Automatyczne zakłócenie ataku w Microsoft Defender dla Firm
Atak obsługiwany przez człowieka jest aktywnym atakiem cyberprzestępców, którzy infiltrują organizację, podnoszą swoje uprawnienia, nawigują po sieci i wdrażają oprogramowanie wymuszające okup lub kradną informacje. Tego typu ataki mogą być katastrofalne dla operacji biznesowych, zwykle są trudne do rozwiązania, a czasami nadal zagrażają operacjom biznesowym po początkowym spotkaniu. Aby uzyskać więcej informacji, zobacz Ataki ransomware obsługiwane przez człowieka.
Aby chronić przed atakami obsługiwanymi przez człowieka lub innymi zaawansowanymi atakami, Microsoft Defender XDR dodać automatyczne zakłócenia ataków w listopadzie 2022 r. dla klientów korporacyjnych. Teraz te możliwości są dostępne w usłudze Defender for Business! W tym artykule opisano, jak działa automatyczne zakłócanie ataków, jak wyświetlić szczegóły dotyczące ataku i jak uzyskać te możliwości.
Jak działa automatyczne zakłócenie ataku
Automatyczne zakłócanie ataków jest przeznaczone do:
- Zawierają zaawansowane ataki, które są w toku;
- Ogranicz wpływ i postęp ataków na zasoby biznesowe (takie jak urządzenia); I
- Zapewnij zespołowi IT/zespołowi ds. zabezpieczeń więcej czasu na całkowite skorygowanie ataku.
Automatyczne zakłócanie ataków wykorzystuje szczegółowe informacje od badaczy zabezpieczeń firmy Microsoft i zaawansowane modele sztucznej inteligencji w celu przeciwdziałania złożoności zaawansowanych ataków. Ogranicza postęp aktora zagrożeń na wczesnym etapie i znacznie zmniejsza ogólny wpływ ataku, od powiązanych kosztów po utratę produktywności. Zobacz kilka przykładów w blogu microsoft security.
W przypadku automatycznego zakłócenia ataku, gdy tylko na urządzeniu zostanie wykryty atak obsługiwany przez człowieka, natychmiast zostaną podjęte kroki w celu uwzględnienia na nim kont użytkowników i urządzeń, których dotyczy problem. Zdarzenie jest tworzone w portalu Microsoft Defender (https://security.microsoft.com). W tym miejscu twój zespół ds. bezpieczeństwa i bezpieczeństwa może wyświetlać szczegółowe informacje o ryzyku i stanie hermetyzowania zagrożonych zasobów w trakcie procesu i po nim. Strona Zdarzenia zawiera szczegółowe informacje o ataku i aktualnym stanie zasobów, których dotyczy problem.
Akcje automatycznej odpowiedzi obejmują:
- Zawieranie urządzenia przez blokowanie komunikacji przychodzącej/wychodzącej
- Zawieranie konta użytkownika przez odłączenie bieżących połączeń użytkownika na poziomie urządzenia
Ważna
- Aby wyświetlić informacje o wykrytym ataku zaawansowanym, musisz mieć przypisaną rolę Czytelnik zabezpieczeń, Administrator zabezpieczeń lub Administrator globalny.
- Aby wykonać akcje korygowania, zwolnić zawarte urządzenie/użytkownika lub ponownie włączyć konto użytkownika, musisz mieć przypisaną rolę administratora zabezpieczeń lub administratora globalnego.
- Zobacz Role i uprawnienia zabezpieczeń w usłudze Defender dla firm.
Wyświetlanie szczegółów dotyczących ataku w portalu Microsoft Defender
W portalu Microsoft Defender przejdź do pozycji Incydenty.
Wybierz zdarzenie oznaczone za pomocą zakłóceń ataku.
Przejrzyj wykres zdarzenia, który umożliwia uzyskanie całej historii ataku i ocenę wpływu i stanu zakłóceń ataku.
Gdy wszystko będzie gotowe do wydania zawartego urządzenia lub konta użytkownika lub ponownego włączenia konta użytkownika, wykonaj jedną z następujących czynności:
- Aby zwolnić zawarte urządzenie, wybierz urządzenie, a następnie wybierz pozycję Zwolnij z zawartego urządzenia.
- Aby zwolnić zawartego użytkownika, wybierz konto użytkownika, a następnie w okienku bocznym wybierz pozycję Cofnij.
Zdarzenia zakłócone obejmują tag i Attack Disruption określony typ zagrożenia (na przykład oprogramowanie wymuszające okup). Jeśli twój zespół ds. zabezpieczeń it/security otrzymuje powiadomienia e-mail o zdarzeniach, tagi te są również wyświetlane w wiadomościach e-mail.
Po zakłóceniu zdarzenia pod tytułem zdarzenia zostanie wyświetlony wyróżniony tekst. Zawarte urządzenia lub konta użytkowników są wyświetlane z etykietą wskazującą ich stan.
Śledzenie akcji zakłóceń ataku w Centrum akcji
Centrum akcji łączy wszystkie akcje korygowania i reagowania, niezależnie od tego, czy te akcje zostały wykonane automatycznie, czy ręcznie. Wszystkie akcje automatycznego zakłócania ataków można wyświetlić w Centrum akcji. A gdy zespół ds. bezpieczeństwa it/security znignie ryzyko i zakończy badanie zdarzenia, może zwolnić zawarte zasoby.
W portalu Microsoft Defender przejdź do obszaru Akcje & przesłania Centrum>akcji.
Wybierz kartę Historia .
Wybierz akcję, taką jak Zawiera użytkownika lub Zawiera urządzenie, a następnie wybierz pozycję Cofnij.
Aby uzyskać więcej informacji, zobacz Przeglądanie akcji korygowania w Centrum akcji.
Jak uzyskać automatyczne zakłócenie ataku
Automatyczne zakłócenie ataku jest wbudowane w usługę Defender for Business; Nie musisz jawnie włączać tych możliwości. Ważne jest, aby dołączyć wszystkie urządzenia organizacji (komputery, telefony i tablety) do usługi Defender for Business, aby były chronione tak szybko, jak to możliwe.
Ponadto zarejestruj się, aby otrzymywać funkcje w wersji zapoznawczej , aby uzyskać najnowsze i największe możliwości, gdy tylko będą dostępne.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla