הפרעה אוטומטית בתקיפה Microsoft Defender

Microsoft Defender מתאם בין מיליוני אותות בודדים לזיהוי קמפיינים פעילים של תוכנת כופר או התקפות מתוחכמות אחרות בסביבה בביטחון גבוה. בזמן שמתקפה מתבצעת, Defender משבש את ההתקפה על-ידי הכללה אוטומטית של נכסים שנחשף לסכנה שתוקף משתמש בהם באמצעות הפרעה אוטומטית בתקיפה.

הפרעה אוטומטית בתקיפה מגבילה את התנועה הצדדית בשלב מוקדם ומפחיתה את ההשפעה הכוללת של התקפה, החל מעלויות משויכת לאובדן פרודוקטיביות. בו-זמנית, הוא משאיר צוותי פעולות אבטחה בשליטה מלאה של חקירה, תיקון והחזרת נכסים למצב מקוון.

מאמר זה מספק מבט כולל על הפרעה אוטומטית בתקיפה וכולל קישורים לשלבים הבאים ולהמשאבים האחרים.

עצה

מאמר זה מתאר כיצד פועלת הפרעה בתקיפה. כדי לקבוע את התצורה של יכולות אלה, ראה קביעת תצורה של יכולות הפרעות בתקיפה Microsoft Defender.

כיצד פועלת הפרעה אוטומטית בתקיפה

הפרעה אוטומטית בתקיפה נועדה להכיל התקפות בביצוע, להגביל את ההשפעה על נכסי ארגון ולספק זמן רב יותר לצוותי אבטחה לתיקון התקיפה באופן מלא. הפרעה בתקיפה משתמשת ברמת החום המלאה של האיתותים המורחבים שלנו לזיהוי ותגובה (XDR), תוך לקות בחשבון את כל ההתקפה כדי לפעול ברמת האירוע. יכולת זו שונה משיטות הגנה מוכרות, כגון מניעה וחסימה בהתבסס על מחוון יחיד של סכנה.

בעוד שפלטפורמות רבות של XDR ואבטחה, אוטומציה ותגובה (SOAR) מאפשרות לך ליצור את פעולות התגובה האוטומטיות שלך, הפרעה אוטומטית בתקיפות מוכללת ומשתמשת בתובנות של חוקרי האבטחה של Microsoft ומודלים מתקדמים של בינה מלאכותית כדי לבטל את המורכבות של מתקפות מתקדמות. הפרעה אוטומטית בתקיפה מחשיבה את ההקשר המלא של אותות ממקורות שונים כדי לקבוע נכסים שנחשף לסכנה.

הפרעה אוטומטית בתקיפה פועלת בשלושה שלבים עיקריים:

• הוא Microsoft Defender יכולתו של Microsoft Defender לתאם אותות ממקורות רבים ושונים לתקרית אחת בעלת ביטחון רב באמצעות תובנות מ נקודות קצה, זהויות, כלי דואר אלקטרוני ושיתוף פעולה ואפליקציות SaaS.
• הוא מזהה נכסים הנשלטים על-ידי התוקף ומשמשים להפיץ את ההתקפה.
• היא מקבלת באופן אוטומטי פעולות תגובה בכל Microsoft Defender הרלוונטיים כדי להכיל את המתקפה בזמן אמת על-ידי הכללה וה השבתה של נכסים מושפעים.

יכולת זו שמשנה את המשחק מגבילה את ההתקדמות של שחקן איומים בשלב מוקדם ומפחיתה באופן דרמטי את ההשפעה הכוללת של התקפה, החל מעלויות משויכות וכלה לאבדן פרודוקטיביות.

כיצד Defender יוצר ביטחון לפעולה אוטומטית

צוותי אבטחה עשויים להסס כאשר מערכות נבצעות פעולה אוטומטית מכיוון שפעולות תגובה עשויות להשפיע על פעולות עסקיות. הפרעות תקיפה אוטומטיות מטפלות בחשש זה על-ידי שימוש באותות אמינות גבוהה ומתאם ברמת אירוע בנתונים אמיתיים מדואר אלקטרוני, זהות, אפליקציות, מסמכים, מכשירים, רשתות וקבצים.

מהימנות בהפרעה אוטומטית בתקיפה מתייחסת לדיוק הגלאי, הנמדד לפי יחס אות לרעש (SNR). עבור פעולות בולה, Defender שומר על רמת ביטחון של 99% ומעלה בהתבסס על נתוני ייצור אמיתיים. Defender מעריך כל פגיעה של כל גלאי נגד קבוצה רחבה של מחוונים כדי לסווג תוצאות חיוביות ותוצאה חיובית מוטעית על-ידי שילוב פלטים של למידת מכונה, התאמה בין עומסי עבודה וסיווג מקריים בהובלת מומחים.

