Partilhar via


Gerir a capacidade de engano no Microsoft Defender XDR

Aplica-se a:

  • Microsoft Defender XDR
  • Microsoft Defender para Endpoint

Importante

Algumas informações neste artigo estão relacionadas com produtos/serviços pré-lançados que podem ser substancialmente modificados antes do lançamento comercial. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

O Microsoft Defender XDR, através da capacidade de decepção incorporada, fornece deteções de alta confiança de movimento lateral operado por humanos, impedindo que os ataques atinjam os recursos críticos de uma organização. Vários ataques, como o comprometimento de e-mail empresarial (BEC),ransomware, violações organizacionais e ataques de estado-nação utilizam frequentemente movimento lateral e podem ser difíceis de detetar com elevada confiança nas fases iniciais. A tecnologia de decepção do Defender XDR fornece deteções de alta confiança com base em sinais de engano correlacionados com sinais do Microsoft Defender para Endpoint.

A capacidade de engano gera automaticamente contas, anfitriões e iscos de aspeto autêntico. Os recursos falsos gerados são implementados automaticamente em clientes específicos. Quando um atacante interage com os iscos ou iscos, a capacidade de engano gera alertas de alta confiança, ajudando nas investigações da equipa de segurança e permitindo-lhe observar os métodos e estratégias de um atacante. Todos os alertas gerados pela capacidade de engano são automaticamente correlacionados com incidentes e estão totalmente integrados no Microsoft Defender XDR. Além disso, a tecnologia de engano está integrada no Defender para Endpoint, minimizando as necessidades de implementação.

Para obter uma descrição geral da capacidade de decepção, veja o seguinte vídeo.

Pré-requisitos

A tabela seguinte lista os requisitos para ativar a capacidade de engano no Microsoft Defender XDR.

Requisito Detalhes
Requisitos de subscrição Uma destas subscrições:
- Microsoft 365 E5
- Microsoft Security E5
- Microsoft Defender para Endpoint Plano 2
Requisitos de implementação Requisitos:
– O Defender para Endpoint é a solução
- EDR principal: ascapacidades de investigação e resposta automatizadas no Defender para Ponto Final estão configuradas
– Os dispositivos estão associados ou associados híbridos no Microsoft Entra
– o PowerShell está ativado nos dispositivos
– a funcionalidade de decepção abrange clientes que operam no Windows 10 RS5 e posteriores em pré-visualização
Permissões Tem de ter uma das seguintes funções atribuídas no centro de administração do Microsoft Entra ou no centro de administração do Microsoft 365 para configurar as capacidades de engano:
– Administrador
global – Administrador
de segurança – Gerir definições do sistema de portal

Nota

A Microsoft recomenda a utilização de funções com menos permissões para uma melhor segurança. A função Administrador Global, que tem muitas permissões, só deve ser utilizada em situações de emergência quando nenhuma outra função se adequar.

O que é a tecnologia de engano?

A tecnologia de engano é uma medida de segurança que fornece alertas imediatos de um potencial ataque às equipas de segurança, permitindo-lhes responder em tempo real. A tecnologia de engano cria recursos falsos, como dispositivos, utilizadores e anfitriões que parecem pertencer à sua rede.

Os atacantes que interagem com os recursos de rede falsos configurados pela capacidade de engano podem ajudar as equipas de segurança a impedir potenciais ataques de comprometer uma organização e monitorizar as ações dos atacantes para que os defensores possam melhorar ainda mais a segurança do seu ambiente.

Como funciona a capacidade de engano do Microsoft Defender XDR?

A capacidade de decepção incorporada no portal do Microsoft Defender utiliza regras para criar iscos e iscos que correspondem ao seu ambiente. A funcionalidade aplica machine learning para sugerir iscos e iscos adaptados à sua rede. Também pode utilizar a funcionalidade de decepção para criar manualmente os iscos e iscos. Estes iscos e iscos são implementados automaticamente na sua rede e plantados em dispositivos que especificar com o PowerShell.

Captura de ecrã de um ataque com movimento lateral e onde o engano interceta o ataque

Figura 1. A tecnologia de engano, através de deteções de alta confiança de movimentos laterais operados por humanos, alerta as equipas de segurança quando um atacante interage com anfitriões falsos ou iscos

Os engodos são dispositivos e contas falsos que parecem pertencer à sua rede. Os iscos são conteúdos falsos plantados em dispositivos ou contas específicos e são utilizados para atrair um atacante. O conteúdo pode ser um documento, um ficheiro de configuração, credenciais em cache ou qualquer conteúdo que um atacante possa provavelmente ler, roubar ou interagir. Atrai informações, definições ou credenciais importantes da empresa.

Existem dois tipos de iscos disponíveis na funcionalidade de decepção:

  • Iscos básicos – documentos plantados, ficheiros de ligação e outros semelhantes não têm interação mínima ou com o ambiente do cliente.
  • Atrações avançadas – conteúdo plantado, como credenciais em cache e intercepções que respondem ou interagem com o ambiente do cliente. Por exemplo, os atacantes podem interagir com credenciais de engodo que foram injetadas respostas a consultas do Active Directory, que podem ser utilizadas para iniciar sessão.

Nota

Os iscos só são plantados em clientes Windows definidos no âmbito de uma regra de engano. No entanto, as tentativas de utilizar qualquer anfitrião ou conta de engodo em qualquer cliente integrado no Defender para Endpoint geram um alerta de engano. Saiba como integrar clientes em Integrar no Microsoft Defender para Endpoint. A plantação de iscos no Windows Server 2016 e posteriores está prevista para desenvolvimento futuro.

Pode especificar isco, iscos e o âmbito numa regra de engano. Veja Configurar a funcionalidade de decepção para saber mais sobre como criar e modificar regras de engano.

Quando um atacante utiliza um engodo ou um isco em qualquer cliente integrado no Defender para Endpoint, a capacidade de engano aciona um alerta que indica uma possível atividade de atacante, independentemente de o engano ter sido ou não implementado no cliente.

Identificar incidentes e alertas ativados por engano

Os alertas baseados na deteção de enganos contêm erros no título. Alguns exemplos de títulos de alerta são:

  • Tentativa de início de sessão com uma conta de utilizador enganosa
  • Tentativa de ligação a um anfitrião enganador

Os detalhes do alerta contêm:

  • A etiqueta Deception
  • O dispositivo de engodo ou a conta de utilizador onde o alerta teve origem
  • O tipo de ataque, como tentativas de início de sessão ou tentativas de movimento lateral

Captura de ecrã de um alerta de engano a realçar a etiqueta e a tentativa

Figura 2. Detalhes de um alerta relacionado com a decepção

Passo seguinte

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.