Del via

Konfigurer bedragsevnen i Microsoft Defender XDR

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Obs!

Den innebygde bedragsevnen i Microsoft Defender XDR dekker alle Windows-klienter som er pålastet for å Microsoft Defender for endepunkt. Lær hvordan du om border klienter til Defender for endepunkt i Onboard for å Microsoft Defender for endepunkt.

Microsoft Defender XDR har bedragsteknologi innebygd for å beskytte miljøet mot angrep med høy effekt som bruker menneskelig drevet lateral bevegelse. Denne artikkelen beskriver hvordan du konfigurerer bedragsevnen i Microsoft Defender XDR.

Slå på bedragsevnen

Bedragsevnen er deaktivert som standard. Hvis du vil aktivere den, utfører du følgende trinn:

  1. Velg Innstillinger-endepunkter>.
  2. Velg Avanserte funksjoner under Generelt.
  3. Se etter bedragsfunksjoner , og sett bryteren til .

Skjermbilde av Defender XDR Innstillinger for å konfigurere bedragsfunksjonen

En standardregel opprettes og aktiveres automatisk når bedragsevnen er aktivert. Standardregelen, som du kan redigere tilsvarende, genererer automatisk lokkekontoer og verter som er integrert i lokker og planter, til alle målenheter i organisasjonen. Mens bedragfunksjonens omfang er satt til alle enheter i organisasjonen, plantes lokker bare i Windows-klientenheter.

Skjermbilde av standardregelen generert av bedragsfunksjonen

Opprett og endre bedragregler

Obs!

Microsoft Defender XDR støtter for tiden opprettelsen av opptil ti (10) bedragsregler.

Utfør følgende trinn for å opprette en bedragsregel:

  1. Gå til Innstillinger-endepunkter>. Under Regler, velg Bedrag regler.
  2. Velg Legg til bedragregel. Skjermbilde av funksjonen Legg til regel i konfigurasjonen av bedragsregler
  3. Legg til et regelnavn, en beskrivelse i ruten for oppretting av regel, og velg hvilke lokketyper som skal opprettes. Du kan velge både grunnleggende og avanserte lokketyper. Skjermbilde av siden legg til bedragsregel
  4. Identifiser enhetene der du har tenkt å plante lokkene i omfangsdelen. Du kan velge å plante lokker på alle Windows-klientenheter eller i klienter med bestemte koder. Bedragsfunksjonen dekker for øyeblikket Windows-klienter. Skjermbilde av siden for bedragsregelomfang
  5. Bedragsevnen tar deretter noen minutter å automatisk generere lokkekontoer og verter. Vær oppmerksom på at bedragsfunksjonen genererer lokkekontoer som etterligner brukerhovednavn (UPN) i Active Directory.
  6. Du kan se gjennom, redigere eller slette automatisk genererte lokkeduer. Du kan også legge til dine egne lokkekontoer og verter i denne delen. Hvis du vil forhindre falske positive gjenkjenninger, må du kontrollere at flere verter/IP-adresser ikke brukes av organisasjonen. Skjermbilde av bedragregelens lokkeside
  7. Du kan redigere et lokkekontonavn, vertsnavn og IP-adressen der lokkene er plantet i lokkeduedelen. Når du legger til IP-adresser, anbefaler vi at du bruker en IP-adresse i sandkassen hvis den finnes i organisasjonen. Unngå å bruke ofte brukte adresser, for eksempel 127.0.0.1, 10.0.0.1 og lignende. Skjermbilde av redigering av en lokkeduevertSkjermbilde av redigering av en lokkekonto

Forsiktig!

For å unngå falske positive varsler anbefaler vi på det sterkeste å opprette unike brukerkontoer og vertsnavn når du oppretter og redigerer lokkekontoer og verter. Sørg for at opprettede brukerkontoer og verter er unike for hver bedragsregel, og at disse kontoene og vertene ikke finnes i organisasjonens katalog.

  1. Identifiser om du bruker automatisk genererte eller egendefinerte lokker i lokkedelen. Velg legg til ny lokke under Bruk egendefinerte lokker bare for å laste opp din egen lokke. Egendefinerte lokker kan være alle filtyper (unntatt .DLL og .EXE filer) og er begrenset til 10 MB hver. Når du oppretter og laster opp egendefinerte lokker, anbefaler vi lokker til å inneholde eller nevne falske verter eller falske brukerkontoer generert i de forrige trinnene for å sikre at lokker er attraktive for angripere. Skjermbilde av alternativet Legg til ny lokke
  2. Gi et lokkenavn og en sti hvor lokke vil bli plantet. Du kan deretter velge å plante lokke på alle enheter som dekkes i omfanget delen, og hvis du vil lokke å bli plantet som en skjult fil. Hvis disse boksene ikke er avmerket, planter bedragsfunksjonen automatisk lokkene skjult i tilfeldige enheter innenfor omfanget. Skjermbilde av ruten Legg til ny lokkedetaljer
  3. Se gjennom detaljene for den opprettede regelen i sammendragsdelen. Du kan redigere regeldetaljene ved å velge Rediger i inndelingen du må endre. Velg Lagre etter gjennomgang. Skjermbilde av detaljruten for bedragsregel som viser inndelingene med redigeringsalternativet
  4. Den nye regelen vises i regelruten Bedrag etter vellykket oppretting. Det tar omtrent 12–24 timer å fullføre opprettingen av regelen. Kontroller statusen for å overvåke fremdriften for oppretting av regel.
  5. Hvis du vil sjekke detaljene for aktive regler, inkludert detaljer om enheter som dekkes og plantes lokkemidler og lokker, velger du Eksporter i regelruten. Skjermbilde av alternativet for detaljer om eksportbedragsregel

Hvis du vil endre en bedragsregel, utfører du følgende trinn:

  1. Velg regelen som skal endres i regler-ruten for bedrag.
  2. Velg Rediger i ruten for regeldetaljer.
  3. Hvis du vil deaktivere regelen, velger du Deaktiver i redigeringsruten.
  4. Hvis du vil slette en regel for bedrag, velger du Slett i redigeringsruten.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.