Microsoft Defender XDR petosominaisuuden määrittäminen
Koskee seuraavia:
- Microsoft Defender XDR
Huomautus
Microsoft Defender XDR sisäinen petosominaisuus kattaa kaikki Microsoft Defender for Endpoint perehdytyt Windows-asiakkaat. Lue, miten voit lisätä asiakkaita Onboardin Defender for Endpointiin ja Microsoft Defender for Endpoint.
Microsoft Defender XDR on sisäänrakennettu petostekniikka, joka suojaa ympäristöäsi iskuilta, jotka käyttävät ihmisen operoimaan sivuliikkeeseen. Tässä artikkelissa kerrotaan, miten voit määrittää Microsoft Defender XDR petoksen.
Petosominaisuus on oletusarvoisesti poissa käytöstä. Voit ottaa sen käyttöön seuraavasti:
- Valitse Asetukset>Päätepisteet.
- Valitse Yleiset-kohdastaLisäominaisuudet.
- Etsi petoksen ominaisuuksia ja vaihda kytkimen arvoksi Käytössä.
Oletussääntö luodaan automaattisesti ja otetaan käyttöön, kun petosominaisuus on käytössä. Oletussääntö, jota voit muokata vastaavasti, luo automaattisesti decoy-tilit ja isännät, jotka on integroitu vieheisiin ja kasveihin kaikkiin organisaation kohdelaitteisiin. Vaikka petosominaisuuden vaikutusalue on määritetty kaikille organisaation laitteille, vieheet istutetaan vain Windows-asiakaslaitteisiin.
Huomautus
Microsoft Defender XDR tukee tällä hetkellä enintään kymmenen (10) petossäännön luomista.
Voit luoda petossäännön seuraavasti:
- Valitse Asetukset>Päätepisteet. Valitse Säännöt-kohdastaPetossäännöt.
- Valitse Lisää petossääntö.
- Lisää säännön luontiruudussa säännön nimi, kuvaus ja valitse luotavat houkutintyypit. Voit valita sekä Perus- että Lisäasetukset-houkutintyyppejä.
- Tunnista laitteet, joihin aiot istuttaa houkuttimet vaikutusalueosioon. Voit valita vieheiden istutuksen kaikissa Windows-asiakaslaitteissa tai asiakkaissa, joilla on tietyt tunnisteet. Petosominaisuus kattaa tällä hetkellä Windows-asiakasohjelmat.
- Petosominaisuus luo sitten dekoodaustilit ja -isännät automaattisesti muutamalla minuutilla. Huomaa, että petosominaisuus luo dekoodaustilejä, jotka jäljittelevät Active Directoryn täydellisen käyttäjätunnuksen (UPN) nimeä.
- Voit tarkastella, muokata tai poistaa automaattisesti luotuja decoy-syötteitä. Voit myös lisätä omia decoy-tilejä ja -isäntiä tässä osiossa. Jos haluat estää false-positiiviset tunnistuksia, varmista, että organisaatio ei käytetä lisättyjä isäntiä/IP-osoitteita.
- Voit muokata decoy-tilin nimeä, isäntänimeä ja IP-osoitetta, johon houkutukset on istutettu decoys-osioon. Ip-osoitteita lisättäessä suosittelemme eristetyn IP-osoitteen käyttämistä, jos se on olemassa organisaatiossa. Vältä usein käytettyjen osoitteiden, kuten 127.0.0.1, 10.0.0.1, käyttämistä ja vastaaville.
Huomautus
Jotta vältät virheelliset positiiviset ilmoitukset, suosittelemme luomaan yksilöllisiä käyttäjätilejä ja isäntänimiä, kun luot ja muokkaat decoy-tilejä ja -isäntiä. Varmista, että luodut käyttäjätilit ja isännät ovat yksilöllisiä kullekin petossäännölle ja että näitä tilejä ja isäntiä ei ole organisaation hakemistossa.
- Tunnista, käytätkö automaattisesti luotuja vai mukautettuja viehejä houkutteluosiossa. Valitse Lisää uusi houkutin kohdassa Käytä mukautettuja vieheet vain ladataksesi oman houkutin. Mukautetut houkutin voi olla mitä tahansa tiedostotyyppiä (paitsi .DLL ja .EXE tiedostoja), ja kunkin tiedoston enimmäiskesto on 10 Mt. Kun luot ja lataat mukautettuja vieheitä, suosittelemme vieheitä sisältämään tai mainitsemaan edellisissä vaiheissa luodut väärennetyt isännät tai väärennetyt käyttäjätilit varmistaaksemme, että houkuttimet ovat houkuttelevia hyökkääjille.
- Anna houkutinnimi ja polku, johon houkutin istutetaan. Voit sitten valita, haluatko istuttaa houkutuksen kaikkiin laitteisiin, jotka on katettu vaikutusalueosassa, ja jos haluat, että houkutin istutetaan piilotettuna tiedostona. Jos nämä ruudut jätetään valitsematta, petosominaisuus istuttaa houkuttimet automaattisesti piilottamattomiin satunnaisiin laitteisiin vaikutusalueella.
- Tarkista luodun säännön tiedot yhteenveto-osassa. Voit muokata säännön tietoja valitsemalla Muokkaa osassa, jota sinun on muokattava. Valitse Tallenna tarkistuksen jälkeen.
- Uusi sääntö näkyy Petossäännöt-ruudussa onnistuneen luonnin jälkeen. Säännön luonti kestää noin 12–24 tuntia. Tarkista tila , jos haluat seurata säännön luonnin edistymistä.
- Jos haluat tarkistaa aktiivisten sääntöjen tiedot, mukaan lukien katetun ja istutetun decoy-koodauksen ja vieheiden tiedot, valitse Vie sääntöruudussa.
Voit muokata petossääntöä seuraavasti:
- Valitse muokattava sääntö Petossäännöt-ruudussa.
- Valitse Säännön tiedot -ruudussa Muokkaa.
- Voit poistaa säännön käytöstä valitsemalla Poista käytöstä muokkausruudussa.
- Jos haluat poistaa petossäännön, valitse muokkausruudussa Poista .
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.