Wykrywanie ataków z użyciem oprogramowania wymuszającego okup obsługiwanych przez człowieka za pomocą usługi Microsoft Defender XDR
Uwaga
Chcesz skorzystać z usługi Microsoft Defender XDR? Dowiedz się więcej o tym, jak można oceniać i pilotować usługę Microsoft Defender XDR.
Ransomware to rodzaj ataku wymuszenia, który niszczy lub szyfruje pliki i foldery, uniemożliwiając dostęp do krytycznych danych lub zakłócając krytyczne systemy biznesowe. Istnieją dwa typy oprogramowania wymuszającego okup:
- Oprogramowanie wymuszające okup jest złośliwym oprogramowaniem, które rozprzestrzenia się z wyłudzaniem informacji lub między urządzeniami i szyfruje pliki przed żądaniem okupu.
- Sterowane przez człowieka oprogramowanie wymuszające okup jest planowanym i skoordynowanym atakiem aktywnych cyberprzestępców, którzy stosują wiele metod ataku. W wielu przypadkach znane techniki i narzędzia służą do infiltracji organizacji, znajdowania zasobów lub systemów wartych wymuszenia, a następnie żądania okupu. Po naruszeniu sieci osoba atakująca przeprowadza rekonesans zasobów i systemów, które mogą być szyfrowane lub wymuszone. Następnie osoby atakujące szyfrują lub eksfiltrują dane przed żądaniem okupu.
W tym artykule opisano proaktywne wykrywanie nowych lub trwających ataków ransomware obsługiwanych przez człowieka za pomocą portalu Microsoft Defender, rozszerzonego rozwiązania do wykrywania i reagowania (XDR) dla następujących usług zabezpieczeń:
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Ochrona usługi Office 365 w usłudze Microsoft Defender
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps (w tym dodatek dotyczący ładu aplikacji)
- Ochrona tożsamości Microsoft Entra
- Usługa Microsoft Defender dla IoT
- Microsoft 365 Business Premium
- Microsoft Defender dla Firm
Aby uzyskać informacje na temat zapobiegania atakom wymuszającym okup, zobacz Szybkie wdrażanie profilaktyki oprogramowania wymuszającego okup — faza 3: utrudnienie wchodzeniu.
Znaczenie wykrywania proaktywnego
Ponieważ oprogramowanie wymuszające okup obsługiwane przez człowieka jest zwykle wykonywane przez aktywnych atakujących, którzy mogą wykonywać kroki infiltracji i odnajdywania najcenniejszych danych i systemów w czasie rzeczywistym, czas potrzebny na wykrycie ataków wymuszających okup ma kluczowe znaczenie.
Jeśli działania przed okupem zostaną szybko wykryte, prawdopodobieństwo poważnego ataku zmniejszy się. Etap przed okupem zwykle obejmuje następujące techniki: dostęp początkowy, rekonesans, kradzież poświadczeń, ruch boczny i trwałość. Techniki te mogą początkowo wydawać się niepowiązane i często latać pod radarem. Jeśli te techniki prowadzą do etapu okupu, często jest za późno. Microsoft Defender XDR może pomóc zidentyfikować te małe i pozornie niepowiązane incydenty jako prawdopodobnie część większej kampanii ransomware.
- Po wykryciu na etapie przed okupem środki zaradcze na mniejszą skalę, takie jak izolowanie zainfekowanych urządzeń lub kont użytkowników, mogą zostać użyte do zakłócenia i skorygowania ataku.
- Jeśli wykrywanie nastąpi na późniejszym etapie, na przykład po wdrożeniu złośliwego oprogramowania używanego do szyfrowania plików, konieczne może być zastosowanie bardziej agresywnych kroków korygowania, które mogą powodować przestoje, w celu zakłócenia i skorygowania ataku.
Zakłócenia operacji biznesowych są prawdopodobne w przypadku reagowania na atak wymuszający okup. Końcowym etapem ataku wymuszającego okup jest często wybór między przestojami spowodowanymi przez osoby atakujące o poważnym ryzyku lub kontrolowanym przestojem w celu zapewnienia bezpieczeństwa sieci i zapewnienia czasu na pełne zbadanie. Nigdy nie zalecamy płacenia okupu. Płacenie cyberprzestępcom za uzyskanie klucza odszyfrowywania oprogramowania wymuszającego okup nie gwarantuje przywrócenia zaszyfrowanych danych. Zobacz Odpowiedź na oprogramowanie wymuszające okup — Blog dotyczący zabezpieczeń firmy Microsoft.
