Microsoft DART ransomware aanpak en best practices

Door mensen geëxploiteerde ransomware is geen schadelijk softwareprobleem - het is een menselijk crimineel probleem. De oplossingen die worden gebruikt om basisproblemen aan te pakken, zijn niet voldoende om een bedreiging te voorkomen die nauwer lijkt op een nationale bedreigingsacteur die:

• Uw antivirussoftware uitschakelen of verwijderen voordat u bestanden versleutelt
• Schakelt beveiligingsservices en logboekregistratie uit om detectie te voorkomen
• Zoekt en beschadigd of verwijdert back-ups voordat een losgeldvraag wordt verzonden

Deze acties worden meestal uitgevoerd met legitieme programma's die u mogelijk al in uw omgeving hebt voor administratieve doeleinden. In criminele handen worden deze hulpprogramma's kwaadwillend gebruikt om aanvallen uit te voeren.

Reageren op de toenemende dreiging van ransomware vereist een combinatie van moderne bedrijfsconfiguratie, up-to-date beveiligingsproducten en de bewaking van getraind beveiligingspersoneel om de bedreigingen te detecteren en erop te reageren voordat gegevens verloren gaan.

Het Microsoft Detection and Response Team (DART) reageert op beveiligingscompromitts om klanten te helpen cybertolerant te worden. DART biedt on-site reactieve reactie op incidenten en extern proactief onderzoek. DART maakt gebruik van de strategische partnerschappen van Microsoft met beveiligingsorganisaties over de hele wereld en interne Microsoft-productgroepen om het meest volledige en grondig onderzoek mogelijk te maken.

In dit artikel wordt beschreven hoe DART ransomware-aanvallen verwerkt voor Microsoft-klanten, zodat u kunt overwegen om elementen van hun benadering en best practices toe te passen voor uw eigen playbook voor beveiligingsbewerkingen.

Zie deze secties voor de details:

• Hoe DART gebruikmaakt van Microsoft-beveiligingsservices
• De DART-benadering voor het uitvoeren van onderzoek naar ransomware-incidenten
• DART-aanbevelingen en best practices

Notitie

Deze artikelinhoud is afgeleid van de A-handleiding voor het bestrijden van door mensen beheerde ransomware: Deel 1 en een gids voor het bestrijden van door mensen beheerde ransomware: Deel 2 Blogposts van het Microsoft Security-team.

Hoe DART gebruikmaakt van Microsoft-beveiligingsservices

DART is sterk afhankelijk van gegevens voor alle onderzoeken en maakt gebruik van bestaande implementaties van Microsoft-beveiligingsservices zoals Microsoft Defender voor Office 365, Microsoft Defender voor Eindpunt, Microsoft Defender for Identity en Microsoft Defender voor Cloud Apps.

Defender voor Eindpunt​

Defender for Endpoint is het enterprise Endpoint Security-platform van Microsoft dat is ontworpen om bedrijfsnetwerkbeveiligingsanalisten te helpen bij het voorkomen, detecteren, onderzoeken en reageren op geavanceerde bedreigingen. Defender voor Eindpunt kan aanvallen detecteren met behulp van geavanceerde gedragsanalyses en machine learning. Uw analisten kunnen Defender voor Eindpunt gebruiken voor gedragsanalyses van aanvallers.

Hier volgt een voorbeeld van een waarschuwing in Microsoft Defender voor Eindpunt voor een pass-the-ticket-aanval.

Uw analisten kunnen ook geavanceerde opsporingsquery's uitvoeren om indicatoren van inbreuk (IOC's) uit te schakelen of te zoeken naar bekend gedrag als ze een bedreigingsacteurgroep identificeren.

Hier volgt een voorbeeld van hoe geavanceerde opsporingsquery's kunnen worden gebruikt om bekend gedrag van aanvallers te vinden.

In Defender voor Eindpunt hebt u toegang tot een realtime bewakings- en analyseservice op expertniveau van Microsoft Threat Experts voor doorlopende verdachte actoractiviteiten. U kunt ook samenwerken met experts op aanvraag voor meer inzicht in waarschuwingen en incidenten.

Hier volgt een voorbeeld van hoe Defender voor Eindpunt gedetailleerde ransomware-activiteit weergeeft.

Defender for Identity

U gebruikt Defender for Identity om bekende gecompromitteerde accounts te onderzoeken en mogelijk gecompromitteerde accounts in uw organisatie te vinden. Defender for Identity verzendt waarschuwingen voor bekende schadelijke activiteiten die actoren vaak gebruiken, zoals DCSync-aanvallen, pogingen tot uitvoering van externe code en pass-the-hash-aanvallen. Defender for Identity stelt u in staat verdachte activiteiten en accounts vast te stellen om het onderzoek te beperken.

Hier volgt een voorbeeld van hoe Defender for Identity waarschuwingen verzendt voor bekende schadelijke activiteiten met betrekking tot ransomware-aanvallen.

Defender voor cloud-apps

Defender voor Cloud Apps (voorheen bekend als Microsoft Cloud App Security) kunnen uw analisten ongebruikelijk gedrag in cloud-apps detecteren om ransomware, gecompromitteerde gebruikers of rogue toepassingen te identificeren. Defender voor Cloud Apps is de CASB-oplossing (Cloud Access Security Broker) van Microsoft waarmee cloudservices en gegevenstoegang in cloudservices door gebruikers kunnen worden bewaakt.

Hier volgt een voorbeeld van het dashboard Defender voor Cloud Apps, waarmee analyse ongebruikelijk gedrag in cloud-apps kan detecteren.

Microsoft-beveiligingsscore

De set Microsoft Defender XDR-services biedt live herstelaanbevelingsaanbeveling om de kwetsbaarheid voor aanvallen te verminderen. Microsoft Secure Score is een meting van het beveiligingspostuur van een organisatie, met een hoger aantal dat aangeeft dat er meer verbeteringsacties zijn ondernomen. Zie de documentatie over secure score voor meer informatie over hoe uw organisatie deze functie kan gebruiken om prioriteit te geven aan herstelacties die zijn gebaseerd op hun omgeving.

De DART-benadering voor het uitvoeren van onderzoek naar ransomware-incidenten

U moet alles in het werk stellen om te bepalen hoe de kwaadwillende persoon toegang heeft gekregen tot uw assets, zodat beveiligingsproblemen kunnen worden hersteld. Anders is het zeer waarschijnlijk dat hetzelfde type aanval in de toekomst opnieuw plaatsvindt. In sommige gevallen neemt de bedreigingsacteur stappen om hun sporen te dekken en bewijs te vernietigen, zodat het mogelijk is dat de hele keten van gebeurtenissen niet duidelijk is.

Hieronder volgen drie belangrijke stappen in DART ransomware onderzoeken:

Stap	Goal	Eerste vragen
1. De huidige situatie beoordelen	Inzicht in het bereik	Wat maakte je in eerste instantie bewust van een ransomware-aanval? Hoe laat/datum hebt u het incident voor het eerst geleerd? Welke logboeken zijn beschikbaar en is er een indicatie dat de actor momenteel toegang heeft tot systemen?
2. De betrokken LOB-apps (Line-Of-Business) identificeren	Systemen weer online krijgen	Heeft de toepassing een identiteit nodig? Zijn back-ups van de toepassing, configuratie en gegevens beschikbaar? Worden de inhoud en integriteit van back-ups regelmatig gecontroleerd met behulp van een hersteloefening?
3. Het herstelproces (CR) bepalen	Het beheer van aanvallers uit de omgeving verwijderen	N.v.t.

Stap 1: De huidige situatie beoordelen

Een beoordeling van de huidige situatie is essentieel voor het begrijpen van het bereik van het incident en voor het bepalen van de beste mensen om het onderzoek en de omvang van de onderzoeks- en hersteltaken te plannen en te bepalen. Het stellen van de volgende eerste vragen is van cruciaal belang bij het bepalen van de situatie.

Wat maakte je in eerste instantie op de hoogte van de ransomware-aanval?

Als uw IT-personeel de eerste bedreiging heeft geïdentificeerd, zoals het detecteren van back-ups die worden verwijderd, antiviruswaarschuwingen, eindpuntdetectie en -respons (EDR)-waarschuwingen of verdachte systeemwijzigingen, is het vaak mogelijk om snelle beslissende maatregelen te nemen om de aanval te dwarsbomen, meestal door alle inkomende en uitgaande internetcommunicatie uit te schakelen. Deze bedreiging kan tijdelijk van invloed zijn op bedrijfsactiviteiten, maar dat zou doorgaans veel minder impactvol zijn dan een kwaadwillende implementatie van ransomware.

