Megosztás a következőn keresztül:


Automatikus támadáskimaradás Microsoft Defender XDR

Érintett szolgáltatás:

  • Microsoft Defender XDR

Microsoft Defender XDR egyedi jelek millióit korrelálja az aktív zsarolóprogram-kampányok vagy más kifinomult támadások azonosításához a környezetben, nagy megbízhatósággal. Amíg egy támadás folyamatban van, Defender XDR megszakítja a támadást azáltal, hogy automatikusan tartalmazza a támadó által az automatikus támadás megszakítása során használt feltört eszközöket.

Az automatikus támadáskimaradás korlátozza a korai oldalirányú mozgást, és csökkenti a támadások általános hatását, a kapcsolódó költségektől a termelékenység csökkenéséig. Ezzel egy időben a biztonsági műveleti csapatokat teljes mértékben felügyeli a vizsgálat, a szervizelés és az eszközök online állapotba hozása terén.

Ez a cikk áttekintést nyújt az automatizált támadások megszakításáról, és hivatkozásokat tartalmaz a következő lépésekre és egyéb erőforrásokra.

Az automatikus támadás megszakításának működése

Az automatikus támadáskimaradás célja, hogy a folyamatban lévő támadásokat visszafogja, korlátozza a szervezet eszközeire gyakorolt hatást, és több időt biztosítson a biztonsági csapatok számára a támadás teljes körű elhárítására. A támadás megszakítása a kiterjesztett észlelési és reagálási (XDR) jelek teljes körét használja, figyelembe véve a teljes támadást, hogy az incidens szintjén járjon el. Ez a képesség ellentétben áll az ismert védelmi módszerekkel, például a megelőzéssel és a blokkolással, egyetlen biztonsági résre utaló jelzés alapján.

Bár számos XDR- és biztonsági vezénylési, automatizálási és reagálási (SOAR) platform teszi lehetővé az automatikus válaszműveletek létrehozását, az automatikus támadáskimaradás be van építve, és a Microsoft biztonsági kutatóinak és fejlett AI-modelljeinek megállapításait felhasználva ellensúlyozza a speciális támadások összetettségét. Az automatikus támadási zavar a különböző forrásokból érkező jelek teljes kontextusát figyelembe veszi a feltört eszközök meghatározásához.

Az automatikus támadás megszakítása három fő fázisban működik:

  • A Defender XDR segítségével számos különböző forrásból származó jeleket egyetlen, megbízható incidensbe lehet korrelálni végpontok, identitások, e-mail- és együttműködési eszközök, valamint SaaS-alkalmazások elemzésével.
  • Azonosítja a támadó által vezérelt és a támadás terjesztésére használt eszközöket.
  • Automatikusan válaszműveleteket hajt végre a megfelelő Microsoft Defender termékeken, hogy valós időben tartalmazzák a támadást az érintett objektumok elkülönítésével.

Ez a játékváltó képesség korlátozza a fenyegetés szereplője korai előrehaladását, és jelentősen csökkenti a támadás általános hatását, a kapcsolódó költségektől a termelékenység csökkenéséig.

Magabiztosság kialakítása automatikus művelet végrehajtásakor

Tisztában vagyunk azzal, hogy az automatikus műveletek végrehajtása néha a biztonsági csapatok habozásából ered, tekintettel arra, hogy milyen hatással lehet a szervezetre. Ezért a Defender XDR automatikus támadáskimaradási képességei úgy vannak kialakítva, hogy nagy pontosságú jelekre támaszkodjanak. Emellett Defender XDR incidenskorrelációját használja több millió Defender-termékjellel e-mailekben, identitásban, alkalmazásokban, dokumentumokban, eszközökön, hálózatokban és fájlokban. A Microsoft biztonsági kutatócsapatának több ezer incidens folyamatos vizsgálatából származó megállapítások biztosítják, hogy az automatikus támadásmegszakadás magas jel-zaj arányt (SNR) biztosítson.

A vizsgálatok nélkülözhetetlenek a jelek és a támadási fenyegetési környezet monitorozásához a magas minőség és a pontos védelem biztosítása érdekében.

Tipp

Ez a cikk a támadások megszakításának működését ismerteti. A képességek konfigurálásához lásd: Támadáskimaradási képességek konfigurálása Microsoft Defender XDR.

Automatizált válaszműveletek

Az automatikus támadáskimaradás Microsoft-alapú XDR-válaszműveleteket használ. Ilyen műveletek például a következők:

  • Eszköz tartalmaz – Végponthoz készült Microsoft Defender képességei alapján ez a művelet egy gyanús eszköz automatikus elszigetelése, amely blokkolja az adott eszközzel folytatott bejövő/kimenő kommunikációt.

