הפרעה אוטומטית בתקיפה Microsoft Defender XDR
חל על:
- Microsoft Defender XDR
Microsoft Defender XDR מתאם בין מיליוני אותות בודדים לזיהוי קמפיינים פעילים של תוכנת כופר או התקפות מתוחכמות אחרות בסביבה בביטחון גבוה. בזמן שמתקפה מתבצעת, Defender XDR משבית את ההתקפה על-ידי הכללה אוטומטית של נכסים שנחשף לסכנה שתוקף משתמש בהם באמצעות הפרעה אוטומטית בתקיפה.
הפרעה אוטומטית בתקיפה מגבילה את התנועה הצדדית בשלב מוקדם ומפחיתה את ההשפעה הכוללת של התקפה, החל מעלויות משויכת לאובדן פרודוקטיביות. בו-זמנית, הוא משאיר צוותי פעולות אבטחה בשליטה מלאה של חקירה, תיקון והחזרת נכסים למצב מקוון.
מאמר זה מספק מבט כולל על הפרעה אוטומטית בתקיפה וכולל קישורים לשלבים הבאים ולהמשאבים האחרים.
כיצד פועלת הפרעה אוטומטית בתקיפה
הפרעה אוטומטית בתקיפה נועדה להכיל התקפות בביצוע, להגביל את ההשפעה על נכסי ארגון ולספק זמן רב יותר לצוותי אבטחה לתיקון התקיפה באופן מלא. הפרעה בתקיפה משתמשת ברמת החום המלאה של האיתותים המורחבים שלנו לזיהוי ותגובה (XDR), תוך לקות בחשבון את כל ההתקפה כדי לפעול ברמת האירוע. יכולת זו שונה משיטות הגנה מוכרות, כגון מניעה וחסימה בהתבסס על מחוון יחיד של סכנה.
בעוד שפלטפורמות רבות של XDR ואבטחה, אוטומציה ותגובה (SOAR) מאפשרות לך ליצור את פעולות התגובה האוטומטיות שלך, הפרעה אוטומטית בתקיפות מוכללת ומשתמשת בתובנות של חוקרי האבטחה של Microsoft ומודלים מתקדמים של בינה מלאכותית כדי לבטל את המורכבות של מתקפות מתקדמות. הפרעה אוטומטית בתקיפה מחשיבה את ההקשר המלא של אותות ממקורות שונים כדי לקבוע נכסים שנחשף לסכנה.
הפרעה אוטומטית בתקיפה פועלת בשלושה שלבים עיקריים:
- הוא Defender XDR ביכולתו של Defender XDR לתאם אותות ממקורות רבים ושונים לתקרית אחת בעלת ביטחון רב באמצעות תובנות מ נקודות קצה, זהויות, כלי דואר אלקטרוני ושיתוף פעולה ואפליקציות SaaS.
- הוא מזהה נכסים הנשלטים על-ידי התוקף ומשמשים להפיץ את ההתקפה.
- היא מקבלת באופן אוטומטי פעולות תגובה בכל Microsoft Defender הרלוונטיים כדי להכיל את המתקפה בזמן אמת על-ידי מבודד נכסים מושפעים.
יכולת זו שמשנה את המשחק מגבילה את ההתקדמות של שחקן איומים בשלב מוקדם ומפחיתה באופן דרמטי את ההשפעה הכוללת של התקפה, החל מעלויות משויכות וכלה לאבדן פרודוקטיביות.
יצירת רמת ביטחון גבוהה בעת נקיטת פעולה אוטומטית
אנו מבינים שפעולות אוטומטיות מגיעות לעתים עם הי שימוש בצוותי אבטחה, לאור ההשפעה הפוטנציאלית שעשויה להיות לארגון. לכן, יכולות השיבוש האוטומטי בתקיפה Defender XDR מסתתמנות על אותות באיכות גבוהה. הוא גם Defender XDR במתאם של מקריות עם מיליוני אותות מוצר Defender בין דואר אלקטרוני, זהות, אפליקציות, מסמכים, מכשירים, רשתות וקבצים. תובנות מהחקירה הרציפה של אלפי מקרים על-ידי צוות מחקר האבטחה של Microsoft מבטיחות שהפרעה אוטומטית בתקיפה תשמר יחס אות לרעש (SNR) גבוה.
חקירות הן אינטגרליות לניטור האותות שלנו ואת נוף איום ההתקפה כדי להבטיח הגנה באיכות גבוהה ומדויקת.
עצה
מאמר זה מתאר כיצד פועלת הפרעה בתקיפה. כדי לקבוע את התצורה של יכולות אלה, ראה קביעת תצורה של יכולות הפרעות בתקיפה Microsoft Defender XDR.
פעולות תגובה אוטומטיות
הפרעה אוטומטית בתקיפה משתמשת בפעולות תגובה מבוססות XDR של Microsoft. דוגמאות לפעולות אלה הן:
המכשיר מכיל - בהתבסס Microsoft Defender עבור נקודת קצה של הארגון, פעולה זו היא בולה אוטומטית של מכשיר חשוד כדי לחסום תקשורת נכנסת/יוצאת עם המכשיר הצוין.
הפוך את המשתמש ללא זמין - Microsoft Defender עבור זהות יכולתו של המשתמש, פעולה זו היא השעיה אוטומטית של חשבון שנחשף לסכנה כדי למנוע נזק נוסף, כגון תנועה צדדית, שימוש זדוני בתיבות דואר או ביצוע תוכנות זדוניות. פעולת המשתמש ללא זמינה פועלת באופן שונה בהתאם לאופן שבו המשתמש מתארח בסביבה שלך.
