Configurar a capacidade de decepção no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Nota
A capacidade de decepção incorporada no Microsoft Defender XDR abrange todos os clientes Do Windows integrados no Microsoft Defender para Endpoint. Saiba como integrar clientes no Defender para Endpoint no Onboard para Microsoft Defender para Endpoint.
Microsoft Defender XDR tem tecnologia de engano incorporada para proteger o seu ambiente de ataques de alto impacto que utilizam movimentos laterais operados por humanos. Este artigo descreve como configurar a capacidade de engano no Microsoft Defender XDR.
Ativar a capacidade de decepção
A capacidade de engano está desativada por predefinição. Para ativá-la, execute os seguintes passos:
- Selecione Definições>Pontos finais.
- Em Geral, selecione Funcionalidades avançadas.
- Procure Capacidades de decepção e alterne o seletor para Ativado.
Uma regra predefinida é criada automaticamente e ativada quando a capacidade de engano está ativada. A regra predefinida, que pode editar em conformidade, gera automaticamente contas e anfitriões que são integrados em iscos e instala-os em todos os dispositivos de destino na organização. Embora o âmbito da funcionalidade de engano esteja definido para todos os dispositivos na organização, os iscos são plantados apenas em dispositivos cliente Windows.
Create e modificar regras de engano
Nota
Microsoft Defender XDR atualmente suporta a criação de até dez (10) regras de engano.
Para criar uma regra de engano, execute os seguintes passos:
- Navegue para Pontos Finais de Definições>. Em Regras, selecione Regras de decepção.
- Selecione Adicionar regra de engano.
- No painel de criação de regras, adicione um nome de regra, uma descrição e selecione os tipos de isco a criar. Pode selecionar tipos de isco Básico e Avançado .
- Identifique os dispositivos onde pretende plantar os iscos na secção de âmbito. Pode optar por plantar atrações em todos os dispositivos cliente Windows ou em clientes com etiquetas específicas. A funcionalidade de engano abrange atualmente clientes Windows.
- Em seguida, a capacidade de engano demora alguns minutos a gerar automaticamente contas e anfitriões de engodo. Tenha em atenção que a capacidade de engano gera contas de engodo que imitam o Nome Principal de Utilizador (UPN) no Active Directory.
- Pode rever, editar ou eliminar engodos gerados automaticamente. Também pode adicionar as suas próprias contas e anfitriões de engodo nesta secção. Para impedir deteções de falsos positivos, certifique-se de que os anfitriões/endereços IP adicionados não são utilizados pela organização.
- Pode editar um nome de conta de engodo, o nome do anfitrião e o endereço IP onde os iscos são plantados na secção de isco. Ao adicionar endereços IP, recomendamos que utilize um IP de sandbox se existir na organização. Evite utilizar endereços frequentemente utilizados, por exemplo, 127.0.0.1, 10.0.0.1 e similares.
Atenção
Para evitar alertas falsos positivos, recomendamos vivamente a criação de contas de utilizador e nomes de anfitrião exclusivos ao criar e editar contas e anfitriões. Certifique-se de que as contas de utilizador e os anfitriões criados são exclusivos para cada regra de engano e que estas contas e anfitriões não existem no diretório da organização.
- Identifique se utiliza iscos gerados automaticamente ou personalizados na secção iscos. Selecione Adicionar novo isco em Utilizar iscos personalizados apenas para carregar o seu próprio isco. Os iscos personalizados podem ser qualquer tipo de ficheiro (exceto .DLL e .EXE ficheiros) e estão limitados a 10 MB cada. Ao criar e carregar iscos personalizados, recomendamos iscos para conter ou mencionar os anfitriões falsos ou contas de utilizador falsas geradas nos passos anteriores para garantir que os iscos são apelativos para os atacantes.
- Forneça um nome de isco e um caminho onde a atração será plantada. Em seguida, pode optar por colocar a atração em todos os dispositivos abrangidos na secção de âmbito e se pretender que a atração seja plantada como um ficheiro oculto. Se estas caixas forem deixadas desmarcadas, a funcionalidade de engano coloca automaticamente os iscos desanexados em dispositivos aleatórios dentro do âmbito.
- Reveja os detalhes da regra criada na secção de resumo. Pode editar os detalhes da regra ao selecionar Editar na secção que precisa de modificar. Selecione Guardar depois de rever.
- A nova regra é apresentada no painel Regras de decepção após a criação com êxito. Demora aproximadamente 12 a 24 horas a concluir a criação da regra. Verifique o Estado para monitorizar o progresso da criação da regra.
- Para verificar os detalhes das regras ativas, incluindo os detalhes dos dispositivos cobertos e plantados e iscos, selecione Exportar no painel de regras.
Para modificar uma regra de engano, execute os seguintes passos:
- Selecione a regra a modificar no painel Regras de decepção.
- Selecione Editar no painel de detalhes da regra.
- Para desativar a regra, selecione Desativar no painel de edição.
- Para eliminar uma regra de engano, selecione Eliminar no painel de edição.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.