Oto jakościowa relacja wpływu ataku wymuszającego okup oraz czas reagowania na brak wykrywania a proaktywne wykrywanie i reagowanie.
Proaktywne wykrywanie za pomocą typowych narzędzi i technik złośliwego oprogramowania
W wielu przypadkach osoby atakujące wymuszające okup obsługiwane przez człowieka używają dobrze znanych i przetestowanych w terenie taktyk złośliwego oprogramowania, technik, narzędzi i procedur, w tym wyłudzania informacji, naruszenia zabezpieczeń poczty e-mail (BEC) i kradzieży poświadczeń. Analitycy zabezpieczeń muszą poznać i zapoznać się z tym, jak osoby atakujące używają typowych metod złośliwego oprogramowania i cyberataków, aby zdobyć przyczółek w organizacji.
Aby zapoznać się z przykładami sposobu rozpoczęcia ataków wymuszania okupu za pomocą wspólnego złośliwego oprogramowania, zobacz następujące zasoby:
- Ataki ransomware obsługiwane przez człowieka: możliwe do uniknięcia katastrofy
- Raporty dotyczące analizy zagrożeń oprogramowania wymuszającego okup w portalu Microsoft Defender
Znajomość złośliwego oprogramowania, ładunków i działań przed okupem pomaga analitykom wiedzieć, czego szukać, aby zapobiec późniejszym etapom ataku.
Taktyka ataku ransomware obsługiwanego przez człowieka
Ponieważ sterowane przez człowieka oprogramowanie wymuszające okup może używać znanych technik i narzędzi do ataków, zrozumienie i doświadczenie analityków w zakresie istniejących technik i narzędzi ataków będzie cennym zasobem podczas przygotowywania zespołu SecOps do ukierunkowanych praktyk wykrywania oprogramowania wymuszającego okup.
Taktyka i metody ataku
Oto kilka typowych technik i narzędzi używanych przez osoby atakujące oprogramowanie wymuszające okup dla następujących taktyk mitre att&CK :
Dostęp początkowy:
- Siłowe rdp
- Wrażliwy system internetowy
- Słabe ustawienia aplikacji
- Poczta e-mail wyłudzająca informacje
Kradzież poświadczeń:
- Mimikatz
- Wpisy tajne LSA
- Magazyn poświadczeń
- Poświadczenia w postaci zwykłego tekstu
- Nadużycie kont usług
Ruch boczny:
- Strajk kobaltu
- Usługa WMI
- Nadużywanie narzędzi do zarządzania
- Psexec
Trwałości:
- Nowe konta
- Zmiany obiektu zasad grupy
- Narzędzia IT w tle
- Planowanie zadań
- Rejestracja usługi
Uchylanie się od obrony:
- Wyłączanie funkcji zabezpieczeń
- Czyszczenie plików dziennika
- Usuwanie plików artefaktów ataku
- Resetowanie znaczników czasu dla zmienionych plików
Eksfiltracja:
- Eksfiltracja danych poufnych Wpływ (dźwignia finansowa):
- Szyfrowanie danych w miejscu i w kopiach zapasowych
- Usuwanie danych w miejscu i kopii zapasowych, które mogą być łączone z poprzednią eksfiltracją
- Groźba publicznego wycieku eksfiltrowanych, poufnych danych
Czego szukać
Wyzwaniem dla analityków zabezpieczeń jest rozpoznanie, kiedy alert jest częścią większego łańcucha ataków w celu wymuszenia poufnych danych lub kluczowych systemów. Na przykład wykryty atak wyłudzający informacje może być następujący:
- Jednorazowy atak polegający na ukrywaniu wiadomości e-mail kogoś z działu finansowego organizacji.
- Część przed okupem w łańcuchu ataków służąca do używania poświadczeń konta użytkownika, którego zabezpieczenia zostały naruszone, w celu odnalezienia zasobów dostępnych dla konta użytkownika oraz naruszenia zabezpieczeń innych kont użytkowników przy użyciu wyższych poziomów uprawnień i dostępu.