- כאשר חשבון המשתמש מתארח ב- Active Directory: Defender for Identity מפעיל את פעולת המשתמש ללא זמינה בבקרי תחום שבהם פועל סוכן Defender for Identity.
- כאשר חשבון המשתמש מתארח ב- Active Directory ומסונכרן ב- Microsoft Entra מזהה: Defender for Identity מפעיל את פעולת המשתמש ללא זמינה באמצעות בקרי תחום מחוברים. הפרעה בתקיפה גם משביתת את חשבון המשתמש בחשבון המסונכרן עם מזהה אינטרא.
- כאשר חשבון המשתמש מתארח במזהה Entra בלבד (חשבון מקורי בענן): הפרעה בתקיפה מבטלת את חשבון המשתמש בחשבון המסונכרן Entra ID.
הערה
הפיכת חשבון המשתמש ללא זמין Microsoft Entra מזהה אינו תלוי בפריסה של Microsoft Defender עבור זהות.
- מכילות משתמש - בהתבסס על Microsoft Defender עבור נקודת קצה של Microsoft Defender עבור נקודת קצה, פעולת תגובה זו מכילה באופן אוטומטי זהויות חשודות באופן זמני כדי לעזור לחסום כל תנועה צדדית והצפנה מרוחקת הקשורה לתקשורת נכנסת עם Defender עבור התקנים מחוברים של נקודת קצה.
לקבלת מידע נוסף, ראה פעולות תיקון Microsoft Defender XDR.
פעולות תגובה אוטומטיות עבור SAP עם Microsoft Sentinel
אם אתה משתמש בפלטפורמות פעולות האבטחה המאוחדות ופרסת את פתרון Microsoft Sentinel עבור יישומי SAP, באפשרותך גם לפרוס הפרעות תקיפה אוטומטיות עבור SAP.
לדוגמה, פרוס הפרעה בתקיפה כדי ש- SAP יכיל נכסים שנחשף לסכנה על-ידי נעילת משתמשי SAP חשודים במקרה של התקפה של טיפול בתהליך פיננסי.
לאחר צמצום הסיכון, Microsoft Defender יכולים לבטל את נעילת המשתמשים שננעלו באופן אוטומטי על-ידי תגובת ההפרעה לתקיפה. היכולת לבטל את נעילת המשתמשים באופן ידני זמינה ממרכז הפעולות של Microsoft Defender, ורק עבור משתמשים שננעלו על-ידי הפרעה בתקיפה.
כדי להשתמש בהפרעה לתקיפות עבור SAP, פרוס סוכן חדש של מחבר נתונים או ודא שהסוכן שלך משתמש בגירסה 90847355 ומעלה ולאחר מכן הקצה והחל את תפקידי Azure ו- SAP הדרושים. לקבלת מידע נוסף, ראה:
- פרוס וקבע את התצורה של הגורם המכיל המארח את סוכן מחבר הנתונים של SAP
- עדכן Microsoft Sentinel מחבר הנתונים של SAP, במיוחדעדכן את המערכת שלך להפרעות תקיפה אוטומטיות.
בזמן שאתה קובע את התצורה של הפרעה בתקיפה בפורטל Azure ובמערכת SAP שלך, הפרעה אוטומטית בתקיפה עצמה מופיעה רק בפורטל Microsoft Defender.
לזהות מתי מתרחשת הפרעה בתקיפה בסביבה שלך
דף Defender XDR ישקף את פעולות השיבוש האוטומטיות בתקיפה באמצעות סיפור ההתקפה ואת המצב שצוין על-ידי פס צהוב (איור 1). האירוע מציג תגית הפרעה ייעודית, להדגיש את מצב הנכסים הכלולים בגרף תקריות ולהוסיף פעולה למרכז הפעולות.
1. תצוגת אירוע המציגה את הקווים הצהובים שבהם שיבוש תקיפה אוטומטי בוצעו
חוויית Defender XDR כוללת כעת רמזים חזותיים נוספים כדי להבטיח ניראות של פעולות אוטומטיות אלה. תוכל למצוא אותן בחוויות הבאות:
בתור האירועים:
- תגית בשם 'הפרעה בתקיפה ' מופיעה לצד אירועים מושפעים
בדף האירוע:
- תגית שכותרתה 'הפרעה בתקיפה'
- כרזה צהובה בחלק העליון של הדף שמדגישה את הפעולה האוטומטית שבוצעה
- מצב הנכס הנוכחי מוצג בגרף האירועים אם מתבצעת פעולה על נכס, לדוגמה, חשבון לא זמין או מכשיר שנכלל
באמצעות API:
מחרוזת (הפרעה לתקיפות) מתווספת לסוף כותרות תקריות עם רמת ביטחון גבוהה שנובשת באופן אוטומטי. לדוגמה:
התקפה על הונאות פיננסיות של BEC הושקה מחשבון שנחשף לסכנה (הפרעה בתקיפה)
לקבלת מידע נוסף, ראה הצגת פרטי הפרעה לתקיפות והתוצאות.
השלבים הבאים
- קובע את התצורה של הפרעה אוטומטית בתקיפה Microsoft Defender XDR
- הצג פרטים ותוצאות
- קבלת הודעות דואר אלקטרוני עבור פעולות תגובה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.