נהל את יכולת ההטעיה Microsoft Defender XDR
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור נקודת קצה
חשוב
חלק מהמידע במאמר זה מתייחס למוצרים/שירותים שהופצה מראש, שעשויים להשתנה באופן משמעותי לפני ההפצה המסחרית. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
Microsoft Defender XDR, באמצעות יכולת הטעיה מובנית, מספק זיהויים מהימנות גבוהה של תנועה צדדית המופעלת על-ידי בני אדם, ומונעת מתקפות להגיע לנכסים הקריטיים של הארגון. התקפות שונות, כגון פשרה בדואר אלקטרוני עסקי (BEC), תוכנת כופר , הפרות ארגוניות ותקפות מדינה-מדינה, משתמשות לעתים קרובות בתנועה רוחבית ועשויים להיות קשות לגילוי בביטחון גבוה בשלבים המוקדמים. Defender XDR ההטעיה של Microsoft Defender עבור נקודת קצה גבוהה.
יכולת ההטעיה יוצרת באופן אוטומטי חשבונות פענוח בעלי מראה אותנטי, מארחת ומפתה. הנכסים המזויפת שנוצרים נפרסים באופן אוטומטי ללקוחות ספציפיים. כאשר תוקף מקיים אינטראקציה עם הפתיונות או מפתה, יכולת ההטעיה מעלה התראות ברמת מהימנות גבוהה, מסייעת בחקירות של צוות האבטחה ומאפשרת להם לבחון את השיטות והאסטרטגיות של התוקף. כל ההתראות המועלות על-ידי יכולת ההטעיה מותאמות באופן אוטומטי לתקריות והן משולבות באופן מלא ב- Microsoft Defender XDR. בנוסף, טכנולוגיית ההטעיה משולבת ב- Defender for Endpoint, ומ מזעור צרכי הפריסה.
לקבלת מבט כולל על יכולת ההטעיה, צפה בסרטון הבא.
דרישות מוקדמות
הטבלה הבאה מפרטת את הדרישות כדי לאפשר את יכולת ההטעיה Microsoft Defender XDR.
| דרישה | פרטים |
|---|---|
| דרישות מנוי | אחד מה מינויים אלה: - Microsoft 365 E5 - Microsoft Security E5 - Microsoft Defender עבור נקודת קצה תוכנית 2 |
| דרישות פריסה | דרישות: - Defender for Endpoint הוא פתרון EDR - הראשי יכולות חקירה ותגובה אוטומטיות ב-Defender for Endpoint מוגדרות - מכשירים מצורפים או היברידיים מצורפים ב- Microsoft Entra - PowerShell זמין במכשירים - תכונת ההטעיה מכסה לקוחות הפועלים ב- Windows 10 RS5 ואילך בתצוגה מקדימה |
| הרשאות | אחד מהתפקידים הבאים חייב להיות מוקצה לך ב- מרכז הניהול של Microsoft Entra או ב- מרכז הניהול של Microsoft 365 כדי לקבוע את התצורה של יכולות הטעיה: - מנהל מערכת כללי - מנהל אבטחה - ניהול הגדרות מערכת פורטל |
מהי טכנולוגיית הטעיה?
טכנולוגיית הטעיה היא אמצעי אבטחה שמספק התראות מיידיות על התקפה פוטנציאלית לצוותי אבטחה, ומאפשרת להם להגיב בזמן אמת. טכנולוגיית הטעיה יוצרת נכסים מזויפים כגון מכשירים, משתמשים ומארחים שמופיעים שייכים לרשת שלך.
תוקפים המקיימים אינטראקציה עם נכסי רשת מזויפים שמוגדגים על-ידי יכולת ההטעיה יכולים לסייע לצוותי אבטחה למנוע מתקפות פוטנציאליות לפגוע בארגון ולנטר את הפעולות של התוקפים כדי שהמגנים יוכלו לשפר עוד יותר את אבטחת הסביבה שלהם.
כיצד עובדת Microsoft Defender XDR ההטעיה?
יכולת ההטעיה המוכללת ב- Microsoft Defender משתמשת בכללים כדי ליצור פתיונות ולפתות את הסביבה שלך. התכונה מחילה למידת מכונה כדי להציע פתיונות ופיתויים המותאמים לרשת שלך. באפשרותך גם להשתמש בתכונת ההטעיה כדי ליצור באופן ידני את הפתיונות ופותה. פתיונות ופתיונות אלה נפרסים לאחר מכן באופן אוטומטי ברשת שלך ונשתלים למכשירים שאתה מציין באמצעות PowerShell.
איור 1. טכנולוגיית הטעיה, באמצעות זיהויים בעלי ביטחון גבוה של תנועה צדדית המופעלת על-ידי בני אדם, מתריע על צוותי אבטחה כאשר תוקף מקיים אינטראקציה עם מארחים מזויפים או מפתה
פענוחים הם מכשירים וחשבונות מזויפים, המופיעים כשייכים לרשת שלך. פיתויים הם תוכן מזויף שנשתל במכשירים או בחשבונות ספציפיים ומשמשים למשוך תוקף. התוכן יכול להיות מסמך, קובץ תצורה, אישורים מאוחסנים במטמון או כל תוכן שתוקף יכול לקרוא, לגנוב או לקיים איתו אינטראקציה. מפתה למחוק מידע, הגדרות או אישורים חשובים של החברה.
קיימים שני סוגים של פיתויים זמינים בתכונת ההטעיה:
- פיתויים בסיסיים – מסמכים נטועים, קבצי קישור וקבצים כמו שאין להם אינטראקציה מינימלית או לא עם סביבת הלקוח.
- פיתויים מתקדמים – תוכן נטום כגון אישורים מאוחסנים במטמון וחיתוךים המגיבים לסביבת הלקוחות או מקיים איתם אינטראקציה. לדוגמה, תוקפים עשויים לקיים אינטראקציה עם אישורי פענוח שהזריקו תגובות לשאילתות Active Directory, שבהן ניתן להשתמש כדי להיכנס.
הערה
פיתויים נטועים רק ללקוחות Windows המוגדרים בטווח של כלל הטעיה. עם זאת, ניסיונות להשתמש בכל מארח או חשבון של פענוח בכל לקוח הרשום על-ידי Defender for Endpoint מעלה התראת הונאה. למד כיצד לקלוט לקוחות ב'צירוף' כדי Microsoft Defender עבור נקודת קצה. שתילת פיתויים ב- Windows Server 2016 ואילך מתוכננת לפיתוח עתידי.
באפשרותך לציין פתיונות, פיתויים והיקף בכלל הטעיה. ראה קביעת התצורה של תכונת ההטעיה כדי ללמוד עוד על יצירה ושינוי של כללי הטעיה.
כאשר תוקף משתמש בפענוח או בפיתוי לכל לקוח הכלול ב- Defender for Endpoint צירוף, יכולת ההונאה מפעילה התראה שמציינת פעילות תוקף אפשרית, בין אם ההונאה נפרסה בלקוח או לא.
זיהוי אירועים והתראות מופעלים על-ידי הטעיה
התראות המבוססות על זיהוי הונאה מכילות מטעה בכותרת. להלן כמה דוגמאות לכותרות התראה:
- ניסיון כניסה באמצעות חשבון משתמש מטעה
- ניסיון חיבור למארח מטעה
פרטי ההתראה מכילים:
- תג ההונאה
- מכשיר הפענוח או חשבון המשתמש שבו ההתראה הגיעה
- סוג ההתקפה כמו נסיונות כניסה או ניסיונות תנועה רוחביים
איור 2. פרטים של התראה הקשורה להונאה
השלב הבא
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור