A megtévesztési képesség kezelése a Microsoft Defender XDR-ben
Cikk
Érintett szolgáltatás:
Microsoft Defender XDR
Végponthoz készült Microsoft Defender
Fontos
A cikkben található információk egy része olyan előre kiadott termékekre/szolgáltatásokra vonatkozik, amelyek a kereskedelmi forgalomba kerülés előtt jelentősen módosulhatnak. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
A Microsoft Defender XDR beépített megtévesztési képességén keresztül magas megbízhatósági észlelést biztosít az ember által működtetett oldalirányú mozgáshoz, megakadályozva, hogy a támadások elérjék a szervezet kritikus eszközeit. A különböző támadások, például az üzleti e-mailek biztonsága (BEC), a zsarolóprogramok, a szervezeti incidensek és a nemzetállami támadások gyakran oldalirányú mozgást használnak, és a korai szakaszokban nagy megbízhatósággal nehezen észlelhetők. A Defender XDR megtévesztési technológiája nagy megbízhatósági észlelést biztosít a Végponthoz készült Microsoft Defender-jelekkel korrelált megtévesztési jelek alapján.
A megtévesztési képesség automatikusan hitelesnek látszó csalifiókokat, gazdagépeket és csalit hoz létre. A létrehozott hamis eszközök ezután automatikusan üzembe lesznek helyezve bizonyos ügyfeleken. Amikor egy támadó kommunikál a csalikkal vagy csalikkal, a megtévesztési képesség magas szintű megbízhatósági riasztásokat hoz létre, segítve a biztonsági csapat vizsgálatát, és lehetővé teszi számukra a támadó módszereinek és stratégiáinak megfigyelését. A megtévesztési képesség által generált riasztások automatikusan kapcsolódnak incidensekhez, és teljes mértékben integrálva vannak a Microsoft Defender XDR-be. Emellett a megtévesztési technológia integrálva van a Végponthoz készült Defenderbe, minimalizálva az üzembehelyezési igényeket.
A megtévesztési képesség áttekintéséhez tekintse meg az alábbi videót.
Előfeltételek
Az alábbi táblázat a Microsoft Defender XDR csalási funkciójának engedélyezésére vonatkozó követelményeket sorolja fel.
Követelmény
Részletek
Előfizetési követelmények
Az alábbi előfizetések egyike: – Microsoft 365 E5 – Microsoft Security E5 – Végponthoz készült Microsoft Defender 2. csomag
Üzembe helyezési követelmények
Követelmények: – A Végponthoz készült Defender az elsődleges EDR-megoldás - Automatizált vizsgálati és válaszképességek konfigurálása a Végponthoz készült Defenderben – Az eszközök a Microsoft Entra-ban csatlakoznak vagy hibriden csatlakoznak – A PowerShell engedélyezve van az eszközökön – A megtévesztési funkció a Windows 10 RS5-ös és újabb verzióiban előzetes verzióban működő ügyfelekre vonatkozik
A Microsoft azt javasolja, hogy a nagyobb biztonság érdekében kevesebb engedélyekkel rendelkező szerepköröket használjunk. A sok engedéllyel rendelkező globális rendszergazdai szerepkört csak vészhelyzetekben szabad használni, ha más szerepkör nem fér el.
Mi az a megtévesztési technológia?
A megtévesztési technológia olyan biztonsági intézkedés, amely azonnali riasztásokat biztosít a biztonsági csapatoknak a lehetséges támadásokról, lehetővé téve számukra, hogy valós időben válaszoljanak. A megtévesztési technológia hamis eszközöket, például eszközöket, felhasználókat és gazdagépeket hoz létre, amelyek látszólag a hálózatához tartoznak.
A megtévesztési képesség által létrehozott hamis hálózati eszközökkel kommunikáló támadók segíthetnek a biztonsági csapatoknak megakadályozni a lehetséges támadásokat a szervezet veszélyeztetésében és a támadók műveleteinek figyelésében, hogy a védők tovább javíthassák környezetük biztonságát.
Hogyan működik a Microsoft Defender XDR megtévesztési képessége?
