Automaattinen hyökkäyshäiriö Microsoft Defender XDR
Koskee seuraavia:
- Microsoft Defender XDR
Microsoft Defender XDR korreloi miljoonia yksittäisiä signaaleja tunnistaakseen aktiiviset kiristyshaittaohjelmakampanjat tai muut kehittyneet hyökkäykset ympäristössä suurella luotettavuudella. Kun hyökkäys on käynnissä, Defender XDR häiritsee hyökkäystä sisältämällä automaattisesti vaarantuneita resursseja, joita hyökkääjä käyttää automaattisen hyökkäyshäiriön kautta.
Automaattinen hyökkäyshäiriö rajoittaa sivuttaista liikkumista varhaisessa vaiheessa ja vähentää hyökkäyksen kokonaisvaikutusta, siihen liittyvistä kustannuksista tuottavuuden menetykseen. Samalla se jättää suojaustoimintaryhmät täysin hallintaansa resurssien tutkimisessa, korjaamisessa ja palauttamisessa takaisin verkkoon.
Tässä artikkelissa on yleiskatsaus automatisoiduista hyökkäyshäiriöistä ja linkkejä seuraaviin vaiheisiin ja muihin resursseihin.
Miten automaattinen hyökkäyshäiriö toimii
Automaattisen hyökkäyshäiriön tarkoituksena on sisältää käynnissä olevia hyökkäyksiä, rajoittaa vaikutusta organisaation varoihin ja antaa tietoturvatiimeille enemmän aikaa korjata hyökkäys kokonaan. Hyökkäyshäiriöt käyttävät koko laajat tunnistus- ja reagointisignaalimme (XDR) ottaen koko hyökkäyksen huomioon toimiakseen tapahtumatasolla. Tämä ominaisuus on erilainen kuin tunnetut suojausmenetelmät, kuten yhden kompromissi-indikaattorin estäminen ja estäminen.
Vaikka monet XDR- ja suojauksen orkestrointi-, automaatio- ja reagointiympäristöt (SOAR) mahdollistavat automaattisten reagointitoimintojen luomisen, automaattinen hyökkäyshäiriö on sisäänrakennettu ja käyttää Microsoftin tietoturvatutkijoiden ja kehittyneiden tekoälymallien merkityksellisiä tietoja edistyneiden hyökkäysten monimutkaisuuden torjumiseksi. Automaattinen hyökkäyshäiriö ottaa huomioon eri lähteistä peräisin olevien signaalien koko kontekstin vaarantuneiden resurssien määrittämiseksi.
Automaattinen hyökkäyshäiriö toimii kolmessa avainvaiheessa:
- Se käyttää Defender XDR kykyä korreloida signaaleja monista eri lähteistä yksittäiseksi, erittäin luotettavaksi tapahtumaksi päätepisteiden, käyttäjätietojen, sähköposti- ja yhteistyötyökalujen ja SaaS-sovellusten merkityksellisten tietojen avulla.
- Se tunnistaa hyökkääjän hallitsemat resurssit ja hyökkäyksen levittämiseen käytetyt resurssit.
- Se suorittaa automaattisesti vastaustoimet asiaankuuluvissa Microsoft Defender tuotteissa, jotta hyökkäys voidaan sisältää reaaliaikaisesti eristämällä kyseiset resurssit.
Tämä peliä muuttava ominaisuus rajoittaa uhkanäyttelijän edistymistä varhaisessa vaiheessa ja vähentää dramaattisesti hyökkäyksen kokonaisvaikutusta, siihen liittyvistä kustannuksista tuottavuuden menetykseen.
Erittäin luotettavan toiminnon luominen automaattisia toimia suoritettaessa
Ymmärrämme, että automaattisten toimien suorittaminen aiheuttaa joskus epäröintiä tietoturvatiimeiltä, kun otetaan huomioon, miten se voi vaikuttaa organisaatioon. Siksi Defender XDR automaattisen hyökkäyksen häiriötoiminnot on suunniteltu luottamaan korkean tiheyden signaaleihin. Se käyttää myös Defender XDR tapausten korrelaatiota miljoonien Defenderin tuotesignaaleiden kanssa sähköpostissa, käyttäjätiedoilla, sovelluksissa, asiakirjoissa, laitteissa, verkoissa ja tiedostoissa. Microsoftin tietoturvatutkimusryhmän tuhansien tapausten jatkuvasta tutkimuksesta saat merkitykselliset tiedot varmistavat, että automaattisen hyökkäyksen häiriöillä on suuri signaalien ja melun suhde (SNR).
Tutkimukset ovat olennainen osa signaaliemme ja hyökkäyksen uhkamaiseman seurantaa laadukkaan ja tarkan suojauksen varmistamiseksi.
Vihje
Tässä artikkelissa kuvataan, miten hyökkäyshäiriöt toimivat. Lisätietoja näiden ominaisuuksien määrittämisestä on artikkelissa Hyökkäyshäiriöiden ominaisuuksien määrittäminen Microsoft Defender XDR.
