שתף באמצעות

ניהול יכולת ההטעיה ב- Microsoft Defender XDR

  • מאמר

חל על:

  • Microsoft Defender XDR
  • Microsoft Defender עבור נקודת קצה

חשוב

חלק מהמידע במאמר זה מתייחס למוצרים/שירותים שהופצה מראש, שעשויים להשתנה באופן משמעותי לפני ההפצה המסחרית. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

ה- XDR של Microsoft Defender, באמצעות יכולת המוכללת של הטעיה, מספק זיהויים בעלי ביטחון גבוה של תנועה צדדית המופעלת על-ידי בני אדם, ומונעת מתקפות להגיע לנכסים הקריטיים של הארגון. התקפות שונות, כגון פשרה בדואר אלקטרוני עסקי (BEC), תוכנת כופר , הפרות ארגוניות ותקפות מדינה-מדינה, משתמשות לעתים קרובות בתנועה רוחבית ועשויים להיות קשות לגילוי בביטחון גבוה בשלבים המוקדמים. טכנולוגיית ההטעיה של Defender XDR מספקת זיהויים בעלי ביטחון גבוה בהתבסס על אותות הטעיה הקשורים לאותות של Microsoft Defender עבור נקודות קצה.

יכולת ההטעיה יוצרת באופן אוטומטי חשבונות פענוח בעלי מראה אותנטי, מארחת ומפתה. הנכסים המזויפת שנוצרים נפרסים באופן אוטומטי ללקוחות ספציפיים. כאשר תוקף מקיים אינטראקציה עם הפתיונות או מפתה, יכולת ההטעיה מעלה התראות ברמת מהימנות גבוהה, מסייעת בחקירות של צוות האבטחה ומאפשרת להם לבחון את השיטות והאסטרטגיות של התוקף. כל ההתראות המועלות על-ידי יכולת ההטעיה מותאמות באופן אוטומטי למקריות ומשולבות באופן מלא ב- Microsoft Defender XDR. בנוסף, טכנולוגיית ההטעיה משולבת ב- Defender for Endpoint, ומ מזעור צרכי הפריסה.

לקבלת מבט כולל על יכולת ההטעיה, צפה בסרטון הבא.

דרישות מוקדמות

הטבלה הבאה מפרטת את הדרישות כדי לאפשר את יכולת ההטעיה ב- Microsoft Defender XDR.

דרישה פרטים
דרישות מנוי אחד מה מינויים אלה:
- Microsoft 365 E5
- Microsoft Security E5
- Microsoft Defender for Endpoint Plan 2
דרישות פריסה דרישות:
- Defender for Endpoint הוא פתרון EDR -
הראשי יכולות חקירה ותגובה אוטומטיות ב-Defender for Endpoint
מוגדר - מכשירים מצורפים או היברידיים מצורפים ב- Microsoft Entra
- PowerShell
זמין במכשירים - תכונת ההטעיה מכסה לקוחות הפועלים ב- Windows 10 RS5 ואילך בתצוגה מקדימה
הרשאות אחד התפקידים הבאים חייב להיות מוקצה במרכז הניהול של Microsoft Entra או במרכז הניהול של Microsoft 365 כדי לקבוע את התצורה של יכולות הטעיה:
- מנהל מערכת כללי -
מנהל
אבטחה - ניהול הגדרות מערכת של פורטל

הערה

Microsoft ממליצה להשתמש בתפקידים עם פחות הרשאות לאבטחה טובה יותר. יש להשתמש בתפקיד מנהל מערכת כללי, בעל הרשאות רבות, רק במצבי חירום כאשר אין תפקיד אחר שמתאים לו.

מהי טכנולוגיית הטעיה?

טכנולוגיית הטעיה היא אמצעי אבטחה שמספק התראות מיידיות על התקפה פוטנציאלית לצוותי אבטחה, ומאפשרת להם להגיב בזמן אמת. טכנולוגיית הטעיה יוצרת נכסים מזויפים כגון מכשירים, משתמשים ומארחים שמופיעים שייכים לרשת שלך.

