Udostępnij za pośrednictwem


Konfigurowanie możliwości oszustwa w Microsoft Defender XDR

Dotyczy:

  • Microsoft Defender XDR

Uwaga

Wbudowana funkcja oszustwa w Microsoft Defender XDR obejmuje wszystkich klientów systemu Windows dołączonych do Ochrona punktu końcowego w usłudze Microsoft Defender. Dowiedz się, jak dołączać klientów do usługi Defender for Endpoint w obszarze Dołączanie do Ochrona punktu końcowego w usłudze Microsoft Defender.

Microsoft Defender XDR ma wbudowaną technologię oszustwa, aby chronić środowisko przed atakami o dużym wpływie, które korzystają z ruchów bocznych obsługiwanych przez człowieka. W tym artykule opisano sposób konfigurowania możliwości oszustwa w Microsoft Defender XDR.

Włączanie możliwości oszustwa

Możliwość oszustwa jest domyślnie wyłączona. Aby ją włączyć, wykonaj następujące czynności:

  1. Wybierz pozycję Ustawienia>Punkty końcowe.
  2. W obszarze Ogólne wybierz pozycję Funkcje zaawansowane.
  3. Poszukaj możliwości oszustwa i przełącz przełącznik na .

Zrzut ekranu przedstawiający Defender XDR Ustawienia umożliwiające skonfigurowanie funkcji oszustwa

Reguła domyślna jest automatycznie tworzona i włączana po włączeniu możliwości oszustwa. Domyślna reguła, którą można odpowiednio edytować, automatycznie generuje konta i hosty wabika zintegrowane z przynętami i sadzi je na wszystkich urządzeniach docelowych w organizacji. Chociaż zakres funkcji oszustwa jest ustawiony na wszystkie urządzenia w organizacji, przynęty są sadzone tylko na urządzeniach klienckich z systemem Windows.

Zrzut ekranu przedstawiający domyślną regułę wygenerowaną przez funkcję oszustwa

Twórca i modyfikowanie reguł oszustw

Uwaga

Microsoft Defender XDR obecnie obsługuje tworzenie do dziesięciu (10) reguł oszustw.

Aby utworzyć regułę oszustwa, wykonaj następujące kroki:

  1. Przejdź do pozycji Ustawienia>punkty końcowe. W obszarze Reguły wybierz pozycję Reguły oszustwa.
  2. Wybierz pozycję Dodaj regułę oszustwa. Zrzut ekranu przedstawiający funkcję dodawania reguły w konfiguracji reguły oszustwa
  3. W okienku tworzenia reguły dodaj nazwę reguły, opis i wybierz typy przynęt do utworzenia. Możesz wybrać zarówno podstawowe, jak i zaawansowane typy przynęt. Zrzut ekranu przedstawiający stronę dodawania reguły oszustwa
  4. Zidentyfikuj urządzenia, na których zamierzasz posadzić przynęty w sekcji zakresu. Możesz wybrać opcję sadzenia przynęt na wszystkich urządzeniach klienckich z systemem Windows lub w klientach z określonymi tagami. Funkcja oszustwa obejmuje obecnie klientów systemu Windows. Zrzut ekranu przedstawiający stronę zakresu reguły oszustwa
  5. Możliwość oszustwa może następnie potrwać kilka minut, aby automatycznie wygenerować konta i hosty wabika. Należy pamiętać, że funkcja oszustwa generuje konta wabika, które naśladują główną nazwę użytkownika (UPN) w usłudze Active Directory.
  6. Możesz przeglądać, edytować lub usuwać automatycznie wygenerowane wabiki. W tej sekcji możesz również dodać własne konta i hosty wabika. Aby zapobiec wykrywaniu fałszywie dodatnim, upewnij się, że dodane hosty/adresy IP nie są używane przez organizację. Zrzut ekranu przedstawiający stronę wabika reguły oszustwa
  7. Możesz edytować nazwę konta wabika, nazwę hosta i adres IP, pod którym przynęty są sadzone w sekcji decoys. Podczas dodawania adresów IP zalecamy użycie adresu IP piaskownicy, jeśli istnieje w organizacji. Unikaj używania często używanych adresów, na przykład 127.0.0.1, 10.0.0.1 i tym podobnych. Zrzut ekranu przedstawiający edytowanie hosta wabikaZrzut ekranu przedstawiający edytowanie konta wabika

Uwaga

Aby uniknąć fałszywie dodatnich alertów, zdecydowanie zalecamy tworzenie unikatowych kont użytkowników i nazw hostów podczas tworzenia i edytowania kont i hostów wabika. Upewnij się, że utworzone konta użytkowników i hosty są unikatowe dla każdej reguły oszustwa i że te konta i hosty nie istnieją w katalogu organizacji.

  1. Zidentyfikuj, czy używasz przynęt automatycznych lub niestandardowych w sekcji przynęty. Wybierz pozycję Dodaj nową przynętę w obszarze Użyj niestandardowych przynęt tylko w celu przekazania własnej przynęty. Niestandardowe przynęty mogą być dowolnym typem pliku (z wyjątkiem plików .DLL i .EXE) i są ograniczone do 10 MB każdy. Podczas tworzenia i przekazywania niestandardowych przynęt zalecamy, aby przynęty zawierały lub wymieniały fałszywe hosty lub fałszywe konta użytkowników wygenerowane w poprzednich krokach, aby upewnić się, że przynęty są atrakcyjne dla osób atakujących. Zrzut ekranu przedstawiający opcję dodawania nowej przynęty
  2. Podaj nazwę przynęty i ścieżkę do sadzenia przynęty. Następnie możesz wybrać, aby posadzić przynętę na wszystkich urządzeniach objętych sekcją zakresu, a jeśli chcesz, aby przynęta została obsadzona jako ukryty plik. Jeśli te pola nie zostaną zaznaczone, funkcja oszustwa automatycznie sadzi przynęty w przypadkowe urządzenia w zakresie. Zrzut ekranu przedstawiający okienko dodawania nowych szczegółów przynęty
  3. Przejrzyj szczegóły utworzonej reguły w sekcji podsumowania. Szczegóły reguły można edytować, wybierając pozycję Edytuj w sekcji, którą chcesz zmodyfikować. Wybierz pozycję Zapisz po przejrzeniu. Zrzut ekranu przedstawiający okienko szczegółów reguły oszustwa z wyświetlonymi sekcjami z opcją edycji
  4. Nowa reguła pojawi się w okienku Reguły oszustwa po pomyślnym utworzeniu. Ukończenie tworzenia reguły trwa około 12–24 godziny. Sprawdź stan , aby monitorować postęp tworzenia reguły.
  5. Aby sprawdzić szczegóły aktywnych reguł, w tym szczegóły urządzeń objętych i posadzonych wabiki i przynęty, wybierz pozycję Eksportuj w okienku reguł. Zrzut ekranu przedstawiający opcję szczegółów reguły oszustwa eksportu

Aby zmodyfikować regułę oszustwa, wykonaj następujące kroki:

  1. Wybierz regułę do zmodyfikowania w okienku Reguły oszustwa.
  2. Wybierz pozycję Edytuj w okienku szczegółów reguły.
  3. Aby wyłączyć regułę, wybierz pozycję Wyłącz w okienku edycji.
  4. Aby usunąć regułę oszustwa, wybierz pozycję Usuń w okienku edycji.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.