Ta sekcja zawiera typowe fazy i metody ataków oraz źródła sygnałów przesyłane do centralnego portalu Microsoft Defender, który tworzy alerty i zdarzenia składające się z wielu powiązanych alertów na potrzeby analizy zabezpieczeń. W niektórych przypadkach istnieją alternatywne portale zabezpieczeń do wyświetlania danych ataku.
Początkowe ataki w celu uzyskania wejścia
Osoba atakująca próbuje naruszyć bezpieczeństwo konta użytkownika, urządzenia lub aplikacji.
Metoda ataku | Źródło sygnału | Alternatywne portale zabezpieczeń |
---|---|---|
Siłowe rdp | Ochrona punktu końcowego w usłudze Microsoft Defender | Defender for Cloud Apps |
Wrażliwy system internetowy | Funkcje zabezpieczeń systemu Windows, Microsoft Defender dla serwerów | |
Słabe ustawienia aplikacji | Defender for Cloud Apps, Defender for Cloud Apps z dodatkiem ładu aplikacji | Defender for Cloud Apps |
Działanie złośliwej aplikacji | Defender for Cloud Apps, Defender for Cloud Apps z dodatkiem ładu aplikacji | Defender for Cloud Apps |
Poczta e-mail wyłudzająca informacje | Ochrona usługi Office 365 w usłudze Defender | |
Spray haseł do kont Microsoft Entra | Ochrona tożsamości Microsoft Entra za pośrednictwem usługi Defender for Cloud Apps | Defender for Cloud Apps |
Spray hasła do kont lokalnych | Microsoft Defender for Identity | |
Naruszenie zabezpieczeń urządzenia | Ochrona punktu końcowego w usłudze Microsoft Defender | |
Kradzież poświadczeń | Microsoft Defender for Identity | |
Eskalacja uprawnień | Microsoft Defender for Identity |
Ostatni skok w innym typowym zachowaniu
Osoba atakująca próbuje sondować dodatkowe jednostki w celu naruszenia zabezpieczeń.
Kategoria skoku | Źródło sygnału | Alternatywne portale zabezpieczeń |
---|---|---|
Logowania: liczne nieudane próby, próby logowania do wielu urządzeń w krótkim okresie, wielokrotne logowanie po raz pierwszy itp. | Ochrona tożsamości Microsoft Entra za pośrednictwem usługi Defender for Cloud Apps, Microsoft Defender for Identity | Defender for Cloud Apps |
Ostatnio aktywne konto użytkownika, grupa, konto komputera, aplikacja | Ochrona tożsamości Microsoft Entra za pośrednictwem usługi Defender for Cloud Apps (Tożsamość Microsoft Entra), Usługi Defender for Identity (Active Directory Domain Services [AD DS]) | Defender for Cloud Apps |
Ostatnie działania aplikacji, takie jak dostęp do danych | Aplikacje z usługą Defender for Cloud Apps z dodatkiem ładu aplikacji | Defender for Cloud Apps |
Nowe działanie
Osoba atakująca tworzy nowe jednostki w celu dalszego ich zasięgu, instalowania agentów złośliwego oprogramowania lub unikania wykrywania.
Działanie | Źródło sygnału | Alternatywny portal zabezpieczeń |
---|---|---|
Nowe zainstalowane aplikacje | Usługa Defender for Cloud Apps z dodatkiem ładu aplikacji | Defender for Cloud Apps |
Nowe konta użytkowników | Azure Identity Protection | Defender for Cloud Apps |
Zmiany roli | Azure Identity Protection | Defender for Cloud Apps |
Podejrzane zachowanie
Osoba atakująca pobiera poufne informacje, szyfruje pliki lub w inny sposób zbiera lub uszkadza zasoby organizacji.