Defender מאמת גלאים במצב ביקורת לפני ההפצה רחבה ומתפרס בהדרגה רק גלאים העומדים בדרישות האיכות הקפדניות. תהליך זה שואף לשמור על תוצאות חיוביות מוטעות נמוכות תוך שמירה על השיבוש האפקטיבי של התקפות פעילות. גלאי השיבוש מוערכים באופן רציף ודינאמי כדי לשמור על איכות וביטחון בזיהוי.

מומחי האבטחה של Microsoft בודקים באופן רציף את פעילות ההפרעות, מנטרים חריגות ולהעריך את ההשפעה כדי לשמר את איכות הזיהוי לאורך זמן.

בנוסף, צוות האבטחה יכול לבטל את כל הפעולות האוטומטיות, כך שאתה שומר על שליטה מלאה על הסביבה שלך. לקבלת מידע נוסף, ראה פרטים והתוצאות של פעולת הפרעה אוטומטית בתקיפה.

כיצד הפרעה בתקיפה משתמשת בבינה מלאכותית

הפרעה בתקיפות בינה מלאכותית משתמשת בהרכב של מודלים וגאים שנבנו על-ידי מטרה שפותחו ברחבי Microsoft Defender הסוויטה. יכולות אלה מותאמות ומעודנות באמצעות מקורות נתונים מרובים, כולל:

• מדידת שימוש של עומס עבודה מותתאם של Defender
• בינת איומים של Microsoft
• מקרים עבר ולמידה לאחר ניתוח לאחר מקרה מלקוחות Microsoft

הפלטפורמה משתמשת בגישות מרובות של למידת מכונה, כולל מודלים של גרפים, עצי החלטות מוגדלים, רשתות עצביות ומודלים ייעודיים של שפה קטנה (SLMs), כדי לשפר את איכות הזיהוי ואת דיוק הפעולה.

איכות המודל והמגלה נשמרת באמצעות מחזורי הנדסה ואימות רציפה במקום נקודת שחרור סטטית אחת. לפני הפריסה רחבה, גלאים חדשים בתהליך אימות קפדני של קדם-הפצה ופריסה בשלבים. איכות מתמשכת נתמכת על-ידי מומחים בסקירה של החלטות בינה מלאכותית וכיסוי תגובה תפעולית 24 שעות ביממה, 7 שעות ביממה, עבור התנהגות חריגה.

פעולות תגובה אוטומטיות

הפרעה אוטומטית בתקיפה משתמשת בפעולות תגובה מבוססות XDR של Microsoft. דוגמאות לפעולות אלה הן:

• המכשיר מכיל - בהתבסס Microsoft Defender עבור נקודת קצה של הארגון, פעולה זו היא בולה אוטומטית של מכשיר חשוד כדי לחסום תקשורת נכנסת/יוצאת עם המכשיר הצוין.

  • בנוסף, Defender for Endpoint מכיל באופן אוטומטי כתובות IP זדוניות המשויכות למכשירים לא גילוי/לא מחוברים כדי לחסום כל פעילות צדדית של תנועה והצפנה אל מכשירים אחרים מסוג Defender for Endpoint-onboarded/discovered. הוא עושה זאת באמצעות מדיניות Contain IP (Preview) שלה. בנוסף לכך, כתובות ה- IP של נכסים קריטיים שנחשף לסכנה נמצאות גם באופן אוטומטי במנגנוני חסימה ספציפיים כדי לעצור את התפשטות התקיפה תוך הימנעות מאובדן פרודוקטיביות.

• לבודד מכשיר (תצוגה מקדימה) - בהתבסס על Microsoft Defender עבור נקודת קצה של Microsoft Defender עבור נקודת קצה, פעולה זו מבודדת באופן אוטומטי התקן שנחשף לסכנה מהרשת כאשר ניתוח המקרה מציין בביטחון גבוה שהמכשיר נמצא בשימוש כבעל רגל פעיל. רוב תעבורת הרשת חסומה בזמן שהמכשיר נשאר מחובר אל שירותי האבטחה הנדרשים לצורך חקירה ותיקון. הבידוד מוגבל לזמן ונכלל רק במכשירים המעורבים באירוע. מפעילי האבטחה יכולים לשחרר את הבידוד בכל עת לאחר השלמת החקירה.

• הפוך את המשתמש ללא זמין Microsoft Defender עבור זהות יכולתו של המשתמש, פעולה זו היא השעיה אוטומטית של חשבון שנחשף לסכנה כדי למנוע נזק נוסף, כגון תנועה רוחבית, שימוש זדוני בתיבת דואר או ביצוע תוכנות זדוניות.

  Defender for Identity מאפשר פעולות תיקון עבור משתמשים מ- Active Directory, Microsoft Entra ID וספקי זהויות משולבים. פעולת המשתמש הפוך ללא זמין פועלת באופן שונה בהתאם לאופן שבו המשתמש מתארח בסביבה שלך.

