הפרעה אוטומטית בתקיפה ב- XDR של Microsoft Defender

חל על:

• Microsoft Defender XDR

Microsoft Defender XDR מתאם מיליוני אותות בודדים לזיהוי קמפיינים פעילים של תוכנת כופר או תקיפות מתוחכמות אחרות בסביבה בביטחון גבוה. בזמן שמתקפה מתבצעת, XDR של Defender משבש את ההתקפה על-ידי כך שהוא מכיל באופן אוטומטי נכסים שנחשף לסכנה שתוקף משתמש בהם באמצעות הפרעה אוטומטית בתקיפה.

הפרעה אוטומטית בתקיפה מגבילה את התנועה הצדדית בשלב מוקדם ומפחיתה את ההשפעה הכוללת של התקפה, החל מעלויות משויכת לאובדן פרודוקטיביות. בו-זמנית, הוא משאיר צוותי פעולות אבטחה בשליטה מלאה של חקירה, תיקון והחזרת נכסים למצב מקוון.

מאמר זה מספק מבט כולל על הפרעה אוטומטית בתקיפה וכולל קישורים לשלבים הבאים ולהמשאבים האחרים.

כיצד פועלת הפרעה אוטומטית בתקיפה

הפרעה אוטומטית בתקיפה נועדה להכיל התקפות בביצוע, להגביל את ההשפעה על נכסי ארגון ולספק זמן רב יותר לצוותי אבטחה לתיקון התקיפה באופן מלא. הפרעה בתקיפה משתמשת ברמת החום המלאה של האיתותים המורחבים שלנו לזיהוי ותגובה (XDR), תוך לקות בחשבון את כל ההתקפה כדי לפעול ברמת האירוע. יכולת זו שונה משיטות הגנה מוכרות, כגון מניעה וחסימה בהתבסס על מחוון יחיד של סכנה.

בעוד שפלטפורמות רבות של XDR ואבטחה, אוטומציה ותגובה (SOAR) מאפשרות לך ליצור את פעולות התגובה האוטומטיות שלך, הפרעה אוטומטית בתקיפות מוכללת ומשתמשת בתובנות של חוקרי האבטחה של Microsoft ומודלים מתקדמים של בינה מלאכותית כדי לבטל את המורכבות של מתקפות מתקדמות. הפרעה אוטומטית בתקיפה מחשיבה את ההקשר המלא של אותות ממקורות שונים כדי לקבוע נכסים שנחשף לסכנה.

הפרעה אוטומטית בתקיפה פועלת בשלושה שלבים עיקריים:

• הוא משתמש ביכולת של Defender XDR לתאם אותות ממקורות רבים ושונים לתקרית אחת בעלת ביטחון רב באמצעות תובנות מ נקודות קצה, זהויות, כלי דואר אלקטרוני ושיתוף פעולה ואפליקציות SaaS.
• הוא מזהה נכסים הנשלטים על-ידי התוקף ומשמשים להפיץ את ההתקפה.
• הוא לוקח באופן אוטומטי פעולות תגובה במוצרי Microsoft Defender רלוונטיים כדי להכיל את המתקפה בזמן אמת על-ידי מבודד נכסים מושפעים.

יכולת זו שמשנה את המשחק מגבילה את ההתקדמות של שחקן איומים בשלב מוקדם ומפחיתה באופן דרמטי את ההשפעה הכוללת של התקפה, החל מעלויות משויכות וכלה לאבדן פרודוקטיביות.

יצירת רמת ביטחון גבוהה בעת נקיטת פעולה אוטומטית

אנו מבינים שפעולות אוטומטיות מגיעות לעתים עם הי שימוש בצוותי אבטחה, לאור ההשפעה הפוטנציאלית שעשויה להיות לארגון. לכן, יכולות השיבוש האוטומטיות בתקיפה ב- Defender XDR מיועדות להת בהתבסס על אותות באיכות גבוהה. הוא משתמש גם במתאם האירועים של Defender XDR עם מיליוני אותות מוצר של Defender בדואר אלקטרוני, זהות, אפליקציות, מסמכים, מכשירים, רשתות וקבצים. תובנות מהחקירה הרציפה של אלפי מקרים על-ידי צוות מחקר האבטחה של Microsoft מבטיחות שהפרעה אוטומטית בתקיפה תשמר יחס אות לרעש (SNR) גבוה.

חקירות הן אינטגרליות לניטור האותות שלנו ואת נוף איום ההתקפה כדי להבטיח הגנה באיכות גבוהה ומדויקת.

עצה

מאמר זה מתאר כיצד פועלת הפרעה בתקיפה. כדי לקבוע את התצורה של יכולות אלה, ראה קביעת תצורה של יכולות הפרעות בתקיפה ב- Microsoft Defender XDR.

