Automatisk afbrydelse af angreb i Microsoft Defender til virksomheder
Et menneskedrevet angreb er et aktivt angreb fra cyberkriminelle, der infiltrerer en organisation, hæver deres rettigheder, navigerer i netværket og installerer ransomware eller stjæler oplysninger. Disse typer angreb kan være katastrofale for forretningshandlinger, har en tendens til at være svære at håndtere, og nogle gange fortsætter med at true forretningshandlinger efter det første møde. Du kan få mere at vide under Menneskedrevne ransomware-angreb.
For at hjælpe med at beskytte mod menneskeligt drevne eller andre avancerede angreb Microsoft Defender XDR tilføjet automatisk afbrydelse af angreb i november 2022 for virksomhedskunder. Nu kommer disse funktioner til Defender for Business! I denne artikel beskrives det, hvordan automatisk afbrydelse af angreb fungerer, hvordan du får vist detaljer om et angreb, og hvordan du får disse funktioner.
Sådan fungerer automatisk angrebsforstyrrelse
Automatisk afbrydelse af angreb er designet til at:
- Indeholder avancerede angreb, der er i gang.
- Begræns virkningen og forløbet af angreb på dine forretningsaktiver (f.eks. enheder); Og
- Giv it-/sikkerhedsteamet mere tid til at afhjælpe et angreb fuldt ud.
Automatisk afbrydelse af angreb bruger indsigt fra Microsofts sikkerhedsforskere og avancerede AI-modeller til at modvirke kompleksiteten af avancerede angreb. Det begrænser en trusselsaktørs fremskridt tidligt og reducerer den samlede virkning af et angreb drastisk fra tilknyttede omkostninger til tab af produktivitet. Se nogle eksempler på Microsoft Security-bloggen.
Med automatisk afbrydelse af angreb, så snart et menneskestyret angreb registreres på en enhed, udføres der straks trin til at indeholde den berørte enhed og brugerkonti på enheden. Der oprettes en hændelse på Microsoft Defender-portalen (https://security.microsoft.com). Der kan it-/sikkerhedsteamet få vist oplysninger om risiko- og indeslutningsstatus for kompromitterede aktiver under og efter processen. En hændelsesside indeholder oplysninger om angreb og opdateret status for de berørte aktiver.
Automatiserede svarhandlinger omfatter:
- Indeholder en enhed ved at blokere indgående/udgående kommunikation
- Indeholder en brugerkonto ved at afbryde forbindelsen til aktuelle brugerforbindelser på enhedsniveau
Vigtigt!
- Hvis du vil have vist oplysninger om et registreret avanceret angreb, skal du have tildelt rollen Sikkerhedslæser, Sikkerhedsadministrator eller Global administrator.
- Hvis du vil udføre afhjælpningshandlinger, frigive en enhed/bruger eller aktivere en brugerkonto igen, skal du enten have tildelt rollen Sikkerhedsadministrator eller Global administrator.
- Se Sikkerhedsroller og -tilladelser i Defender for Business.
Få vist oplysninger om et angreb på Microsoft Defender-portalen
Gå til Hændelser i Microsoft Defender-portalen.
Vælg en hændelse, der er mærket med Afbrydelse af angreb.
Gennemse grafen over hændelser, som giver dig mulighed for at få hele angrebshistorien og vurdere indvirkningen og status for angrebsforstyrrelse.
Når du er klar til at frigive en indeholdt enhed eller brugerkonto eller aktivere en brugerkonto igen, skal du benytte en af følgende fremgangsmåder:
- Hvis du vil frigive en indeholdt enhed, skal du vælge enheden og derefter vælge Frigiv fra opbevaring.
- Hvis du vil frigive en indeholdt bruger, skal du vælge brugerkontoen og derefter vælge Fortryd i sideruden.
Forstyrrede hændelser inkluderer et tag for Attack Disruption og den specifikke trusselstype, der er identificeret (såsom ransomware). Hvis it-/sikkerhedsteamet modtager meddelelser om hændelsesmails, vises disse mærker også i mails.
Når en hændelse afbrydes, vises fremhævet tekst under hændelsestitel. Indeholdte enheder eller brugerkonti vises med en etiket, der angiver deres status.
Spor angrebsafbrydelser i Løsningscenter
Handlingscenteret samler alle afhjælpnings- og svarhandlinger, uanset om disse handlinger blev udført automatisk eller manuelt. Du kan få vist alle automatiske angrebsafbrydelser i Løsningscenter. Og når it-/sikkerhedsteamet har mindsket risikoen og afsluttet undersøgelsen af en hændelse, kan de frigive indeholdte aktiver.
I Microsoft Defender-portalen skal du gå til Handlinger & indsendelser>Løsningscenter.
Vælg fanen Oversigt .
Vælg en handling, f.eks . Indeholde bruger eller Indeholde enhed, og vælg derefter Fortryd.
Du kan få flere oplysninger under Gennemse afhjælpningshandlinger i Løsningscenter.
Sådan får du automatisk afbrydelse af angreb
Automatisk afbrydelse af angreb er indbygget i Defender for Business. Du behøver ikke at aktivere disse funktioner eksplicit. Det er vigtigt at føje alle organisationens enheder (computere, telefoner og tablets) til Defender for Business, så de beskyttes så hurtigt som muligt.
Derudover kan du tilmelde dig for at modtage prøveversionsfunktioner , så du får de nyeste og bedste funktioner, så snart de er tilgængelige.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om