Als een gebruiker de bedreiging heeft geïdentificeerd door de IT-helpdesk, kan er voldoende waarschuwing vooraf zijn om defensieve maatregelen te nemen om de gevolgen van de aanval te voorkomen of te minimaliseren. Als een externe entiteit, zoals rechtshandhaving of een financiële instelling, de bedreiging heeft geïdentificeerd, is de kans groot dat de schade al wordt uitgevoerd en ziet u bewijs in uw omgeving dat de bedreigingsacteur administratieve controle over uw netwerk heeft. Dit bewijs kan variëren van ransomware notities, vergrendelde schermen of losgeld eisen.

Welke datum/tijd hebt u het incident voor het eerst geleerd?

Het vaststellen van de initiële activiteitsdatum en -tijd is belangrijk omdat het helpt het bereik van de eerste triage te beperken voor snelle overwinningen door de aanvaller. Aanvullende vragen zijn onder andere:

• Welke updates ontbreken op die datum? Het is belangrijk om te begrijpen welke beveiligingsproblemen mogelijk zijn misbruikt door de kwaadwillende persoon.
• Welke accounts zijn op die datum gebruikt?
• Welke nieuwe accounts zijn er sinds die datum gemaakt?

Welke logboeken zijn beschikbaar en is er een indicatie dat de actor momenteel toegang heeft tot systemen?

Logboeken, zoals antivirussoftware, EDR en VPN (Virtual Private Network), zijn een indicator van vermoedelijke inbreuk. Vervolgvragen kunnen zijn:

• Worden logboeken samengevoegd in een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel, Splunk, ArcSight en anderen? Wat is de bewaarperiode van deze gegevens?
• Zijn er verdachte gecompromitteerde systemen die ongebruikelijke activiteiten ondervinden?
• Zijn er verdachte gecompromitteerde accounts die actief worden gebruikt door de kwaadwillende?
• Is er bewijs van actieve opdrachten en besturingselementen (C2's) in EDR, firewall, VPN, webproxy en andere logboeken?

Als onderdeel van de beoordeling van de huidige situatie hebt u mogelijk een Active Directory-domein Services-domeincontroller (AD DS) nodig die niet is aangetast, een recente back-up van een domeincontroller of een recente domeincontroller die offline is gehaald voor onderhoud of upgrades. Bepaal ook of meervoudige verificatie (MFA) vereist is voor iedereen in het bedrijf en of Microsoft Entra-id is gebruikt.

Stap 2: De LOB-apps identificeren die niet beschikbaar zijn vanwege het incident

Deze stap is van cruciaal belang bij het bepalen van de snelste manier om systemen weer online te krijgen tijdens het verkrijgen van het vereiste bewijs.

Heeft de toepassing een identiteit nodig?

• Hoe wordt verificatie uitgevoerd?
• Hoe worden referenties, zoals certificaten of geheimen, opgeslagen en beheerd?

Zijn geteste back-ups van de toepassing, configuratie en gegevens beschikbaar?

• Worden de inhoud en integriteit van back-ups regelmatig gecontroleerd met behulp van een hersteloefening? Deze controle is met name belangrijk na wijzigingen in configuratiebeheer of versie-upgrades.

Stap 3: het herstelproces voor inbreuk bepalen

Deze stap kan nodig zijn als u hebt vastgesteld dat het besturingsvlak, meestal AD DS, is aangetast.

Uw onderzoek moet altijd een doel hebben om uitvoer te leveren die rechtstreeks in het CR-proces wordt ingevoerd. CR is het proces dat de controle van aanvallers uit een omgeving verwijdert en de beveiligingspostuur binnen een bepaalde periode tactisch verhoogt. CR vindt plaats na een beveiligingsschending. Lees de CRSP van het Microsoft Compromise Recovery Security Practice-team voor meer informatie over CR: Het noodteam dat cyberaanvallen vecht naast het blogartikel van klanten .

Nadat u de antwoorden op de vragen in stap 1 en 2 hebt verzameld, kunt u een lijst met taken maken en eigenaren toewijzen. Een belangrijke factor in een geslaagde betrokkenheid bij het reageren op incidenten is een grondige, gedetailleerde documentatie van elk werkitem (zoals de eigenaar, status, bevindingen, datum en tijd), waardoor de compilatie van bevindingen aan het einde van de afspraak een eenvoudig proces is.

DART-aanbevelingen en best practices

Hier volgen de aanbevelingen en best practices van DART voor insluitings- en incidentactiviteiten.

Containment

Insluiting kan alleen plaatsvinden wanneer u bepaalt wat er moet worden opgenomen. In het geval van ransomware is het doel van de kwaadwillende persoon referenties te verkrijgen die administratieve controle over een maximaal beschikbare server toestaan en vervolgens de ransomware implementeren. In sommige gevallen identificeert de bedreigingsacteur gevoelige gegevens en exfiltreert deze naar een locatie die ze beheren.

