Blokowanie i ograniczanie behawioralne

Dotyczy: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Co to jest blokowanie i powstrzymywanie zachowań?

Dzisiejszy krajobraz zagrożeń jest opanowany przez złośliwe oprogramowanie bez plików , które żyje poza ziemią, wysoce polimorficzne zagrożenia, które mutują szybciej niż tradycyjne rozwiązania, mogą nadążyć za atakami obsługiwanymi przez człowieka, które dostosowują się do tego, co przeciwnicy znajdują na zagrożonych urządzeniach. Tradycyjne rozwiązania zabezpieczeń nie są wystarczające do powstrzymania takich ataków; Potrzebujesz możliwości wspieranych przez sztuczną inteligencję (AI) i uczenie maszynowe (ML), takich jak blokowanie i powstrzymywanie zachowań, zawarte w usłudze Defender for Endpoint.

Funkcje blokowania i powstrzymywania zachowań mogą pomóc w identyfikowaniu i zatrzymywaniu zagrożeń na podstawie ich zachowań i drzew przetwarzania, nawet jeśli zagrożenie już się zaczęło. Funkcje i składniki i funkcje następnej generacji, EDR i Defender for Endpoint współpracują ze sobą w zakresie blokowania i powstrzymywania zachowań.

Funkcje blokowania behawioralnego i powstrzymywania działają z wieloma składnikami i funkcjami usługi Defender for Endpoint, aby natychmiast zatrzymać ataki i zapobiec postępowi ataków.

Ochrona następnej generacji (w tym program antywirusowy Microsoft Defender) może wykrywać zagrożenia, analizując zachowania i zatrzymując uruchamianie zagrożeń.
Wykrywanie i reagowanie na punkty końcowe (EDR) odbiera sygnały zabezpieczeń w sieci, urządzeniach i zachowaniu jądra. W miarę wykrywania zagrożeń tworzone są alerty. Wiele alertów tego samego typu jest agregowanych w zdarzenia, co ułatwia zespołowi ds. operacji zabezpieczeń badanie i reagowanie.
Usługa Defender for Endpoint ma szeroką gamę optyk w różnych tożsamościach, wiadomościach e-mail, danych i aplikacjach, a także sygnały dotyczące zachowania sieci, punktu końcowego i jądra odbierane za pośrednictwem EDR. Składnik Microsoft Defender XDR, usługa Defender for Endpoint przetwarza i koreluje te sygnały, zgłasza alerty wykrywania i łączy powiązane alerty w zdarzeniach.

Dzięki tym możliwościom można zapobiec lub zablokować więcej zagrożeń, nawet jeśli zaczną one działać. Za każdym razem, gdy zostanie wykryte podejrzane zachowanie, zagrożenie zostanie ograniczone, alerty zostaną utworzone, a zagrożenia zostaną zatrzymane w ich śladach.

Na poniższej ilustracji przedstawiono przykład funkcji blokowania behawioralnego i hermetyzowania wyzwalających alert:

Wymagania wstępne

Obsługiwane systemy operacyjne

System Windows

Składniki blokowania behawioralnego i hermetyzowania

Reguły zmniejszania obszaru ataków opartego na zasadach (ASR) na kliencie Zapobiegaj wstępnie zdefiniowanym, typowym zachowaniom aplikacji w przypadku ataków. Aby monitorować wykrywanie reguł usługi ASR, zobacz Monitorowanie działania reguły zmniejszania obszaru ataków (ASR).
Blokowanie zachowania klienta Zagrożenia w punktach końcowych są wykrywane za pośrednictwem uczenia maszynowego, a następnie są automatycznie blokowane i korygowane. (Blokowanie zachowania klienta jest domyślnie włączone).
Blokowanie pętli sprzężenia zwrotnego (nazywane również szybką ochroną) Wykrywanie zagrożeń jest obserwowane za pośrednictwem analizy behawioralnej. Zagrożenia są zatrzymywane i nie mogą działać w innych punktach końcowych. (Blokowanie pętli opinii jest domyślnie włączone).
Wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku Złośliwe artefakty lub zachowania obserwowane za pośrednictwem ochrony po naruszeniu zabezpieczeń są blokowane i zawarte. EDR w trybie bloku działa, nawet jeśli program antywirusowy Microsoft Defender nie jest podstawowym rozwiązaniem antywirusowym. (Funkcja EDR w trybie bloku nie jest domyślnie włączona; włączasz ją w Microsoft Defender XDR).