תוקפים המקיימים אינטראקציה עם נכסי רשת מזויפים שמוגדגים על-ידי יכולת ההטעיה יכולים לסייע לצוותי אבטחה למנוע מתקפות פוטנציאליות לפגוע בארגון ולנטר את הפעולות של התוקפים כדי שהמגנים יוכלו לשפר עוד יותר את אבטחת הסביבה שלהם.

כיצד פועלת יכולת ההטעיה של Microsoft Defender XDR?

יכולת ההטעיה המוכללת בפורטל Microsoft Defender משתמשת בכללים כדי ליצור פענוחים ולפתות את הסביבה שלך. התכונה מחילה למידת מכונה כדי להציע פתיונות ופיתויים המותאמים לרשת שלך. באפשרותך גם להשתמש בתכונת ההטעיה כדי ליצור באופן ידני את הפתיונות ופותה. פתיונות ופתיונות אלה נפרסים לאחר מכן באופן אוטומטי ברשת שלך ונשתלים למכשירים שאתה מציין באמצעות PowerShell.

צילום מסך של התקפה עם תנועה רוחבית והמיקום שבו הטעיה מיירטת את ההתקפה

איור 1. טכנולוגיית הטעיה, באמצעות זיהויים בעלי ביטחון גבוה של תנועה צדדית המופעלת על-ידי בני אדם, מתריע על צוותי אבטחה כאשר תוקף מקיים אינטראקציה עם מארחים מזויפים או מפתה

פענוחים הם מכשירים וחשבונות מזויפים, המופיעים כשייכים לרשת שלך. פיתויים הם תוכן מזויף שנשתל במכשירים או בחשבונות ספציפיים ומשמשים למשוך תוקף. התוכן יכול להיות מסמך, קובץ תצורה, אישורים מאוחסנים במטמון או כל תוכן שתוקף יכול לקרוא, לגנוב או לקיים איתו אינטראקציה. מפתה למחוק מידע, הגדרות או אישורים חשובים של החברה.

קיימים שני סוגים של פיתויים זמינים בתכונת ההטעיה:

  • פיתויים בסיסיים – מסמכים נטועים, קבצי קישור וקבצים כמו שאין להם אינטראקציה מינימלית או לא עם סביבת הלקוח.
  • פיתויים מתקדמים – תוכן נטום כגון אישורים מאוחסנים במטמון וחיתוךים המגיבים לסביבת הלקוחות או מקיים איתם אינטראקציה. לדוגמה, תוקפים עשויים לקיים אינטראקציה עם אישורי פענוח שהזריקו תגובות לשאילתות Active Directory, שבהן ניתן להשתמש כדי להיכנס.

הערה

פיתויים נטועים רק ללקוחות Windows המוגדרים בטווח של כלל הטעיה. עם זאת, ניסיונות להשתמש בכל מארח או חשבון של פענוח בכל לקוח הרשום על-ידי Defender for Endpoint מעלה התראת הונאה. למד כיצד לקלוט לקוחות בצירוף ל- Microsoft Defender for Endpoint. שתילת פיתויים ב- Windows Server 2016 ואילך מתוכננת לפיתוח עתידי.

באפשרותך לציין פתיונות, פיתויים והיקף בכלל הטעיה. ראה קביעת התצורה של תכונת ההטעיה כדי ללמוד עוד על יצירה ושינוי של כללי הטעיה.

כאשר תוקף משתמש בפענוח או בפיתוי לכל לקוח הכלול ב- Defender for Endpoint צירוף, יכולת ההונאה מפעילה התראה שמציינת פעילות תוקף אפשרית, בין אם ההונאה נפרסה בלקוח או לא.

זיהוי אירועים והתראות מופעלים על-ידי הטעיה

התראות המבוססות על זיהוי הונאה מכילות מטעה בכותרת. להלן כמה דוגמאות לכותרות התראה:

  • ניסיון כניסה באמצעות חשבון משתמש מטעה
  • ניסיון חיבור למארח מטעה

פרטי ההתראה מכילים:

  • תג ההונאה
  • מכשיר הפענוח או חשבון המשתמש שבו ההתראה הגיעה
  • סוג ההתקפה כמו נסיונות כניסה או ניסיונות תנועה רוחביים

צילום מסך של התראת הונאה המסמנת את התג ואת הניסיון

איור 2. פרטים של התראה הקשורה להונאה

השלב הבא

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.