Tactisch herstel is uniek voor de omgeving, branche en ervaring van uw organisatie. De onderstaande stappen worden aanbevolen voor korte en tactische insluitingsstappen die uw organisatie kan uitvoeren. Zie het beveiligen van bevoegde toegang voor meer informatie over langetermijnrichtlijnen. Zie voor een uitgebreid overzicht van ransomware en afpersing en hoe u uw organisatie voorbereidt en beveiligt, ransomware die door mensen wordt beheerd.

De volgende insluitingsstappen kunnen gelijktijdig worden uitgevoerd wanneer er nieuwe bedreigingsvectoren worden gedetecteerd.

Stap 1: Het bereik van de situatie beoordelen

• Welke gebruikersaccounts zijn gecompromitteerd?
• Welke apparaten worden beïnvloed?
• Welke toepassingen worden beïnvloed?

Stap 2: bestaande systemen behouden

• Schakel alle bevoegde gebruikersaccounts uit, met uitzondering van een klein aantal accounts dat door uw beheerders wordt gebruikt om de integriteit van uw AD DS-infrastructuur opnieuw in te schakelen. Als u denkt dat een gebruikersaccount is aangetast, schakelt u dit onmiddellijk uit.
• Isoleer gecompromitteerde systemen van het netwerk, maar sluit ze niet uit.
• Isoleer ten minste één bekende goede domeincontroller in elke domein-twee is nog beter. Koppel ze los van het netwerk of sluit ze volledig af. Het object is om de verspreiding van ransomware te stoppen naar kritieke systemen-identiteit die onder de meest kwetsbare. Als al uw domeincontrollers virtueel zijn, moet u ervoor zorgen dat er een back-up wordt gemaakt van het systeem en de gegevensstations van het virtualisatieplatform naar offline externe media die niet zijn verbonden met het netwerk, voor het geval het virtualisatieplatform zelf wordt aangetast.
• Isoleer kritieke bekende goede toepassingsservers, bijvoorbeeld SAP, configuratiebeheerdatabase (CMDB), facturerings- en boekhoudsystemen.

Deze twee stappen kunnen gelijktijdig worden uitgevoerd wanneer er nieuwe bedreigingsvectoren worden gedetecteerd. Schakel deze bedreigingsvectoren uit en probeer vervolgens een bekend goed systeem te vinden om te isoleren van het netwerk.

Andere tactische insluitingsacties kunnen zijn:

• Stel het krbtgt-wachtwoord twee keer achter elkaar in. Overweeg een scripted, herhaalbaar proces te gebruiken. Met dit script kunt u het wachtwoord van het krbtgt-account en de bijbehorende sleutels opnieuw instellen, terwijl de kans op Kerberos-verificatieproblemen wordt geminimaliseerd die worden veroorzaakt door de bewerking. Om potentiële problemen te minimaliseren, kan de levensduur van krbtgt een of meer keren worden verkort voordat het eerste wachtwoord opnieuw wordt ingesteld, zodat de twee resets snel worden uitgevoerd. Houd er rekening mee dat alle domeincontrollers die u in uw omgeving wilt bewaren, online moeten zijn.

• Implementeer een groepsbeleid in de hele domein(en) die bevoegde aanmelding (domein Beheer s) voorkomt op alles behalve domeincontrollers en bevoegde werkstations met beheerdersrechten (indien van toepassing).

• Installeer alle ontbrekende beveiligingsupdates voor besturingssystemen en toepassingen. Elke ontbrekende update is een mogelijke bedreigingsvector die kwaadwillende personen snel kunnen identificeren en misbruiken. Microsoft Defender voor EindpuntBedreigings- en beveiligingsproblemenbeheer biedt een eenvoudige manier om precies te zien wat er ontbreekt, evenals de mogelijke impact van de ontbrekende updates.

  • Voor Windows 10-apparaten (of hoger) controleert u of de huidige versie (of n-1) op elk apparaat wordt uitgevoerd.

  • Implementeer regels voor het verminderen van kwetsbaarheid voor aanvallen (ASR) om malware-infectie te voorkomen.

  • Schakel alle windows 10-beveiligingsfuncties in.

• Controleer of elke externe toepassing, inclusief VPN-toegang, wordt beveiligd door meervoudige verificatie, bij voorkeur met behulp van een verificatietoepassing die wordt uitgevoerd op een beveiligd apparaat.

• Voor apparaten die Defender voor Eindpunt niet gebruiken als primaire antivirussoftware, voert u een volledige scan uit met Microsoft-beveiligingsscanner op geïsoleerde goede systemen voordat u ze opnieuw verbindt met het netwerk.

• Voor oudere besturingssystemen moet u een upgrade uitvoeren naar een ondersteund besturingssysteem of deze apparaten buiten gebruik stellen. Als deze opties niet beschikbaar zijn, moet u alle mogelijke maatregelen nemen om deze apparaten te isoleren, waaronder netwerk-/VLAN-isolatie, IPsec-regels (Internet Protocol Security) en aanmeldingsbeperkingen, zodat ze alleen toegankelijk zijn voor de toepassingen door de gebruikers/apparaten om bedrijfscontinuïteit te bieden.

De riskantste configuraties bestaan uit het uitvoeren van bedrijfskritieke systemen op verouderde besturingssystemen als Windows NT 4.0 en toepassingen, allemaal op verouderde hardware. Niet alleen zijn deze besturingssystemen en toepassingen onveilig en kwetsbaar, als die hardware uitvalt, kunnen back-ups meestal niet worden hersteld op moderne hardware. Tenzij er vervanging van verouderde hardware beschikbaar is, werken deze toepassingen niet meer. Overweeg deze toepassingen sterk te converteren om te worden uitgevoerd op huidige besturingssystemen en hardware.

Activiteiten na incidenten

DART raadt aan de volgende beveiligingsaanbevelingen en best practices na elk incident te implementeren.

• Zorg ervoor dat aanbevolen procedures zijn ingesteld voor e-mail- en samenwerkingsoplossingen om het voor aanvallers moeilijker te maken om ze te misbruiken, terwijl interne gebruikers eenvoudig en veilig toegang hebben tot externe inhoud.

• Volg de best practices voor Zero Trust-beveiliging voor externe toegangsoplossingen voor interne organisatieresources.

• Vanaf kritieke impactbeheerders volgt u de aanbevolen procedures voor accountbeveiliging, waaronder het gebruik van verificatie zonder wachtwoord of MFA.

• Implementeer een uitgebreide strategie om het risico op inbreuk op bevoegde toegang te verminderen.

  • Voor toegang tot cloud- en forest-/domeinbeheerders gebruikt u het privileged access model (PAM) van Microsoft.

  • Gebruik voor beheer van eindpunten de lokale oplossing voor beheerderswachtwoorden (LAPS).

• Implementeer gegevensbescherming om ransomwaretechnieken te blokkeren en snelle en betrouwbare herstel na een aanval te bevestigen.

• Controleer uw kritieke systemen. Controleer op beveiliging en back-ups tegen opzettelijke verwijdering of versleuteling van aanvallers. Het is belangrijk dat u deze back-ups regelmatig test en valideert.

• Snelle detectie en herstel van veelvoorkomende aanvallen op eindpunt, e-mail en identiteit garanderen.

• Ontdek en verbeter actief de beveiligingspostuur van uw omgeving.

• Werk organisatieprocessen bij om belangrijke ransomware-gebeurtenissen te beheren en uitbesteding te stroomlijnen om wrijving te voorkomen.

PAM

Het gebruik van de PAM (voorheen bekend als het gelaagde beheermodel) verbetert het beveiligingspostuur van Microsoft Entra ID. Dit omvat:

• Het opsplitsen van beheerdersaccounts in een 'planed' omgevingsaccount voor elk niveau, meestal vier:

• Besturingsvlak (voorheen Laag 0): Beheer beheer van domeincontrollers en andere cruciale identiteitsservices, zoals Active Directory Federation Services (ADFS) of Microsoft Entra Verbinding maken, waaronder ook servertoepassingen waarvoor beheerdersmachtigingen zijn vereist voor AD DS, zoals Exchange Server.

• De volgende twee vliegtuigen waren voorheen Laag 1:

  • Beheervlak: Assetbeheer, bewaking en beveiliging.

  • Gegevens/workloadvlak: toepassingen en toepassingsservers.

• De volgende twee vliegtuigen waren voorheen Laag 2:

  • Gebruikerstoegang: toegangsrechten voor gebruikers (zoals accounts).

  • App-toegang: toegangsrechten voor toepassingen.

