Konfigurer bedragsegenskaben i Microsoft Defender XDR
Gælder for:
- Microsoft Defender XDR
Bemærk!
Den indbyggede bedragsfunktion i Microsoft Defender XDR dækker alle Windows-klienter, der er onboardet til Microsoft Defender for Endpoint. Få mere at vide om, hvordan du onboarder klienter til Defender for Endpoint i Onboard til Microsoft Defender for Endpoint.
Microsoft Defender XDR har indbygget bedragsteknologi til at beskytte dit miljø mod angreb med stor indvirkning, der bruger tværgående bevægelse, der drives af mennesker. I denne artikel beskrives det, hvordan du konfigurerer bedragsegenskaben i Microsoft Defender XDR.
Slå bedragsegenskaben til
Bedragsfunktionen er som standard slået fra. Hvis du vil slå den til, skal du udføre følgende trin:
- Vælg Indstillinger>Slutpunkter.
- Under Generelt skal du vælge Avancerede funktioner.
- Søg efter bedragsfunktioner, og skift til Til.
Der oprettes automatisk en standardregel, som aktiveres, når bedragsegenskaben er aktiveret. Standardreglen, som du kan redigere i overensstemmelse hermed, genererer automatisk lokkekonti og værter, der er integreret i lokker og planter til alle målenheder i organisationen. Mens bedragsfunktionens omfang er angivet til alle enheder i organisationen, plantes lokker kun på Windows-klientenheder.
Create og rediger bedragsregler
Bemærk!
Microsoft Defender XDR understøtter i øjeblikket oprettelse af op til ti (10) bedragsregler.
Udfør følgende trin for at oprette en regel for bedrag:
- Gå tilIndstillingsslutpunkter>. Under Regler skal du vælge Bedragsregler.
- Vælg Tilføj bedragsregel.
- I ruden til oprettelse af regel skal du tilføje et regelnavn, en beskrivelse og vælge, hvilke lokketyper der skal oprettes. Du kan vælge både grundlæggende og avancerede lokketyper.
- Identificer de enheder, hvor du vil plante lokkerne i området. Du kan vælge at plante lokker på alle Windows-klientenheder eller i klienter med bestemte mærker. Bedragsfunktionen dækker i øjeblikket Windows-klienter.
- Bedragsfunktionen tager derefter et par minutter at generere afledningskonti og værter automatisk. Bemærk, at bedragsfunktionen genererer decoy-konti, der efterligner BRUGERENs hovednavn i Active Directory.
- Du kan gennemse, redigere eller slette automatisk genererede lokkeduer. Du kan også tilføje dine egne lokkekonti og værter i dette afsnit. Hvis du vil forhindre falske positive registreringer, skal du sikre, at tilføjede værter/IP-adresser ikke bruges af organisationen.
- Du kan redigere et lokkeduekontonavn, værtsnavn og den IP-adresse, hvor lokkerne er plantet i lokkeduesektionen. Når du tilføjer IP-adresser, anbefaler vi, at du bruger en sandkasse-IP, hvis den findes i organisationen. Undgå at bruge ofte anvendte adresser, f.eks. 127.0.0.1, 10.0.0.1 og lignende.
Forsigtighed
For at undgå falske positive beskeder anbefaler vi på det kraftigste, at du opretter entydige brugerkonti og værtsnavne, når du opretter og redigerer lokkekonti og værter. Sørg for, at oprettede brugerkonti og værter er entydige for hver bedragsregel, og at disse konti og værter ikke findes i organisationens mappe.
- Identificer, om du bruger automatisk genererede eller brugerdefinerede lokker i afsnittet lokker. Vælg Tilføj ny lokke under Brug kun brugerdefinerede lokker til at uploade din egen lokke. Brugerdefinerede lokker kan være en hvilken som helst filtype (undtagen .DLL og .EXE filer) og er begrænset til 10 MB hver. Når du opretter og uploader brugerdefinerede lokker, anbefaler vi, at lokker indeholder eller nævner de falske værter eller falske brugerkonti, der genereres i de forrige trin, for at sikre, at lokker er attraktive for hackere.
- Angiv et lokkenavn og en sti, hvor lokken vil blive plantet. Du kan derefter vælge at plante lokke på alle enheder, der er omfattet af området sektion, og hvis du ønsker, at lokke skal plantes som en skjult fil. Hvis markeringen i disse felter ikke er markeret, planter bedragsfunktionen automatisk lokkerne til at blive vist i tilfældige enheder inden for området.
- Gennemse oplysningerne om den oprettede regel i oversigtsafsnittet. Du kan redigere oplysningerne om reglen ved at vælge Rediger i den sektion, du vil ændre. Vælg Gem efter gennemsyn.
- Den nye regel vises i ruden Bedragsregler, når oprettelsen er fuldført. Det tager ca. 12-24 timer at fuldføre oprettelsen af reglen. Kontrollér status for at overvåge status for oprettelse af reglen.
- Hvis du vil kontrollere detaljerne om aktive regler, herunder oplysninger om enheder, der er dækket og plantet lokker og lokker, skal du vælge Eksportér i ruden regler.
Hvis du vil ændre en bedragsregel, skal du udføre følgende trin:
- Vælg den regel, der skal ændres, i ruden Bedragsregler.
- Vælg Rediger i ruden med regeloplysninger.
- Hvis du vil slå reglen fra, skal du vælge Slå fra i redigeringsruden.
- Hvis du vil slette en regel for bedrag, skal du vælge Slet i redigeringsruden.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.