Automatikus támadáskimaradás Microsoft Defender Vállalati verzió
Az ember által működtetett támadás a kiberbűnözők aktív támadása, akik beszivárognak egy szervezetbe, emelik jogosultságaikat, navigálnak a hálózaton, zsarolóprogramokat helyeznek üzembe vagy információkat lopnak. Az ilyen típusú támadások katasztrofálisak lehetnek az üzleti műveletekben, általában nehezen kezelhetők, és néha továbbra is veszélyeztetik az üzleti műveleteket a kezdeti találkozás után. További információ: Ember által működtetett zsarolóprogram-támadások.
Az ember által működtetett vagy más fejlett támadások elleni védelem érdekében Microsoft Defender XDR 2022 novemberében automatikus támadáskimaradást okozott a vállalati ügyfelek számára. Ezek a képességek most már elérhetők a Defender Vállalati verzióban! Ez a cikk ismerteti az automatikus támadáskimaradás működését, a támadás részleteinek megtekintését és a képességek beszerzését.
Az automatikus támadás megszakításának működése
Az automatikus támadáskimaradás célja:
- Speciális, folyamatban lévő támadásokat tartalmaz;
- Korlátozza az üzleti eszközökre (például eszközökre) irányuló támadások hatását és előrehaladását; És
- Adjon több időt az informatikai/biztonsági csapatnak a támadások teljes körű elhárítására.
Az automatikus támadáskimaradás a Microsoft biztonsági kutatóinak és fejlett AI-modelljeinek megállapításait felhasználva ellensúlyozza a speciális támadások összetettségét. Korlátozza a fenyegetés szereplője korai előrehaladását, és jelentősen csökkenti a támadás általános hatását, a kapcsolódó költségektől a termelékenység csökkenéséig. Tekintsen meg néhány példát a Microsoft biztonsági blogján.
Automatikus támadásmegszakadás esetén, amint egy eszközön emberi beavatkozást használó támadást észlel, azonnal lépéseket teszünk az érintett eszköz és felhasználói fiókok eszközre való feltartózásához. Az incidensek a Microsoft Defender portálon (https://security.microsoft.com) jönnek létre. Itt az informatikai/biztonsági csapat megtekintheti a feltört eszközök kockázatával és elszigetelési állapotával kapcsolatos részleteket a folyamat során és után. Az Incidensek oldal részletesen ismerteti az érintett objektumok támadását és naprakész állapotát.
Az automatikus válaszműveletek a következők:
- Eszköz tartalma a bejövő/kimenő kommunikáció blokkolásával
- Felhasználói fiók tartalma az aktuális felhasználói kapcsolatok eszközszintű leválasztásával
Fontos
- Az észlelt speciális támadásokkal kapcsolatos információk megtekintéséhez biztonsági olvasó, biztonsági rendszergazda vagy globális rendszergazda szerepkörrel kell rendelkeznie.
- A szervizelési műveletek elvégzéséhez, egy tartalmazott eszköz/felhasználó felszabadításához vagy egy felhasználói fiók újbóli engedélyezéséhez biztonsági rendszergazdai vagy globális rendszergazdai szerepkörrel kell rendelkeznie.
- Lásd: Biztonsági szerepkörök és engedélyek a Defender Vállalati verzióban.
Támadás részleteinek megtekintése a Microsoft Defender portálon
A Microsoft Defender portálon lépjen az Incidensek elemre.
Válasszon ki egy támadáskimaradás címkével ellátott incidenst.
Tekintse át az incidensgráfot, amely lehetővé teszi a teljes támadási történet lekérését, valamint a támadás megszakításának hatását és állapotát.
Ha készen áll egy tartalmazott eszköz vagy felhasználói fiók kiadására vagy egy felhasználói fiók újbóli engedélyezésére, hajtsa végre az alábbi lépések egyikét:
- A tartalmazott eszköz felszabadításához jelölje ki az eszközt, majd válassza a Kiadás az elszigetelésből lehetőséget.
- Egy tartalmazott felhasználó felszabadításához válassza ki a felhasználói fiókot, majd az oldalsó panelen válassza a Visszavonás lehetőséget.
A megszakított incidensek közé tartozik a címkéje Attack Disruption és az azonosított konkrét fenyegetéstípus (például zsarolóprogram). Ha az informatikai/biztonsági csapat incidensről értesítő e-maileket kap, ezek a címkék is megjelennek az e-mailekben.
Ha egy incidens megszakad, kiemelt szöveg jelenik meg az incidens címe alatt. A tartalmazott eszközök vagy felhasználói fiókok egy címkével vannak felsorolva, amely jelzi az állapotukat.
Támadáskimaradási műveletek nyomon követése a Műveletközpontban
A Műveletközpont egyesíti az összes javítási és válaszműveletet, függetlenül attól, hogy ezeket a műveleteket automatikusan vagy manuálisan hajtották-e végre. A műveletközpontban megtekintheti az összes automatikus támadáskimaradási műveletet. Miután az informatikai/biztonsági csapat enyhítette a kockázatot, és befejezte egy incidens kivizsgálását, felszabadíthatja a tartalmazott objektumokat.
A Microsoft Defender portálon lépjen a Műveletek & beküldések>Műveletközpontba.
Válassza az Előzmények lapot.
Jelöljön ki egy műveletet, például felhasználót vagyeszközt tartalmaz, majd válassza a Visszavonás gombot.
További információ: Szervizelési műveletek áttekintése a Műveletközpontban.
Az automatikus támadás megszakításának lekérése
Az automatikus támadáskimaradás be van építve a Defender Vállalati verzióba; ezeket a képességeket nem kell explicit módon bekapcsolnia. Fontos, hogy a szervezet összes eszközét (számítógépét, telefonját és táblagépét) a Defender for Businessbe regisztrálja, hogy a lehető leghamarabb védve legyenek.
Emellett regisztráljon az előzetes verziójú funkciók fogadására, hogy azonnal megkapja a legújabb és legjobb képességeket, amint azok elérhetővé válnak.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: