Share via

Microsoft Defender XDR petosominaisuuden määrittäminen

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Huomautus

Microsoft Defender XDR sisäinen petosominaisuus kattaa kaikki Microsoft Defender for Endpoint perehdytyt Windows-asiakkaat. Lue, miten voit lisätä asiakkaita Onboardin Defender for Endpointiin ja Microsoft Defender for Endpoint.

Microsoft Defender XDR on sisäänrakennettu petostekniikka, joka suojaa ympäristöäsi iskuilta, jotka käyttävät ihmisen operoimaan sivuliikkeeseen. Tässä artikkelissa kerrotaan, miten voit määrittää Microsoft Defender XDR petoksen.

Petoksen ominaisuuksien ottaminen käyttöön

Petosominaisuus on oletusarvoisesti poissa käytöstä. Voit ottaa sen käyttöön seuraavasti:

  1. Valitse Asetukset>Päätepisteet.
  2. Valitse Yleiset-kohdastaLisäominaisuudet.
  3. Etsi petoksen ominaisuuksia ja vaihda kytkimen arvoksi Käytössä.

Näyttökuva Defender XDR asetuksista petosominaisuuden määrittämiseksi

Oletussääntö luodaan automaattisesti ja otetaan käyttöön, kun petosominaisuus on käytössä. Oletussääntö, jota voit muokata vastaavasti, luo automaattisesti decoy-tilit ja isännät, jotka on integroitu vieheisiin ja kasveihin kaikkiin organisaation kohdelaitteisiin. Vaikka petosominaisuuden vaikutusalue on määritetty kaikille organisaation laitteille, vieheet istutetaan vain Windows-asiakaslaitteisiin.

Näyttökuva oletussäännöstä, jonka on luonut petosominaisuus

Create ja muokkaa petossääntöjä

Huomautus

Microsoft Defender XDR tukee tällä hetkellä enintään kymmenen (10) petossäännön luomista.

Voit luoda petossäännön seuraavasti:

  1. Valitse Asetukset>Päätepisteet. Valitse Säännöt-kohdastaPetossäännöt.
  2. Valitse Lisää petossääntö. Näyttökuva lisää sääntö -funktiosta petossäännön asetuksissa
  3. Lisää säännön luontiruudussa säännön nimi, kuvaus ja valitse luotavat houkutintyypit. Voit valita sekä Perus- että Lisäasetukset-houkutintyyppejä. Näyttökuva lisää petoksen sääntö -sivusta
  4. Tunnista laitteet, joihin aiot istuttaa houkuttimet vaikutusalueosioon. Voit valita vieheiden istutuksen kaikissa Windows-asiakaslaitteissa tai asiakkaissa, joilla on tietyt tunnisteet. Petosominaisuus kattaa tällä hetkellä Windows-asiakasohjelmat. Näyttökuva petossäännön vaikutusaluesivusta
  5. Petosominaisuus luo sitten dekoodaustilit ja -isännät automaattisesti muutamalla minuutilla. Huomaa, että petosominaisuus luo dekoodaustilejä, jotka jäljittelevät Active Directoryn täydellisen käyttäjätunnuksen (UPN) nimeä.
  6. Voit tarkastella, muokata tai poistaa automaattisesti luotuja decoy-syötteitä. Voit myös lisätä omia decoy-tilejä ja -isäntiä tässä osiossa. Jos haluat estää false-positiiviset tunnistuksia, varmista, että organisaatio ei käytetä lisättyjä isäntiä/IP-osoitteita. Näyttökuva petossäännön decoy-sivusta
  7. Voit muokata decoy-tilin nimeä, isäntänimeä ja IP-osoitetta, johon houkutukset on istutettu decoys-osioon. Ip-osoitteita lisättäessä suosittelemme eristetyn IP-osoitteen käyttämistä, jos se on olemassa organisaatiossa. Vältä usein käytettyjen osoitteiden, kuten 127.0.0.1, 10.0.0.1, käyttämistä ja vastaaville. Näyttökuva decoy-isännän muokkaamisestaNäyttökuva decoy-tilin muokkaamisesta

Varoitus

Jotta vältät virheelliset positiiviset ilmoitukset, suosittelemme luomaan yksilöllisiä käyttäjätilejä ja isäntänimiä, kun luot ja muokkaat decoy-tilejä ja -isäntiä. Varmista, että luodut käyttäjätilit ja isännät ovat yksilöllisiä kullekin petossäännölle ja että näitä tilejä ja isäntiä ei ole organisaation hakemistossa.

  1. Tunnista, käytätkö automaattisesti luotuja vai mukautettuja viehejä houkutteluosiossa. Valitse Lisää uusi houkutin kohdassa Käytä mukautettuja vieheet vain ladataksesi oman houkutin. Mukautetut houkutin voi olla mitä tahansa tiedostotyyppiä (paitsi .DLL ja .EXE tiedostoja), ja kunkin tiedoston enimmäiskesto on 10 Mt. Kun luot ja lataat mukautettuja vieheitä, suosittelemme vieheitä sisältämään tai mainitsemaan edellisissä vaiheissa luodut väärennetyt isännät tai väärennetyt käyttäjätilit varmistaaksemme, että houkuttimet ovat houkuttelevia hyökkääjille. Näyttökuva Lisää uusi houkutin -vaihtoehdosta
  2. Anna houkutinnimi ja polku, johon houkutin istutetaan. Voit sitten valita, haluatko istuttaa houkutuksen kaikkiin laitteisiin, jotka on katettu vaikutusalueosassa, ja jos haluat, että houkutin istutetaan piilotettuna tiedostona. Jos nämä ruudut jätetään valitsematta, petosominaisuus istuttaa houkuttimet automaattisesti piilottamattomiin satunnaisiin laitteisiin vaikutusalueella. Näyttökuva Lisää uusi houkutintiedot -ruudusta
  3. Tarkista luodun säännön tiedot yhteenveto-osassa. Voit muokata säännön tietoja valitsemalla Muokkaa osassa, jota sinun on muokattava. Valitse Tallenna tarkistuksen jälkeen. Näyttökuva petossäännön tietoruudusta, jossa näkyvät osat ja muokkausasetus
  4. Uusi sääntö näkyy Petossäännöt-ruudussa onnistuneen luonnin jälkeen. Säännön luonti kestää noin 12–24 tuntia. Tarkista tila , jos haluat seurata säännön luonnin edistymistä.
  5. Jos haluat tarkistaa aktiivisten sääntöjen tiedot, mukaan lukien katetun ja istutetun decoy-koodauksen ja vieheiden tiedot, valitse Vie sääntöruudussa. Näyttökuva vie petossäännön tiedot -vaihtoehdosta

Voit muokata petossääntöä seuraavasti:

  1. Valitse muokattava sääntö Petossäännöt-ruudussa.
  2. Valitse Säännön tiedot -ruudussa Muokkaa.
  3. Voit poistaa säännön käytöstä valitsemalla Poista käytöstä muokkausruudussa.
  4. Jos haluat poistaa petossäännön, valitse muokkausruudussa Poista .

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.