  • כאשר חשבון המשתמש מתארח ב- Active Directory: Defender for Identity מפעיל את פעולת המשתמש ללא זמינה בבקרי תחום שבהם פועל חיישן Defender for Identity.
  • כאשר חשבון המשתמש מתארח ב- Active Directory ומסונכרן עם Microsoft Entra ID: Defender for Identity מפעיל את פעולת המשתמש ללא זמינה באמצעות בקרי תחום מחוברים. הפרעה בתקיפה גם משביתת את חשבון המשתמש Microsoft Entra ID.
  • כאשר חשבון המשתמש מתארח ב- Microsoft Entra ID בלבד (חשבון מקורי בענן): Defender for Identity מבצע את פעולת המשתמש ללא זמינה ב- Microsoft Entra ID באמצעות יישום ארגוני מנוהל על-ידי Microsoft. יישום זה מאמת את התפקידים וההרשאות שהוקצו למשתמש המחובר באמצעות בקרת גישה מבוססת תפקיד (RBAC) לפני הפיכת החשבון ללא זמין.

  ליישום הארגוני יש שם והוא Microsoft Defender עבור זהות משתמש במזהה יישום 60ca1954‑583c‑4d1f‑86de‑39d835f3e452. בדיירים ישנים יותר, יישום זה עשוי להופיע כ- Radius Aad Syncer.

  הערה

  הפיכת חשבון המשתמש ללא Microsoft Entra ID אינו תלוי בפריסה של Microsoft Defender עבור זהות.

• מכילות משתמש - בהתבסס על Microsoft Defender עבור נקודת קצה של Microsoft Defender עבור נקודת קצה, פעולת תגובה זו מכילה באופן אוטומטי זהויות חשודות באופן זמני כדי לעזור לחסום כל תנועה צדדית והצפנה מרוחקת הקשורה לתקשורת נכנסת עם Defender עבור התקנים מחוברים של נקודת קצה.

  Defender for Endpoint אוכף את כללי המשתמשים בשכבת נקודת הקצה ולא הופך את החשבון אצל ספק הזהויות ללא זמין. Defender for Endpoint חוסם את השימוש בתוקף בזהויות שנחשף לסכנה במכשירים מוגנים ומגביל גישה מבוססת אימות, גישה למערכת הקבצים נתיבים של תקשורת רשת.

  פעולה זו מחילה פקדים ברמה פרטנית, כך ש- Microsoft יכולה לייעד פעילות הקשורה לתקיפות ולשמר תקשורת עסקית רגילה כאשר הדבר אפשרי.

לקבלת מידע נוסף, ראה פעולות תיקון Microsoft Defender.

לזהות מתי מתרחשת הפרעה בתקיפה בסביבה שלך

דף Microsoft Defender ישקף את פעולות הפרעות ההתקפה האוטומטיות באמצעות סיפור ההתקפה ואת המצב שצוין על-ידי פס צהוב (איור 1). האירוע מציג תגית הפרעה ייעודית, להדגיש את מצב הנכסים הכלולים בגרף תקריות ולהוסיף פעולה למרכז הפעולות.

1. תצוגת אירוע המציגה את הקווים הצהובים שבהם שיבוש תקיפה אוטומטי בוצעו

חוויית Microsoft Defender כוללת כעת רמזים חזותיים נוספים כדי להבטיח ניראות של פעולות אוטומטיות אלה. תוכל למצוא אותן בחוויות הבאות:

1. בתור האירועים:

   • תגית בשם 'הפרעה בתקיפה ' מופיעה לצד אירועים מושפעים

2. בדף האירוע:

• תגית שכותרתה 'הפרעה בתקיפה'
• כרזה צהובה בחלק העליון של הדף שמדגישה את הפעולה האוטומטית שבוצעה
• מצב הנכס הנוכחי מוצג בגרף האירועים אם מתבצעת פעולה על נכס, לדוגמה, חשבון לא זמין או מכשיר שנכלל
• העמודה מצב מדיניות (תצוגה מקדימה) בכרטיסיה פעילויות מציגה את המצב הנוכחי של כל הפעולות והמדיניות הרלוונטיים לתקריות. סינון לפי ספק: הפרעה בתקיפה ומצב מדיניות: פעיל, לא פעיל, ללא מצב להצגת מצב של מדיניות הפרעה.

3. באמצעות API:

   מחרוזת (הפרעה לתקיפות) מתווספת לסוף כותרות תקריות עם רמת ביטחון גבוהה שנובשת באופן אוטומטי. לדוגמה:

   התקפה על הונאות פיננסיות של BEC הושקה מחשבון שנחשף לסכנה (הפרעה בתקיפה)

לקבלת מידע נוסף, ראה הצגת פרטי הפרעה לתקיפות והתוצאות.

השלבים הבאים

• קביעת תצורה של הפרעה אוטומטית בתקיפה
• הצג פרטים ותוצאות
• קבלת הודעות דואר אלקטרוני עבור פעולות תגובה

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.