• Elk van deze vliegtuigen heeft een afzonderlijk beheerwerkstation voor elk vliegtuig en heeft alleen toegang tot systemen in dat vlak. Andere accounts van andere vliegtuigen worden de toegang tot werkstations en servers in de andere vlakken geweigerd via toewijzingen van gebruikersrechten die zijn ingesteld op die computers.

Het nettoresultaat van de PAM is dat:

• Een gecompromitteerd gebruikersaccount heeft alleen toegang tot het vliegtuig waartoe het behoort.

• Gevoeligere gebruikersaccounts melden zich niet aan bij werkstations en servers met een lager beveiligingsniveau, waardoor zijwaartse verplaatsing wordt verminderd.

RONDEN

Microsoft Windows en AD DS hebben standaard geen gecentraliseerd beheer van lokale beheerdersaccounts op werkstations en lidservers. Dit kan resulteren in een algemeen wachtwoord dat wordt gegeven voor al deze lokale accounts, of op zijn minst in groepen computers. In deze situatie kunnen aanvallers inbreuk maken op één lokaal beheerdersaccount en dat account vervolgens gebruiken om toegang te krijgen tot andere werkstations of servers in de organisatie.

Laps van Microsoft beperkt dit door gebruik te maken van een extensie aan de clientzijde van Groepsbeleid waarmee het lokale beheerderswachtwoord regelmatig wordt gewijzigd op werkstations en servers volgens de beleidsset. Elk van deze wachtwoorden is verschillend en opgeslagen als een kenmerk in het AD DS-computerobject. Dit kenmerk kan worden opgehaald uit een eenvoudige clienttoepassing, afhankelijk van de machtigingen die aan dat kenmerk zijn toegewezen.

LAPS vereist dat het AD DS-schema wordt uitgebreid, zodat het extra kenmerk, de LAPS-groepsbeleidssjablonen moeten worden geïnstalleerd en een kleine extensie aan de clientzijde moet worden geïnstalleerd op elk werkstation en de lidserver om de functionaliteit aan de clientzijde te bieden.

U kunt LAPS downloaden via het Microsoft Downloadcentrum.

Aanvullende ransomware-bronnen

Belangrijke informatie van Microsoft:

• De groeiende bedreiging van ransomware, Microsoft On the Issues blogpost op 20 juli 2021
• Door mensen bediende ransomware
• Snel beschermen tegen ransomware en afpersing
• 2021 Microsoft Digital Defense-rapport (zie pagina's 10-19)
• Ransomware: Een overzichts- en doorlopend bedreigingsanalyserapport in de Microsoft Defender-portal
• Microsoft DART ransomware casestudy

Microsoft 365:

• Ransomware-beveiliging implementeren voor uw Microsoft 365-tenant
• Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
• Herstellen van een ransomware-aanval
• Bescherming tegen malware en ransomware
• Uw Windows 10-pc beschermen tegen ransomware
• Ransomware verwerken in SharePoint Online
• Bedreigingsanalyserapporten voor ransomware in de Microsoft Defender-portal

Microsoft Defender XDR:

• Ransomware zoeken met geavanceerde opsporing

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
• Back-up- en herstelplan ter bescherming tegen ransomware
• Beschermen tegen ransomware met Microsoft Azure Backup (video van 26 minuten)
• Herstellen van systeemidentiteitscompromittatie
• Geavanceerde detectie van aanvallen in meerdere fasen in Microsoft Sentinel
• FusionDetectie voor ransomware in Microsoft Sentinel

Microsoft Defender voor Cloud Apps:

• Beleid voor anomaliedetectie maken in Defender voor Cloud Apps

Blogberichten van het Microsoft Security-team:

• Drie stappen om ransomware te voorkomen en te herstellen (september 2021)

• Een gids voor het bestrijden van door mensen bediende ransomware: Deel 1 (september 2021)

  Belangrijke stappen voor het uitvoeren van ransomware-incidenten door Microsoft's DART.

• Een gids voor het bestrijden van door mensen bediende ransomware: Deel 2 (september 2021)

  Aanbevelingen en best practices.

• Tolerant worden door inzicht te krijgen in cyberbeveiligingsrisico's: Deel 4-navigeren door huidige bedreigingen (mei 2021)

  Zie de sectie Ransomware .

• Door mensen geëxploiteerde ransomware-aanvallen: Een voorkombare ramp (maart 2020)

  Bevat analyse van aanvalsketenanalyses van daadwerkelijke aanvallen.

• Ransomware-reactie op betalen of niet betalen? (December 2019)

• Norsk Hydro reageert op ransomware-aanval met transparantie (december 2019)