A Microsoft Defender portál beépített megtévesztési képessége szabályokat használ a környezetnek megfelelő csali és csali létrehozásához. A funkció gépi tanulást alkalmaz a hálózatra szabott csali és csali javaslatára. A csalás funkcióval manuálisan is létrehozhatja a csalit és csalit. A csali és csali ezután automatikusan üzembe lesz helyezve a hálózaton, és a PowerShell használatával megadott eszközökre lesznek telepítve.
1. ábra. A megtévesztés technológiája az ember által működtetett oldalirányú mozgás megbízhatóságának észlelése révén riasztást küld a biztonsági csapatoknak, amikor egy támadó hamis gazdagépekkel vagy csalikkal kommunikál
A csali olyan hamis eszközök és fiókok, amelyek látszólag a hálózatához tartoznak.
A csali egy adott eszközre vagy fiókra telepített hamis tartalom, amely a támadók vonzására szolgál. A tartalom lehet egy dokumentum, egy konfigurációs fájl, a gyorsítótárazott hitelesítő adatok, vagy bármely olyan tartalom, amelyet a támadó valószínűleg elolvashat, ellophat vagy használhat. A csábítók fontos vállalati információkat, beállításokat vagy hitelesítő adatokat utánoznak.
A megtévesztés funkcióban kétféle csali érhető el:
Alapszintű csali – a telepített dokumentumok, a hivatkozásfájlok és hasonlók nem vagy csak minimálisan kommunikálnak az ügyfélkörnyezettel.
Speciális csali – olyan tartalmak telepítése, mint a gyorsítótárazott hitelesítő adatok és az ügyfélkörnyezettel kommunikáló vagy azokkal kommunikáló elfogások. Előfordulhat például, hogy a támadók olyan csali hitelesítő adatokkal kommunikálnak, amelyek az Active Directory-lekérdezésekre adott válaszokat adták meg, amelyek a bejelentkezéshez használhatók.
Megjegyzés
A csali csak a megtévesztési szabály hatókörében meghatározott Windows-ügyfeleken van elhelyezve. A végponthoz készült Defender által előkészített ügyfeleken található csali gazdagépek vagy fiókok használata azonban megtévesztési riasztást jelez. Megtudhatja, hogyan regisztrálhat ügyfeleket az Előkészítés a Végponthoz készült Microsoft Defenderbe című cikkben. A windowsos Server 2016-os és újabb rendszereken a jövőbeni fejlesztésre tervezik a csalitelepítést.
A csalási szabályban megadhatja a csalit, a csalit és a hatókört. A megtévesztési szabályok létrehozásával és módosításával kapcsolatos további információkért lásd : A megtévesztési funkció konfigurálása .
Ha egy támadó csali vagy csali egy végponthoz készült Defender által előkészített ügyfélen, a megtévesztési képesség riasztást vált ki, amely jelzi a lehetséges támadói tevékenységet, függetlenül attól, hogy a megtévesztés telepítve lett-e az ügyfélen.
A megtévesztés által aktivált incidensek és riasztások azonosítása
A megtévesztés észlelésén alapuló riasztások címében megtévesztő szerepel. Néhány példa a riasztási címekre:
Bejelentkezési kísérlet megtévesztő felhasználói fiókkal
Megtévesztő gazdagéphez való kapcsolódási kísérlet
A riasztás részletei a következőket tartalmazzák:
A Megtévesztés címke
Az a csalieszköz vagy felhasználói fiók, ahonnan a riasztás származik
A támadás típusa, például bejelentkezési kísérletek vagy oldalirányú mozgási kísérletek
2. ábra. A megtévesztéssel kapcsolatos riasztás részletei
A Microsoft Applied Skills hitelesítő adatainak megszerzéséhez a tanulók bemutatják, hogy a Microsoft Defender XDR használatával képesek észlelni és reagálni a kibertámadásokra. A hitelesítő adatokra pályázóknak tisztában kell lenniük a végpontok elleni támadásokkal kapcsolatos bizonyítékok vizsgálatával és gyűjtésével. A Végponthoz készült Microsoft Defender és a Kusto lekérdezésnyelv (KQL) használatát is tapasztalatokkal kell rendelkezniük.