Automaattiset vastaustoiminnot
Automaattinen hyökkäyshäiriö käyttää Microsoft-pohjaisia XDR-vastaustoimintoja. Esimerkkejä näistä toiminnoista ovat:
Laite sisältää – Microsoft Defender for Endpoint ominaisuuden perusteella tämä toiminto on epäilyttävän laitteen automaattinen eristäminen estämään saapuva/ lähtevä tietoliikenne kyseisen laitteen kanssa.
Poista käyttäjä käytöstä – Microsoft Defender for Identity ominaisuuden perusteella tämä toiminto on vaarantuneen tilin automaattinen keskeyttäminen, jotta estetään lisävahingot, kuten sivuttaisten liikkeiden, haittaohjelmien käyttö tai haittaohjelmien suorittaminen.
Sisällytä käyttäjä – Microsoft Defender for Endpoint ominaisuuden perusteella tämä vastaustoiminto sisältää automaattisesti epäilyttäviä käyttäjätietoja, jotka auttavat estämään sivuttaissiirrot ja etäsalauksen, jotka liittyvät saapuvaan viestintään Defender for Endpointin perehdytetyissä laitteissa.
Lisätietoja on Microsoft Defender XDR kohdassa Korjaustoiminnot.
SAP:n automaattiset vastaustoiminnot Microsoft Sentinelillä (esikatselu)
Jos käytät yhtenäistä suojaustoimintojen ympäristöä ja olet ottanut käyttöön Microsoft Sentinel -ratkaisun SAP-sovelluksille, voit myös ottaa käyttöön automaattisen hyökkäyshäiriön SAP:lle.
Voit esimerkiksi ottaa käyttöön SAP:n hyökkäyshäiriöitä, jotka sisältävät vaarantuneita resursseja lukitsemalla epäilyttäviä SAP-käyttäjiä taloudellisen prosessin käsittelyhyökkäyksen varalta.
Kun riskiä on lievennys, Microsoft Defender järjestelmänvalvojat voivat avata manuaalisesti lukituksen käyttäjille, jotka hyökkäyshäiriön vastaus oli lukinnut automaattisesti. Mahdollisuus poistaa käyttäjien lukitus manuaalisesti on käytettävissä Microsoft Defender toimintokeskuksessa ja vain käyttäjille, jotka ovat joutuneet hyökkäyshäiriöiden lukitsemiksi.
Jos haluat käyttää hyökkäyshäiriöitä SAP:ssä, ota käyttöön uusi tietoyhdistinagentti tai varmista, että agenttisi käyttää versiota 90847355 tai uudempaa, ja määritä ja sovella sitten vaadittuja Azure- ja SAP-rooleja. Lisätietoja on seuraavissa artikkeleissa:
- Ota käyttöön ja määritä Säilö, joka isännöi SAP-tietoliitinagenttia
- Päivitä Microsoft Sentinelin SAP-tietoliitinagentti, erityisesti Päivitä järjestelmäsi automaattisten hyökkäyshäiriöiden vuoksi.
Kun määrität hyökkäyshäiriöitä Azure-portaali ja SAP-järjestelmässäsi, automaattinen hyökkäyshäiriön itsensä pinnat vain Microsoft Defender portaalin yhtenäisessä suojauskäyttöympäristössä.
Tunnista, milloin hyökkäyshäiriö tapahtuu ympäristössäsi
Defender XDR tapahtumasivulla näkyvät automaattiset hyökkäyshäiriötoiminnot hyökkäystarinan kautta ja keltaisen palkin ilmaisema tila (kuva 1). Tapahtuma näyttää erillisen häiriötunnisteen, korostaa tapauskaavion sisältämien resurssien tilan ja lisää toiminnon toimintokeskukseen.
kuvassa 1. Tapausnäkymä, jossa näkyy keltainen palkki, jossa automaattinen hyökkäyshäiriö ryhtyi toimiin
Defender XDR käyttökokemus sisältää nyt lisää visuaalisia vihjeitä näiden automaattisten toimintojen näkyvyyden varmistamiseksi. Löydät ne seuraavista käyttökokemuksista:
Tapausjonossa:
- Hyökkäyshäiriöt-tunniste näkyy tapahtumien vieressä
Tapaussivulla:
- Tunniste nimeltä Hyökkäyshäiriöt
- Sivun yläreunassa oleva keltainen nauha, joka korostaa automaattisen toiminnon
- Nykyinen resurssin tila näkyy tapauskaaviossa, jos toiminto tehdään resurssille, esimerkiksi tili poistettu käytöstä tai laitteen sisältämä
Ohjelmointirajapinnan kautta:
(hyökkäyshäiriön) merkkijono lisätään tapausten otsikkojen loppuun suurella luotettavuudella, joka todennäköisesti häiritsee automaattisesti. Esimerkki:
BEC:n talouspetoshyökkäys käynnistetty vaarantuneelta tililtä (hyökkäyshäiriöt)
Lisätietoja on artikkelissa Hyökkäyshäiriöiden tietojen ja tulosten tarkasteleminen.
Seuraavat vaiheet
- Automaattisen hyökkäyshäiriön määrittäminen Microsoft Defender XDR
- Näytä tiedot ja tulokset
- Sähköposti-ilmoitusten saaminen vastaustoiminnoista
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle