Jaa


Automaattinen hyökkäyshäiriö Microsoft Defender XDR

Koskee seuraavia:

  • Microsoft Defender XDR

Microsoft Defender XDR korreloi miljoonia yksittäisiä signaaleja tunnistaakseen aktiiviset kiristyshaittaohjelmakampanjat tai muut kehittyneet hyökkäykset ympäristössä suurella luotettavuudella. Kun hyökkäys on käynnissä, Defender XDR häiritsee hyökkäystä sisältämällä automaattisesti vaarantuneita resursseja, joita hyökkääjä käyttää automaattisen hyökkäyshäiriön kautta.

Automaattinen hyökkäyshäiriö rajoittaa sivuttaista liikkumista varhaisessa vaiheessa ja vähentää hyökkäyksen kokonaisvaikutusta, siihen liittyvistä kustannuksista tuottavuuden menetykseen. Samalla se jättää suojaustoimintaryhmät täysin hallintaansa resurssien tutkimisessa, korjaamisessa ja palauttamisessa takaisin verkkoon.

Tässä artikkelissa on yleiskatsaus automatisoiduista hyökkäyshäiriöistä ja linkkejä seuraaviin vaiheisiin ja muihin resursseihin.

Miten automaattinen hyökkäyshäiriö toimii

Automaattisen hyökkäyshäiriön tarkoituksena on sisältää käynnissä olevia hyökkäyksiä, rajoittaa vaikutusta organisaation varoihin ja antaa tietoturvatiimeille enemmän aikaa korjata hyökkäys kokonaan. Hyökkäyshäiriöt käyttävät koko laajat tunnistus- ja reagointisignaalimme (XDR) ottaen koko hyökkäyksen huomioon toimiakseen tapahtumatasolla. Tämä ominaisuus on erilainen kuin tunnetut suojausmenetelmät, kuten yhden kompromissi-indikaattorin estäminen ja estäminen.

Vaikka monet XDR- ja suojauksen orkestrointi-, automaatio- ja reagointiympäristöt (SOAR) mahdollistavat automaattisten reagointitoimintojen luomisen, automaattinen hyökkäyshäiriö on sisäänrakennettu ja käyttää Microsoftin tietoturvatutkijoiden ja kehittyneiden tekoälymallien merkityksellisiä tietoja edistyneiden hyökkäysten monimutkaisuuden torjumiseksi. Automaattinen hyökkäyshäiriö ottaa huomioon eri lähteistä peräisin olevien signaalien koko kontekstin vaarantuneiden resurssien määrittämiseksi.

Automaattinen hyökkäyshäiriö toimii kolmessa avainvaiheessa:

  • Se käyttää Defender XDR kykyä korreloida signaaleja monista eri lähteistä yksittäiseksi, erittäin luotettavaksi tapahtumaksi päätepisteiden, käyttäjätietojen, sähköposti- ja yhteistyötyökalujen ja SaaS-sovellusten merkityksellisten tietojen avulla.
  • Se tunnistaa hyökkääjän hallitsemat resurssit ja hyökkäyksen levittämiseen käytetyt resurssit.
  • Se suorittaa automaattisesti vastaustoimet asiaankuuluvissa Microsoft Defender tuotteissa, jotta hyökkäys voidaan sisältää reaaliaikaisesti eristämällä kyseiset resurssit.

Tämä peliä muuttava ominaisuus rajoittaa uhkanäyttelijän edistymistä varhaisessa vaiheessa ja vähentää dramaattisesti hyökkäyksen kokonaisvaikutusta, siihen liittyvistä kustannuksista tuottavuuden menetykseen.

Erittäin luotettavan toiminnon luominen automaattisia toimia suoritettaessa

Ymmärrämme, että automaattisten toimien suorittaminen aiheuttaa joskus epäröintiä tietoturvatiimeiltä, kun otetaan huomioon, miten se voi vaikuttaa organisaatioon. Siksi Defender XDR automaattisen hyökkäyksen häiriötoiminnot on suunniteltu luottamaan korkean tiheyden signaaleihin. Se käyttää myös Defender XDR tapausten korrelaatiota miljoonien Defenderin tuotesignaaleiden kanssa sähköpostissa, käyttäjätiedoilla, sovelluksissa, asiakirjoissa, laitteissa, verkoissa ja tiedostoissa. Microsoftin tietoturvatutkimusryhmän tuhansien tapausten jatkuvasta tutkimuksesta saat merkitykselliset tiedot varmistavat, että automaattisen hyökkäyksen häiriöillä on suuri signaalien ja melun suhde (SNR).

Tutkimukset ovat olennainen osa signaaliemme ja hyökkäyksen uhkamaiseman seurantaa laadukkaan ja tarkan suojauksen varmistamiseksi.

Vihje

Tässä artikkelissa kuvataan, miten hyökkäyshäiriöt toimivat. Lisätietoja näiden ominaisuuksien määrittämisestä on artikkelissa Hyökkäyshäiriöiden ominaisuuksien määrittäminen Microsoft Defender XDR.

Automaattiset vastaustoiminnot

Automaattinen hyökkäyshäiriö käyttää Microsoft-pohjaisia XDR-vastaustoimintoja. Esimerkkejä näistä toiminnoista ovat:

  • Laite sisältää – Microsoft Defender for Endpoint ominaisuuden perusteella tämä toiminto on epäilyttävän laitteen automaattinen eristäminen estämään saapuva/ lähtevä tietoliikenne kyseisen laitteen kanssa.