  • Felhasználó letiltása – Microsoft Defender for Identity képességei alapján ez a művelet egy feltört fiók automatikus felfüggesztése, amely megakadályozza az olyan további károkat, mint az oldalirányú mozgás, a rosszindulatú postaláda használata vagy a kártevők végrehajtása. A letiltási felhasználói művelet eltérően viselkedik attól függően, hogy a felhasználó hogyan van üzemeltetve a környezetben.

    • Ha a felhasználói fiók az Active Directoryban van üzemeltetve: A Defender for Identity aktiválja a letiltási felhasználói műveletet a Defender for Identity ügynököt futtató tartományvezérlőkön.
    • Ha a felhasználói fiók az Active Directoryban van üzemeltetve, és szinkronizálva van a Microsoft Entra ID: A Defender for Identity aktiválja a felhasználói művelet letiltását az előkészített tartományvezérlők használatával. A támadások megszakadása emellett letiltja a felhasználói fiókot az Entra ID szinkronizált fiókjában.
    • Ha a felhasználói fiók csak Az Entra-azonosítóban (felhőbeli natív fiók) található: a támadási zavar letiltja a felhasználói fiókot az Entra ID szinkronizált fiókjában.

Megjegyzés:

A felhasználói fiók letiltása a Microsoft Entra ID-ben nem függ a Microsoft Defender for Identity üzembe helyezésétől.

  • Felhasználót tartalmaz – Végponthoz készült Microsoft Defender képességei alapján ez a válaszművelet automatikusan gyanús identitásokat tartalmaz ideiglenesen, hogy megakadályozza a Végponthoz készült Defender előkészített eszközeivel folytatott bejövő kommunikációval kapcsolatos oldalirányú mozgást és távoli titkosítást.

További információt a Microsoft Defender XDR szervizelési műveleteit ismertető cikkben talál.

Automatizált válaszműveletek az SAP-hoz Microsoft Sentinel

Ha az egyesített biztonsági üzemeltetési platformot használja, és üzembe helyezte a Microsoft Sentinel megoldást az SAP-alkalmazásokhoz, automatikus támadáskimaradást is üzembe helyezhet az SAP-hoz.

Tegyük fel például, hogy támadási fennakadást helyez üzembe az SAP-ban, hogy feltört eszközöket tartalmazzon azáltal, hogy pénzügyi folyamatmanipulációs támadás esetén zárolja a gyanús SAP-felhasználókat.

A kockázat csökkentése után Microsoft Defender rendszergazdák manuálisan feloldhatják a támadáskimaradási válasz által automatikusan zárolt felhasználók zárolását. A felhasználók manuális feloldásának lehetősége a Microsoft Defender műveletközpontban érhető el, és csak a támadási zavar által zárolt felhasználók számára.

Ha támadási fennakadást szeretne használni az SAP-ban, helyezzen üzembe egy új adatösszekötő-ügynököt, vagy győződjön meg arról, hogy az ügynök 90847355 vagy újabb verziót használ, majd rendelje hozzá és alkalmazza a szükséges Azure- és SAP-szerepköröket. További információ:

Miközben a Azure Portal és az SAP-rendszerben konfigurálja a támadás megszakítását, maga az automatikus támadáskimaradás csak a Microsoft Defender portál egységesített biztonsági műveleti platformján jelentkezik.

Annak azonosítása, hogy mikor történik támadási fennakadás a környezetben

Az Defender XDR incidensoldal a támadási történeten keresztül tükrözi az automatikus támadáskimaradási műveleteket, valamint a sárga sáv által jelzett állapotot (1. ábra). Az incidens egy dedikált megszakítási címkét jelenít meg, kiemeli az incidensgráfban található objektumok állapotát, és hozzáad egy műveletet a Műveletközponthoz.

Incidens kiválasztása a Microsoft Defender portálon 1. ábra. Incidensnézet, amely a sárga sávot mutatja, ahol az automatikus támadás megszakítása történt

A Defender XDR felhasználói élmény mostantól további vizuális jelzéseket is tartalmaz, amelyek biztosítják az automatikus műveletek láthatóságát. Ezeket a következő felületeken találhatja meg:

  1. Az incidenssorban:

    • Az érintett incidensek mellett megjelenik egy Támadási fennakadás nevű címke
  2. Az incidens oldalán:

    • A attack disruption (Támadás megszakítása) címke
    • Sárga szalagcím az oldal tetején, amely kiemeli az elvégzett automatikus műveletet
    • Az aktuális eszköz állapota akkor jelenik meg az incidens grafikonján, ha egy műveletet hajtanak végre egy objektumon, például letiltott fiókon vagy eszközben
  3. API-val:

    A rendszer hozzáad egy (támadáskimaradási) sztringet az incidensek címének végéhez, amely nagy valószínűséggel automatikusan megszakad. Például:

    BEC pénzügyi csalás támadás indított egy feltört számla (támadás megszakítása)

További információ: A támadás megszakításának részletei és az eredmények megtekintése.

Következő lépések

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.