende artikler:

• Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
• Microsoft Defender for Endpoint på Mac
• Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
• Angiv indstillinger for Microsoft Defender for Endpoint på Linux
• Microsoft Defender for Endpoint på Linux
• Konfigurer Defender for Endpoint på Android-funktioner
• Konfigurer Microsoft Defender for Endpoint på iOS-funktioner

Relateret indhold

• Oversigt over slutpunktsregistrering og svar
• Regler for reduktion af angrebsoverflade
• Aktivér EDR i bloktilstand
• Seneste globale trusselsaktivitet
• oversigt over Microsoft Defender XDR