  • Poista käyttäjä käytöstä – Microsoft Defender for Identity ominaisuuden perusteella tämä toiminto on vaarantuneen tilin automaattinen keskeyttäminen, jotta estetään lisävahingot, kuten sivuttaisten liikkeiden, haittaohjelmien käyttö tai haittaohjelmien suorittaminen. Poista käyttäjän toiminto käytöstä toimii eri tavalla sen mukaan, miten käyttäjää isännöidtiin ympäristössäsi.

    • Kun käyttäjätiliä isännöidään Active Directoryssa: Defender for Identity käynnistää käyttäjän toiminnon toimialueen ohjauskoneissa, jotka suorittaa Defender for Identity -agenttia.
    • Kun käyttäjätiliä isännöidään Active Directoryssa ja se synkronoidaan Microsoft Entra ID: Defender for Identity käynnistää käyttäjän toiminnon käytöstä käyttöönoton toimialueen ohjauskoneiden kautta. Hyökkäyshäiriö poistaa käytöstä myös synkronoitujen Entra ID -tilien käyttäjätilin.
    • Kun käyttäjätiliä isännöidään vain Entra-tunnuksella (pilven alkuperäinen tili): hyökkäyshäiriö poistaa käyttäjätilin käytöstä synkronoidulla Entra ID -tilillä.

Huomautus

Käyttäjätilin poistaminen käytöstä Microsoft Entra ID ei ole riippuvainen Microsoft Defender for Identity käyttöönotosta.

  • Sisällytä käyttäjä – Microsoft Defender for Endpoint ominaisuuden perusteella tämä vastaustoiminto sisältää automaattisesti epäilyttäviä käyttäjätietoja, jotka auttavat estämään sivuttaissiirrot ja etäsalauksen, jotka liittyvät saapuvaan viestintään Defender for Endpointin perehdytetyissä laitteissa.

Lisätietoja on Microsoft Defender XDR kohdassa Korjaustoiminnot.

SAP:n automaattiset vastaustoiminnot ja Microsoft Sentinel

Jos käytät yhtenäistä suojaustoimintojen ympäristöä ja olet ottanut käyttöön Microsoft Sentinel ratkaisun SAP-sovelluksille, voit myös ottaa käyttöön automaattisen hyökkäyshäiriön SAP:lle.

Voit esimerkiksi ottaa käyttöön SAP:n hyökkäyshäiriöitä, jotka sisältävät vaarantuneita resursseja lukitsemalla epäilyttäviä SAP-käyttäjiä taloudellisen prosessin käsittelyhyökkäyksen varalta.

Kun riskiä on lievennys, Microsoft Defender järjestelmänvalvojat voivat avata manuaalisesti lukituksen käyttäjille, jotka hyökkäyshäiriön vastaus oli lukinnut automaattisesti. Mahdollisuus poistaa käyttäjien lukitus manuaalisesti on käytettävissä Microsoft Defender toimintokeskuksessa ja vain käyttäjille, jotka ovat joutuneet hyökkäyshäiriöiden lukitsemiksi.

Jos haluat käyttää hyökkäyshäiriöitä SAP:ssä, ota käyttöön uusi tietoyhdistinagentti tai varmista, että agenttisi käyttää versiota 90847355 tai uudempaa, ja määritä ja sovella sitten vaadittuja Azure- ja SAP-rooleja. Lisätietoja on seuraavissa artikkeleissa:

Kun määrität hyökkäyshäiriöitä Azure-portaali ja SAP-järjestelmässäsi, automaattinen hyökkäyshäiriön itsensä pinnat vain Microsoft Defender portaalin yhtenäisessä suojauskäyttöympäristössä.

Tunnista, milloin hyökkäyshäiriö tapahtuu ympäristössäsi

Defender XDR tapahtumasivulla näkyvät automaattiset hyökkäyshäiriötoiminnot hyökkäystarinan kautta ja keltaisen palkin ilmaisema tila (kuva 1). Tapahtuma näyttää erillisen häiriötunnisteen, korostaa tapauskaavion sisältämien resurssien tilan ja lisää toiminnon toimintokeskukseen.

Tapauksen valitseminen Microsoft Defender portaalin kuvassa 1. Tapausnäkymä, jossa näkyy keltainen palkki, jossa automaattinen hyökkäyshäiriö ryhtyi toimiin

Defender XDR käyttökokemus sisältää nyt lisää visuaalisia vihjeitä näiden automaattisten toimintojen näkyvyyden varmistamiseksi. Löydät ne seuraavista käyttökokemuksista:

  1. Tapausjonossa:

    • Hyökkäyshäiriöt-tunniste näkyy tapahtumien vieressä
  2. Tapaussivulla:

    • Tunniste nimeltä Hyökkäyshäiriöt
    • Sivun yläreunassa oleva keltainen nauha, joka korostaa automaattisen toiminnon
    • Nykyinen resurssin tila näkyy tapauskaaviossa, jos toiminto tehdään resurssille, esimerkiksi tili poistettu käytöstä tai laitteen sisältämä
  3. Ohjelmointirajapinnan kautta:

    (hyökkäyshäiriön) merkkijono lisätään tapausten otsikkojen loppuun suurella luotettavuudella, joka todennäköisesti häiritsee automaattisesti. Esimerkki:

    BEC:n talouspetoshyökkäys käynnistetty vaarantuneelta tililtä (hyökkäyshäiriöt)

Lisätietoja on artikkelissa Hyökkäyshäiriöiden tietojen ja tulosten tarkasteleminen.

Seuraavat vaiheet

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.