פעולות תגובה אוטומטיות

הפרעה אוטומטית בתקיפה משתמשת בפעולות תגובה מבוססות XDR של Microsoft. דוגמאות לפעולות אלה הן:

• המכשיר מכיל - בהתבסס על היכולת של Microsoft Defender for Endpoint, פעולה זו היא כלולה אוטומטית של מכשיר חשוד כדי לחסום תקשורת נכנסת/יוצאת עם המכשיר הצוין.

• הפוך את המשתמש ללא זמין - בהתבסס על היכולת של Microsoft Defender עבור זהות, פעולה זו היא השעיה אוטומטית של חשבון שנחשף לסכנה כדי למנוע נזק נוסף, כגון תנועה רוחבית, שימוש זדוני בתיבת דואר או ביצוע תוכנות זדוניות.

• מכילות משתמשים - בהתבסס על היכולת של Microsoft Defender עבור נקודת קצה, פעולת תגובה זו מכילה באופן אוטומטי זהויות חשודות באופן זמני כדי לעזור לחסום כל תנועה צדדית והצפנה מרוחקת הקשורה לתקשורת נכנסת עם Defender עבור מכשירים מחוברים של נקודת קצה.

לקבלת מידע נוסף, ראה פעולות תיקון ב - Microsoft Defender XDR.

פעולות תגובה אוטומטיות עבור SAP עם Microsoft Sentinel

אם אתה משתמש בפלטפורמת פעולות האבטחה המאוחדת ופרסת את פתרון Microsoft Sentinel עבור יישומי SAP, באפשרותך גם לפרוס הפרעות תקיפה אוטומטיות עבור SAP.

לדוגמה, פרוס הפרעה בתקיפה כדי ש- SAP יכיל נכסים שנחשף לסכנה על-ידי נעילת משתמשי SAP חשודים במקרה של התקפה של טיפול בתהליך פיננסי.

לאחר צמצום הסיכון, מנהלי מערכת של Microsoft Defender יכולים לבטל את נעילת המשתמשים שננעלו באופן אוטומטי על-ידי תגובת ההפרעה לתקיפה. היכולת לבטל את נעילת המשתמשים באופן ידני זמינה במרכז הפעולות של Microsoft Defender, ורק עבור משתמשים שננעלו על-ידי הפרעה בתקיפה.

כדי להשתמש בהפרעה לתקיפות עבור SAP, פרוס סוכן חדש של מחבר נתונים או ודא שהסוכן שלך משתמש בגירסה 90847355 ומעלה ולאחר מכן הקצה והחל את תפקידי Azure ו- SAP הדרושים. לקבלת מידע נוסף, ראה:

• פרוס וקבע את התצורה של הגורם המכיל המארח את סוכן מחבר הנתונים של SAP
• עדכן את סוכן מחבר הנתונים של SAP של Microsoft Sentinel, במיוחד עדכן את המערכת שלך להפרעות תקיפה אוטומטיות.

בעת קביעת התצורה של הפרעה בתקיפה בפורטל Azure ובמערכת SAP שלך, הפרעה אוטומטית בתקיפות עצמה תמשטח רק בפורטל Microsoft Defender.

לזהות מתי מתרחשת הפרעה בתקיפה בסביבה שלך

דף אירוע XDR של Defender ישקף את פעולות השיבוש האוטומטיות בתקיפה באמצעות סיפור התקיפה ואת המצב שצוין על-ידי פס צהוב (איור 1). האירוע מציג תגית הפרעה ייעודית, להדגיש את מצב הנכסים הכלולים בגרף תקריות ולהוסיף פעולה למרכז הפעולות.

. תצוגת אירוע המציגה את הקווים הצהובים שבהם שיבוש תקיפה אוטומטי בוצעו

חוויית המשתמש ב- XDR של Defender כוללת כעת רמזים חזותיים נוספים כדי להבטיח ניראות של פעולות אוטומטיות אלה. תוכל למצוא אותן בחוויות הבאות:

1. בתור האירועים:

   • תגית בשם 'הפרעה בתקיפה ' מופיעה לצד אירועים מושפעים

2. בדף האירוע:

   • תגית שכותרתה 'הפרעה בתקיפה'
   • כרזה צהובה בחלק העליון של הדף שמדגישה את הפעולה האוטומטית שבוצעה
   • מצב הנכס הנוכחי מוצג בגרף האירועים אם מתבצעת פעולה על נכס, לדוגמה, חשבון לא זמין או מכשיר שנכלל

3. באמצעות API:

   מחרוזת (הפרעה לתקיפות) מתווספת לסוף כותרות תקריות עם רמת ביטחון גבוהה שנובשת באופן אוטומטי. לדוגמה:

   התקפה על הונאות פיננסיות של BEC הושקה מחשבון שנחשף לסכנה (הפרעה בתקיפה)

לקבלת מידע נוסף, ראה הצגת פרטי הפרעה לתקיפות והתוצאות.

השלבים הבאים

• קביעת תצורה של הפרעה אוטומטית בתקיפה ב- Microsoft Defender XDR
• הצג פרטים ותוצאות
• קבלת הודעות דואר אלקטרוני עבור פעולות תגובה

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.