Spodziewaj się więcej w obszarze blokowania i powstrzymywania zachowań, ponieważ firma Microsoft nadal ulepsza funkcje i możliwości ochrony przed zagrożeniami. Aby zobaczyć, co jest planowane i wdrażane teraz, zapoznaj się z planem platformy Microsoft 365.

Przykłady blokowania i powstrzymywania zachowań w działaniu

Funkcje blokowania i powstrzymywania zachowań zablokowały następujące techniki atakujące:

Dumping poświadczeń z LSASS
Wstrzykiwanie krzyżowe
Wydrążanie procesów
Obejście kontroli konta użytkownika
Manipulowanie programem antywirusowym (na przykład wyłączanie go lub dodawanie złośliwego oprogramowania jako wykluczenia)
Kontaktowanie się z poleceniem i kontrolą (C&C) w celu pobrania ładunków
Wydobywanie monet
Modyfikacja rekordu rozruchowego
Ataki typu pass-the-hash
Instalacja certyfikatu głównego
Próba wykorzystania różnych luk w zabezpieczeniach

Poniżej przedstawiono dwa rzeczywiste przykłady blokowania zachowań i powstrzymywania w działaniu.

Przykład 1: Atak kradzieży poświadczeń na 100 organizacji

Jak opisano w artykule W pogoni za nieuchwytnymi zagrożeniami: blokowanie oparte na zachowaniu oparte na sztucznej inteligencji zatrzymuje ataki na swoich torach, możliwości blokowania zachowań i powstrzymywania zatrzymały atak kradzieży poświadczeń na 100 organizacji na całym świecie. Wiadomości e-mail z wyłudzaniem informacji, które zawierały dokument przynęty, zostały wysłane do organizacji docelowych. Jeśli odbiorca otworzył załącznik, powiązany dokument zdalny był w stanie wykonać kod na urządzeniu użytkownika i załadować złośliwe oprogramowanie Lokibot, które ukradło poświadczenia, eksfiltrowane skradzione dane i czekało na dalsze instrukcje z serwera poleceń i kontroli.

Oparte na zachowaniu modele uczenia maszynowego w usłudze Defender for Endpoint złapały i zatrzymały techniki atakującego w dwóch punktach łańcucha ataków:

Pierwsza warstwa ochrony wykryła zachowanie luki w zabezpieczeniach. Klasyfikatory uczenia maszynowego w chmurze prawidłowo zidentyfikowały zagrożenie i natychmiast poleciły urządzeniu klienckiemu zablokowanie ataku.
Druga warstwa ochrony, która pomogła zatrzymać przypadki, w których atak przeszedł obok pierwszej warstwy, wykryła wydrążenie procesu, zatrzymała ten proces i usunęła odpowiednie pliki (takie jak Lokibot).

Gdy atak został wykryty i zatrzymany, alerty, takie jak "początkowy alert dostępu", zostały wyzwolone i wyświetlone w portalu Microsoft Defender.

W tym przykładzie pokazano, jak oparte na zachowaniu modele uczenia maszynowego w chmurze dodają nowe warstwy ochrony przed atakami, nawet po ich uruchomieniu.

Przykład 2: Przekaźnik NTLM — wariant złośliwego oprogramowania Juicy Potato

Jak opisano w ostatnim wpisie w blogu , blokowanie zachowań i hermetyzowanie: Przekształcanie optyki w ochronę, w styczniu 2020 r. usługa Defender for Endpoint wykryła działanie eskalacji uprawnień na urządzeniu w organizacji. Wyzwolono alert o nazwie "Możliwa eskalacja uprawnień przy użyciu przekaźnika NTLM".

Zagrożeniem okazało się złośliwe oprogramowanie. był to nowy, niewyjaśniany wcześniej wariant znanego narzędzia hakerskiego o nazwie Juicy Potato, które jest używane przez atakujących do uzyskania eskalacji uprawnień na urządzeniu.

Kilka minut po wyzwoleniu alertu plik został przeanalizowany i potwierdzony jako złośliwy. Proces został zatrzymany i zablokowany, jak pokazano na poniższej ilustracji:

Kilka minut po zablokowaniu artefaktu wiele wystąpień tego samego pliku zostało zablokowanych na tym samym urządzeniu, uniemożliwiając wdrażanie większej liczby osób atakujących lub innego złośliwego oprogramowania na urządzeniu.

W tym przykładzie pokazano, że dzięki możliwościom blokowania i powstrzymywania zachowań zagrożenia są wykrywane, zawarte i blokowane automatycznie.

Porada

Jeśli szukasz informacji związanych z programem antywirusowym dla innych platform, zobacz następujące artykuły:

Opinia

Czy ta strona była pomocna?

Last updated on 2026-05-23