Del via


Automatisk angrepsavbrudd i Microsoft Defender for bedrifter

Et menneskestyrt angrep er et aktivt angrep fra nettkriminelle som infiltrerer en organisasjon, løfter sine privilegier, navigerer i nettverket og distribuerer løsepengevirus eller stjeler informasjon. Denne typen angrep kan være katastrofale for forretningsoperasjoner, har en tendens til å være vanskelig å håndtere, og noen ganger fortsetter å true forretningsoperasjoner etter det første møtet. Hvis du vil ha mer informasjon, kan du se human-opererte ransomware-angrep.

For å beskytte mot menneskestyrte eller andre avanserte angrep, Microsoft Defender XDR lagt til automatiske angrepsforstyrrelser i november 2022 for bedriftskunder. Nå kommer disse funksjonene til Defender for Business! Denne artikkelen beskriver hvordan automatisk angrepsavbrudd fungerer, hvordan du viser detaljer om et angrep og hvordan du får disse funksjonene.

Slik fungerer automatisk angrepsavbrudd

Automatisk angrepsavbrudd er utformet for å:

  • Inneholder avanserte angrep som pågår.
  • Begrens virkningen og fremdriften av angrep på forretningsressursene dine (for eksempel enheter), Og
  • Gi it-/sikkerhetsteamet mer tid til å utbedre et angrep fullt ut.

Automatisk angrepsforstyrrelse bruker innsikt fra Microsofts sikkerhetsforskere og avanserte AI-modeller for å motvirke kompleksiteten i avanserte angrep. Det begrenser en trussel aktørens fremgang tidlig og dramatisk reduserer den generelle virkningen av et angrep, fra tilknyttede kostnader til tap av produktivitet. Se noen eksempler på Microsofts sikkerhetsblogg.

Med automatisk angrepsforstyrrelse, så snart et menneskestyrt angrep oppdages på en enhet, utføres det trinn umiddelbart for å inneholde den berørte enheten og brukerkontoene på enheten. En hendelse opprettes i Microsoft Defender portal (https://security.microsoft.com). Der kan IT-/sikkerhetsteamet se detaljer om risiko- og oppdemmingsstatusen for kompromitterte ressurser under og etter prosessen. En hendelsesside gir detaljer om angrepet og oppdatert status for berørte eiendeler.

Automatiserte svarhandlinger inkluderer:

  • Inneholder en enhet ved å blokkere innkommende/utgående kommunikasjon
  • Inneholder en brukerkonto ved å koble fra gjeldende brukertilkoblinger på enhetsnivå

Viktig

  • Hvis du vil vise informasjon om et oppdaget avansert angrep, må du ha tilordnet rollen sikkerhetsleser, sikkerhetsadministrator eller global administrator.
  • Hvis du vil utføre utbedringshandlinger, frigi en inneholdt enhet/bruker eller aktivere en brukerkonto på nytt, må du enten ha tilordnet rollen sikkerhetsadministrator eller global administrator.
  • Se Sikkerhetsroller og -tillatelser i Defender for Business.

Vis detaljer om et angrep i Microsoft Defender-portalen

  1. Gå til Hendelser i Microsoft Defender portalen.

  2. Velg en hendelse som er merket med Angrepsavbrudd.

  3. Se gjennom hendelsesgrafen, som gjør det mulig å få hele angrepshistorien og vurdere virkningen og statusen for angrepsforstyrrelsen.

  4. Når du er klar til å frigi en enhet eller brukerkonto, eller aktivere en brukerkonto på nytt, gjør du ett av følgende:

    • Hvis du vil frigi en inneholdt enhet, velger du enheten, og deretter velger du Frigi fra oppbevaring.
    • Hvis du vil frigi en inneholdt bruker, velger du brukerkontoen, og deretter velger du Angre i sideruten.

Forstyrrede hendelser inkluderer en kode for og den spesifikke trusseltypen som identifiseres (for Attack Disruption eksempel løsepengevirus). Hvis IT-/sikkerhetsteamet mottar e-postvarsler for hendelser, vises også disse kodene i e-postmeldingene.

Når en hendelse forstyrres, vises uthevet tekst under hendelsestittelen. Enheter eller brukerkontoer som finnes, er oppført med en etikett som angir statusen deres.

Spore handlinger for angrepsavbrudd i handlingssenteret

Handlingssenteret samler alle utbedrings- og svarhandlinger, enten disse handlingene ble utført automatisk eller manuelt. Du kan vise alle handlinger for automatiske angrepsavbrudd i handlingssenteret. Og etter at IT-/sikkerhetsteamet har redusert risikoen og fullført etterforskningen av en hendelse, kan de frigi inneholdt ressurser.

  1. Gå tilhandlingssenteret for handlinger & innsendinger> i Microsoft Defender-portalen.

  2. Velg Logg-fanen .

  3. Velg en handling, for eksempel Inneholder bruker eller Inneholder enhet, og velg deretter Angre.

Hvis du vil ha mer informasjon, kan du se Se gjennom utbedringshandlinger i handlingssenteret.

Slik får du automatisk angrepsavbrudd

Automatisk angrepsavbrudd er innebygd i Defender for Business. du trenger ikke å aktivere disse funksjonene eksplisitt. Det er viktig å ta alle enhetene i organisasjonen (datamaskiner, telefoner og nettbrett) til Defender for Business, slik at de beskyttes så snart som mulig.

I tillegg kan du registrere deg for å motta forhåndsvisningsfunksjoner , slik at du får de nyeste og beste funksjonene så snart de er tilgjengelige.