Автоматическое нарушение атак в Microsoft Defender для бизнеса
Атака, управляемая человеком, — это активная атака киберпреступников, которые проникают в организацию, повышают свои привилегии, перемещаются по сети и развертывают программы-шантажисты или крадут информацию. Эти типы атак могут быть катастрофическими для бизнес-операций, как правило, трудно устранить, а иногда и продолжать угрожать бизнес-операциям после первоначального столкновения. Дополнительные сведения см. в статье Атаки программ-шантажистов, управляемых человеком.
Чтобы защититься от управляемых человеком или других расширенных атак, Microsoft Defender XDR в ноябре 2022 г. добавили автоматическое прерывание атак для корпоративных клиентов. Теперь эти возможности доступны в Defender для бизнеса! В этой статье описывается, как работает автоматическое прерывание атаки, как просмотреть сведения об атаке и как получить эти возможности.
Как работает автоматическое нарушение атаки
Автоматическое прерывание атаки предназначено для:
- Содержат расширенные атаки, которые выполняются;
- Ограничить влияние и прогрессирование атак на бизнес-ресурсы (например, устройства); И
- Предоставьте вашей ит-отделу или группе безопасности больше времени, чтобы полностью устранить атаку.
Автоматическое нарушение атак использует аналитические сведения от специалистов по безопасности Майкрософт и передовые модели ИИ для противодействия сложностям сложных атак. Это ограничивает прогресс субъекта угроз на ранних этапах и значительно снижает общее влияние атаки, от связанных затрат до потери производительности. Примеры см. в блоге о безопасности Майкрософт.
При автоматическом прерывании атаки, как только на устройстве обнаруживается атака, управляемая человеком, немедленно выполняются шаги по размещению затронутых устройств и учетных записей пользователей на устройстве. Инцидент создается на портале Microsoft Defender (https://security.microsoft.com). Там ит-отдел или группа безопасности может просмотреть сведения о риске и состоянии сдерживания скомпрометированных ресурсов во время и после процесса. На странице инцидентов содержатся сведения об атаке и актуальном состоянии затронутых ресурсов.
Автоматизированные действия реагирования включают в себя:
- Сдерживание устройства путем блокировки входящего и исходящего обмена данными
- Содержит учетную запись пользователя путем отключения текущих подключений пользователей на уровне устройства
Важно!
- Чтобы просмотреть сведения об обнаруженной расширенной атаке, необходимо назначить роль Читатель безопасности, Администратор безопасности или Глобальный администратор.
- Чтобы выполнить действия по исправлению, освободить автономное устройство или пользователя или повторно включить учетную запись пользователя, необходимо назначить роль администратора безопасности или глобального администратора.
- См . статью Роли безопасности и разрешения в Defender для бизнеса.
Просмотр сведений об атаке на портале Microsoft Defender
На портале Microsoft Defender перейдите в раздел Инциденты.
Выберите инцидент, помеченный как Атака прерывания.
Просмотрите график инцидентов, который позволяет получить всю историю атаки и оценить влияние и состояние нарушения атаки.
Когда вы будете готовы освободить автономное устройство или учетную запись пользователя или повторно включить учетную запись пользователя, выполните одно из следующих действий.
- Чтобы освободить автономное устройство, выберите устройство, а затем выберите Освободить из автономного устройства.
- Чтобы освободить автономного пользователя, выберите учетную запись пользователя, а затем в боковой области выберите Отменить.
Нарушенные инциденты включают тег для Attack Disruption и определенный тип угрозы,определяемый (например, программа-шантажист). Если ваша ит-служба или группа безопасности получает Уведомления по электронной почте инцидентов, эти теги также отображаются в сообщениях электронной почты.
При прерывании инцидента выделенный текст отображается под заголовком инцидента. Автономные устройства или учетные записи пользователей отображаются с меткой, указывающей их состояние.
Отслеживание действий по нарушению атак в центре уведомлений
Центр уведомлений объединяет все действия по исправлению и реагированию, независимо от того, были ли эти действия выполнены автоматически или вручную. Все действия по автоматическому прерыванию атаки можно просмотреть в центре уведомлений. А после того, как ваша команда ИТ/безопасности смягчит риск и завершит расследование инцидента, она может освободить автономные ресурсы.
На портале Microsoft Defender перейдите в раздел Действия & центр уведомлений об отправке>.
Перейдите на вкладку Журнал .
Выберите действие, например Содержать пользователя или Содержать устройство, а затем нажмите кнопку Отменить.
Дополнительные сведения см. в разделе Проверка действий по исправлению в центре уведомлений.
Как получить автоматическое нарушение атаки
Автоматическое нарушение атаки встроено в Defender для бизнеса; Вам не нужно явно включать эти возможности. Важно подключить все устройства организации (компьютеры, телефоны и планшеты) к Defender для бизнеса, чтобы они были защищены как можно скорее.
Кроме того, зарегистрируйтесь, чтобы получить предварительные версии функций , чтобы получить последние и максимальные возможности, как только они будут доступны.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по