Lezen in het Engels

Delen via


De mogelijkheid voor misleiding configureren in Microsoft Defender XDR

Van toepassing op:

  • Microsoft Defender XDR

Notitie

De ingebouwde functie voor misleiding in Microsoft Defender XDR heeft betrekking op alle Windows-clients die zijn voorbereid op Microsoft Defender voor Eindpunt. Meer informatie over het onboarden van clients naar Defender for Endpoint in Onboard to Microsoft Defender voor Eindpunt.

Microsoft Defender XDR heeft ingebouwde misleidingstechnologie om uw omgeving te beschermen tegen aanvallen met hoge impact die gebruikmaken van door de mens bediende zijdelingse bewegingen. In dit artikel wordt beschreven hoe u de mogelijkheid voor misleiding in Microsoft Defender XDR configureert.

De mogelijkheid voor misleiding inschakelen

De mogelijkheid voor misleiding is standaard uitgeschakeld. Voer de volgende stappen uit om dit in te schakelen:

  1. Selecteer Instellingen>Eindpunten.
  2. Selecteer onder Algemeende optie Geavanceerde functies.
  3. Zoek naar mogelijkheden voor misleiding en zet de schakelaar op Aan.

Schermopname van Defender XDR-instellingen om de functie voor misleiding te configureren

Er wordt automatisch een standaardregel gemaakt en ingeschakeld wanneer de mogelijkheid voor misleiding is ingeschakeld. De standaardregel, die u dienovereenkomstig kunt bewerken, genereert automatisch decoy-accounts en hosts die zijn geïntegreerd in kunstaas en plant deze op alle doelapparaten in de organisatie. Hoewel het bereik van de bedrogfunctie is ingesteld op alle apparaten in de organisatie, worden lokken alleen op Windows-clientapparaten geplant.

Schermopname van de standaardregel die wordt gegenereerd door de functie voor misleiding

bedrogregels Creatie en wijzigen

Notitie

Microsoft Defender XDR ondersteunt momenteel het maken van maximaal tien (10) bedrogregels.

Voer de volgende stappen uit om een misleidingsregel te maken:

  1. Navigeer naarInstellingen-eindpunten>. Selecteer onder Regelsde optie Regels voor misleiding.
  2. Selecteer Bedrogregel toevoegen. Schermopname van de functie Regel toevoegen in de instelling van de misleidingsregel
  3. Voeg in het deelvenster regel maken een regelnaam en beschrijving toe en selecteer welke typen aanlokkingen u wilt maken. U kunt zowel basis- als geavanceerde lustypen selecteren. Schermopname van de pagina misleidingsregel toevoegen
  4. Identificeer de apparaten waar u het kunstaas wilt planten in de bereiksectie. U kunt ervoor kiezen om kunstaas te planten op alle Windows-clientapparaten of in clients met specifieke tags. De functie voor misleiding heeft momenteel betrekking op Windows-clients. Schermopname van de pagina met het bereik van de misleidingsregel
  5. Het duurt dan enkele minuten voordat de misleidingsfunctie automatisch decoy-accounts en hosts genereert. Houd er rekening mee dat de misleidingsfunctie coderingsaccounts genereert die de UPN (User Principal Name) in Active Directory nabootsen.
  6. U kunt automatisch gegenereerde coderingsfouten bekijken, bewerken of verwijderen. U kunt in deze sectie ook uw eigen decoy-accounts en hosts toevoegen. Als u fout-positieve detecties wilt voorkomen, moet u ervoor zorgen dat toegevoegde hosts/IP-adressen niet worden gebruikt door de organisatie. Schermopname van de pagina misleidingsregel
  7. U kunt de naam van een decoy-account, hostnaam en het IP-adres waarop de lokjes zijn geplant in de sectie lokers bewerken. Wanneer u IP-adressen toevoegt, raden we u aan een sandbox-IP-adres te gebruiken als deze bestaat in de organisatie. Vermijd het gebruik van veelgebruikte adressen, bijvoorbeeld 127.0.0.1, 10.0.0.1 en dergelijke. Schermopname van het bewerken van een decoyhostSchermafbeelding van het bewerken van een decoy-account

Waarschuwing

Om fout-positieve waarschuwingen te voorkomen, raden we u ten zeerste aan unieke gebruikersaccounts en hostnamen te maken bij het maken en bewerken van decoy-accounts en hosts. Zorg ervoor dat gemaakte gebruikersaccounts en hosts uniek zijn voor elke misleidingsregel en dat deze accounts en hosts niet voorkomen in de directory van de organisatie.

  1. Bepaal of u automatisch gegenereerde of aangepaste kunstaas gebruikt in de sectie met kunstaas. Selecteer Nieuwe kunstaas toevoegen onder Aangepaste kunstaas alleen gebruiken om uw eigen kunstaas te uploaden. Aangepaste lokkingen kunnen elk bestandstype zijn (behalve .DLL en .EXE bestanden) en zijn elk beperkt tot 10 MB. Bij het maken en uploaden van aangepaste kunstaas raden we u aan om de valse hosts of valse gebruikersaccounts die in de vorige stappen zijn gegenereerd, te bevatten of te vermelden, om ervoor te zorgen dat lokroep aantrekkelijk is voor aanvallers. Schermopname van de optie nieuwe lokroep toevoegen
  2. Geef een lokkernaam en een pad op waar de lokker wordt geplant. Vervolgens kunt u ervoor kiezen om het lokkertje te planten op alle apparaten die in de bereiksectie worden behandeld en als u wilt dat de lokroep als een verborgen bestand wordt geplant. Als deze vakjes niet zijn ingeschakeld, plant de functie voor misleiding de lokken die niet zichtbaar zijn automatisch in willekeurige apparaten binnen het bereik. Schermopname van het detailvenster nieuwe lokroep toevoegen
  3. Controleer de details van de gemaakte regel in de samenvattingssectie. U kunt de regeldetails bewerken door Bewerken te selecteren in de sectie die u wilt wijzigen. Selecteer Opslaan na het controleren. Schermopname van het detailvenster van de misleidingsregel met de secties met de bewerkingsoptie
  4. De nieuwe regel wordt weergegeven in het deelvenster Misleidingsregels nadat het is gemaakt. Het duurt ongeveer 12-24 uur om de regel te voltooien. Controleer de status om de voortgang van het maken van de regel te controleren.
  5. Als u de details van actieve regels wilt controleren, inclusief details van apparaten die worden gedekt en geplante lokken en lokken, selecteert u Exporteren in het deelvenster Regels. Schermopname van de optie details van de exportdeceptieregel

Voer de volgende stappen uit om een misleidingsregel te wijzigen:

  1. Selecteer de regel die u wilt wijzigen in het deelvenster Misleidingsregels.
  2. Selecteer Bewerken in het deelvenster met regeldetails.
  3. Als u de regel wilt uitschakelen, selecteert u Uitschakelen in het bewerkingsvenster.
  4. Als u een misleidingsregel wilt verwijderen, selecteert u Verwijderen in het bewerkingsvenster.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.