Zachowanie | Źródło sygnału |
---|---|
Złośliwe oprogramowanie rozprzestrzenia się na wiele urządzeń | Ochrona punktu końcowego w usłudze Microsoft Defender |
Skanowanie zasobów | Defender for Endpoint, Defender for Identity |
Zmiany w regułach przekazywania skrzynek pocztowych | Ochrona usługi Office 365 w usłudze Defender |
Eksfiltracja i szyfrowanie danych | Ochrona usługi Office 365 w usłudze Defender |
-*Monitor for Adversary Disabling Security** — ponieważ jest to często część łańcucha ataków ransomware (HumOR) obsługiwanych przez człowieka
- Czyszczenie dzienników zdarzeń — szczególnie dziennik zdarzeń zabezpieczeń i dzienniki operacyjne programu PowerShell
- Wyłączanie narzędzi/mechanizmów kontroli zabezpieczeń (skojarzonych z niektórymi grupami)
Wykrywanie ataków ransomware za pomocą portalu Microsoft Defender
Portal Microsoft Defender udostępnia scentralizowany widok informacji na temat wykrywania, elementów zawartości, zautomatyzowanych działań i powiązanych dowodów, które są kombinacją następujących elementów:
- Kolejka zdarzeń, która grupuje powiązane alerty dotyczące ataku, aby zapewnić pełny zakres ataków, zasoby, których dotyczy problem, i zautomatyzowane akcje korygowania.
- Kolejka alertów zawierająca listę wszystkich alertów śledzonych przez Microsoft Defender XDR.
Źródła zdarzeń i alertów
portal Microsoft Defender centralizuje sygnały z:
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Ochrona usługi Office 365 w usłudze Microsoft Defender
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps (w tym dodatek dotyczący ładu aplikacji)
- Ochrona tożsamości Microsoft Entra
- Usługa Microsoft Defender dla IoT
W tej tabeli wymieniono niektóre typowe ataki i odpowiadające im źródło sygnału dla Microsoft Defender XDR.
Ataki i incydenty | Źródło sygnału |
---|---|
Tożsamość w chmurze: Spray hasła, liczne nieudane próby, próby zalogowania się do wielu urządzeń w krótkim okresie, wielokrotne logowanie po raz pierwszy, ostatnio aktywne konta użytkowników | Ochrona tożsamości Microsoft Entra |
Naruszenie tożsamości lokalnej (AD DS) | Defender for Identity |
Wyłudzanie informacji | Ochrona usługi Office 365 w usłudze Defender |
Złośliwe aplikacje | Usługa Defender for Cloud Apps lub Defender for Cloud Apps z dodatkiem ładu aplikacji |
Naruszenie zabezpieczeń punktu końcowego (urządzenia) | Ochrona punktu końcowego w usłudze Microsoft Defender |
Naruszenie zabezpieczeń urządzenia z obsługą IoT | Defender for IoT |
Filtrowanie zdarzeń zidentyfikowanych przez oprogramowanie wymuszające okup
Możesz łatwo filtrować kolejkę zdarzeń pod kątem zdarzeń, które zostały skategoryzowane według Microsoft Defender XDR jako oprogramowanie wymuszające okup.
- W okienku nawigacji portalu Microsoft Defender przejdź do kolejki zdarzeń, wybierając pozycję Incydenty i alerty > Zdarzenia.
- Wybierz pozycję Filtry.
- W obszarze Kategorie wybierz pozycję Ransomware, wybierz pozycję Zastosuj, a następnie zamknij okienko Filtry .
Każde ustawienie filtru dla kolejki zdarzeń tworzy adres URL, który można zapisać i uzyskać dostęp później jako link. Te adresy URL można dodać do zakładek lub w inny sposób zapisać i użyć w razie potrzeby za pomocą jednego kliknięcia. Można na przykład tworzyć zakładki dla:
- Zdarzenia zawierające kategorię "ransomware". Oto odpowiedni link.
- Zdarzenia o określonej nazwie aktora , o których wiadomo, że przeprowadzają ataki wymuszające okup.
- Zdarzenia z określoną nazwą skojarzonego zagrożenia , o których wiadomo, że są używane w atakach wymuszania okupu.
- Zdarzenia zawierające niestandardowy tag używany przez zespół SecOps w przypadku zdarzeń, o których wiadomo, że są częścią większego, skoordynowanego ataku wymuszającego okup.
Filtrowanie raportów analizy zagrożeń zidentyfikowanych przez oprogramowanie wymuszające okup
Podobnie jak w przypadku filtrowania zdarzeń w kolejce zdarzeń, możesz filtrować raporty analizy zagrożeń pod kątem raportów zawierających oprogramowanie wymuszające okup.
- W okienku nawigacji wybierz pozycję Analiza zagrożeń.
- Wybierz pozycję Filtry.
- W obszarze Tagi zagrożeń wybierz pozycję Ransomware, wybierz pozycję Zastosuj, a następnie zamknij okienko Filtry .
Możesz również kliknąć ten link.
