De mogelijkheid voor misleiding configureren in Microsoft Defender XDR
Van toepassing op:
- Microsoft Defender XDR
Notitie
De ingebouwde functie voor misleiding in Microsoft Defender XDR heeft betrekking op alle Windows-clients die zijn voorbereid op Microsoft Defender voor Eindpunt. Meer informatie over het onboarden van clients naar Defender for Endpoint in Onboard to Microsoft Defender voor Eindpunt.
Microsoft Defender XDR heeft ingebouwde misleidingstechnologie om uw omgeving te beschermen tegen aanvallen met hoge impact die gebruikmaken van door de mens bediende zijdelingse bewegingen. In dit artikel wordt beschreven hoe u de mogelijkheid voor misleiding in Microsoft Defender XDR configureert.
De mogelijkheid voor misleiding is standaard uitgeschakeld. Voer de volgende stappen uit om dit in te schakelen:
- Selecteer Instellingen>Eindpunten.
- Selecteer onder Algemeende optie Geavanceerde functies.
- Zoek naar mogelijkheden voor misleiding en zet de schakelaar op Aan.
Er wordt automatisch een standaardregel gemaakt en ingeschakeld wanneer de mogelijkheid voor misleiding is ingeschakeld. De standaardregel, die u dienovereenkomstig kunt bewerken, genereert automatisch decoy-accounts en hosts die zijn geïntegreerd in kunstaas en plant deze op alle doelapparaten in de organisatie. Hoewel het bereik van de bedrogfunctie is ingesteld op alle apparaten in de organisatie, worden lokken alleen op Windows-clientapparaten geplant.
Notitie
Microsoft Defender XDR ondersteunt momenteel het maken van maximaal tien (10) bedrogregels.
Voer de volgende stappen uit om een misleidingsregel te maken:
- Navigeer naarInstellingen-eindpunten>. Selecteer onder Regelsde optie Regels voor misleiding.
- Selecteer Bedrogregel toevoegen.
- Voeg in het deelvenster regel maken een regelnaam en beschrijving toe en selecteer welke typen aanlokkingen u wilt maken. U kunt zowel basis- als geavanceerde lustypen selecteren.
- Identificeer de apparaten waar u het kunstaas wilt planten in de bereiksectie. U kunt ervoor kiezen om kunstaas te planten op alle Windows-clientapparaten of in clients met specifieke tags. De functie voor misleiding heeft momenteel betrekking op Windows-clients.
- Het duurt dan enkele minuten voordat de misleidingsfunctie automatisch decoy-accounts en hosts genereert. Houd er rekening mee dat de misleidingsfunctie coderingsaccounts genereert die de UPN (User Principal Name) in Active Directory nabootsen.
- U kunt automatisch gegenereerde coderingsfouten bekijken, bewerken of verwijderen. U kunt in deze sectie ook uw eigen decoy-accounts en hosts toevoegen. Als u fout-positieve detecties wilt voorkomen, moet u ervoor zorgen dat toegevoegde hosts/IP-adressen niet worden gebruikt door de organisatie.
- U kunt de naam van een decoy-account, hostnaam en het IP-adres waarop de lokjes zijn geplant in de sectie lokers bewerken. Wanneer u IP-adressen toevoegt, raden we u aan een sandbox-IP-adres te gebruiken als deze bestaat in de organisatie. Vermijd het gebruik van veelgebruikte adressen, bijvoorbeeld 127.0.0.1, 10.0.0.1 en dergelijke.
Waarschuwing
Om fout-positieve waarschuwingen te voorkomen, raden we u ten zeerste aan unieke gebruikersaccounts en hostnamen te maken bij het maken en bewerken van decoy-accounts en hosts. Zorg ervoor dat gemaakte gebruikersaccounts en hosts uniek zijn voor elke misleidingsregel en dat deze accounts en hosts niet voorkomen in de directory van de organisatie.
- Bepaal of u automatisch gegenereerde of aangepaste kunstaas gebruikt in de sectie met kunstaas. Selecteer Nieuwe kunstaas toevoegen onder Aangepaste kunstaas alleen gebruiken om uw eigen kunstaas te uploaden. Aangepaste lokkingen kunnen elk bestandstype zijn (behalve .DLL en .EXE bestanden) en zijn elk beperkt tot 10 MB. Bij het maken en uploaden van aangepaste kunstaas raden we u aan om de valse hosts of valse gebruikersaccounts die in de vorige stappen zijn gegenereerd, te bevatten of te vermelden, om ervoor te zorgen dat lokroep aantrekkelijk is voor aanvallers.
- Geef een lokkernaam en een pad op waar de lokker wordt geplant. Vervolgens kunt u ervoor kiezen om het lokkertje te planten op alle apparaten die in de bereiksectie worden behandeld en als u wilt dat de lokroep als een verborgen bestand wordt geplant. Als deze vakjes niet zijn ingeschakeld, plant de functie voor misleiding de lokken die niet zichtbaar zijn automatisch in willekeurige apparaten binnen het bereik.
- Controleer de details van de gemaakte regel in de samenvattingssectie. U kunt de regeldetails bewerken door Bewerken te selecteren in de sectie die u wilt wijzigen. Selecteer Opslaan na het controleren.
- De nieuwe regel wordt weergegeven in het deelvenster Misleidingsregels nadat het is gemaakt. Het duurt ongeveer 12-24 uur om de regel te voltooien. Controleer de status om de voortgang van het maken van de regel te controleren.
- Als u de details van actieve regels wilt controleren, inclusief details van apparaten die worden gedekt en geplante lokken en lokken, selecteert u Exporteren in het deelvenster Regels.
Voer de volgende stappen uit om een misleidingsregel te wijzigen:
- Selecteer de regel die u wilt wijzigen in het deelvenster Misleidingsregels.
- Selecteer Bewerken in het deelvenster met regeldetails.
- Als u de regel wilt uitschakelen, selecteert u Uitschakelen in het bewerkingsvenster.
- Als u een misleidingsregel wilt verwijderen, selecteert u Verwijderen in het bewerkingsvenster.
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.