W sekcji Szczegóły wykrywania wielu raportów analizy zagrożeń można wyświetlić listę nazw alertów utworzonych dla zagrożenia.
Interfejsy API usługi Microsoft Defender XDR
Interfejsy API Microsoft Defender XDR umożliwiają również wykonywanie zapytań dotyczących Microsoft Defender XDR danych zdarzeń i alertów w dzierżawie. Aplikacja niestandardowa może filtrować dane, filtrować je na podstawie ustawień niestandardowych, a następnie udostępniać filtrowaną listę linków do alertów i zdarzeń, które można łatwo wybrać, aby przejść bezpośrednio do tego alertu lub zdarzenia. Zobacz Interfejs API zdarzeń listy w Microsoft Defender XDR| Microsoft Docs. Możesz również zintegrować rozwiązanie SIEM z Microsoft Defender. Zobacz Integrowanie narzędzi SIEM z Microsoft Defender XDR.
integracja z usługą Microsoft Defender XDR Sentinel
Integracja Microsoft Defender XDR zdarzeń usługi Microsoft Sentinel umożliwia przesyłanie strumieniowe wszystkich zdarzeń Microsoft Defender XDR do usługi Microsoft Sentinel i synchronizowanie ich między obydwoma portalami. Zdarzenia obejmują wszystkie skojarzone alerty, jednostki i odpowiednie informacje. Po przejściu do usługi Sentinel zdarzenia pozostaną zsynchronizowane dwukierunkowo z Microsoft Defender XDR, dzięki czemu będziesz korzystać z zalet obu portali w badaniu incydentów. Zobacz Microsoft Defender XDR integrację z usługą Microsoft Sentinel.
Aktywne skanowanie za pomocą zaawansowanego wyszukiwania zagrożeń
Zaawansowane wyszukiwanie zagrożeń to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które umożliwia eksplorowanie i inspekcję zdarzeń w sieci w celu zlokalizowania wskaźników zagrożeń i jednostek. To elastyczne i dostosowywalne narzędzie do analizy umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych. Microsoft Defender XDR obsługuje również tworzenie niestandardowych reguł wykrywania przy użyciu zapytania niestandardowego, które umożliwiają automatyczne uruchamianie alertów na podstawie zapytania.
W celu proaktywnego skanowania działań wymuszających okup należy utworzyć katalog zaawansowanych zapytań dotyczących wyszukiwania zagrożeń dla powszechnie używanych metod ataków wymuszających okup dla tożsamości, punktów końcowych, aplikacji i danych. Oto kilka kluczowych źródeł gotowych do użycia zaawansowanych zapytań wyszukiwania zagrożeń:
- Artykuł Polowanie na oprogramowanie wymuszające okup
- Repozytorium GitHub dla zaawansowanych zapytań dotyczących wyszukiwania zagrożeń:
- Raporty analizy zagrożeń
- Sekcja Zaawansowane wyszukiwanie zagrożeń w raporcie Ransomware: wszechobecny i bieżący raport analityka zagrożeń
- Sekcja zaawansowanego wyszukiwania zagrożeń w innych raportach analityków
Automatyczne wyszukiwanie zagrożeń
Zaawansowane zapytania wyszukiwania zagrożeń mogą być również używane do tworzenia niestandardowych reguł wykrywania i akcji na podstawie znanych elementów metody ataku wymuszającego okup (na przykład użycia nietypowych poleceń programu PowerShell). Niestandardowe reguły wykrywania tworzą alerty, które mogą być widoczne i rozwiązywane przez analityków zabezpieczeń.
Aby utworzyć niestandardową regułę wykrywania, wybierz pozycję Twórca niestandardową regułę wykrywania na stronie zaawansowanego zapytania wyszukiwania zagrożeń. Po utworzeniu można określić:
- Jak często uruchamiać niestandardową regułę wykrywania
- Ważność alertu utworzonego przez regułę
- Faza ataku MITRE dla utworzonego alertu
- Jednostki, na które ma to wpływ
- Akcje do wykonania dla jednostek, na które ma to wpływ
Przygotowanie zespołu SecOps do ukierunkowanego wykrywania oprogramowania wymuszającego okup
Przygotowanie zespołu SecOps do proaktywnego wykrywania oprogramowania wymuszającego okup wymaga:
- Praca wstępna dla zespołu secops i organizacji
- Szkolenie analityka zabezpieczeń w razie potrzeby
- Trwające prace operacyjne nad uwzględnieniem najnowszych ataków i środowisk wykrywania analityków zabezpieczeń
Praca wstępna dla zespołu secops i organizacji
Rozważ następujące kroki, aby przygotować zespół secops i organizację do ukierunkowanego zapobiegania atakom wymuszającym okup:
- Skonfiguruj infrastrukturę IT i infrastrukturę chmury pod kątem ochrony przed oprogramowaniem wymuszającym okup za pomocą funkcji Szybkiego wdrażania zapobiegania wymuszaniu okupu — faza 3. Utrudnienie uzyskania wskazówek. Fazy i zadania przedstawione w tych wskazówkach można wykonać równolegle z następującymi krokami.
- Uzyskaj odpowiednie licencje dla usługi Defender for Endpoint, Ochrona usługi Office 365 w usłudze Defender, Defender for Identity, Defender for Cloud Apps, dodatku ładu aplikacji, usługi Defender for IoT i usług Ochrona tożsamości Microsoft Entra.
- Zmontuj katalog zaawansowanych zapytań dotyczących zagrożeń dostosowanych do znanych metod ataków wymuszających okup lub faz ataków.
- Twórca zestaw niestandardowych reguł wykrywania dla określonych zaawansowanych zapytań wyszukiwania zagrożeń, które tworzą alerty dla znanych metod ataków wymuszających okup, w tym ich harmonogram, nazewnictwo alertów i zautomatyzowane akcje.
- Określanie zestawu niestandardowych tagów lub standardów w celu utworzenia nowego w celu zidentyfikowania zdarzeń, o których wiadomo, że są częścią większego, skoordynowanego ataku wymuszającego okup
- Określanie zestawu zadań operacyjnych dotyczących zdarzeń wymuszania okupu i zarządzania alertami. Przykład:
- Procesy skanowania przez analityków warstwy 1 przychodzących zdarzeń i alertów oraz przypisywania do analityków warstwy 2 w celu zbadania.
- Ręczne uruchamianie zaawansowanych zapytań wyszukiwania zagrożeń i ich harmonogramu (codziennie, co tydzień, co miesiąc).
- Trwające zmiany oparte na badaniu ataków wymuszającym okup i środowiskach ograniczania ryzyka.
Szkolenie analityka zabezpieczeń
W razie potrzeby możesz zapewnić analitykom zabezpieczeń wewnętrzne szkolenia dotyczące:
- Typowe łańcuchy ataków ransomware (taktyka ataku MITRE i typowe techniki zagrożeń i złośliwe oprogramowanie)
- Zdarzenia i alerty oraz sposób lokalizowania i analizowania ich w portalu Microsoft Defender przy użyciu:
- Alerty i zdarzenia już utworzone przez Microsoft Defender XDR
- Wstępnie zeskanowane filtry oparte na adresach URL dla portalu Microsoft Defender
- Programowo za pośrednictwem interfejsu API zdarzeń
- Zaawansowane zapytania dotyczące wyszukiwania zagrożeń do użycia i ich harmonogram ręczny (codziennie, co tydzień, co miesiąc)
- Niestandardowe reguły wykrywania do użycia i ich ustawienia
- Niestandardowe tagi zdarzeń
- Najnowsze raporty analizy zagrożeń dotyczące ataków ransomware w portalu Microsoft Defender
Bieżące prace oparte na uczeniu operacyjnym i nowych zagrożeniach
W ramach bieżących narzędzi i najlepszych rozwiązań i środowisk analityków zabezpieczeń zespołu SecOps należy:
- Zaktualizuj katalog zaawansowanych zapytań wyszukiwania zagrożeń za pomocą:
- Nowe zapytania oparte na najnowszych raportach analizy zagrożeń w portalu Microsoft Defender lub repozytorium GitHub wyszukiwania zaawansowanego zagrożeń.
- Zmiany istniejących w celu optymalizacji pod kątem identyfikacji zagrożeń lub lepszej jakości alertów.
- Zaktualizuj niestandardowe reguły wykrywania na podstawie nowych lub zmienionych zaawansowanych zapytań wyszukiwania zagrożeń.
- Zaktualizuj zestaw zadań operacyjnych wykrywania oprogramowania wymuszającego okup.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.