Aracılığıyla paylaş

İş için Microsoft Defender'de otomatik saldırı kesintisi

  • Makale

İnsan tarafından gerçekleştirilir saldırı, bir kuruluşa sızan, ayrıcalıklarını yükselten, ağda gezinen ve fidye yazılımı dağıtan ya da bilgi çalan siber suçluların etkin bir saldırısıdır. Bu tür saldırılar iş operasyonları için yıkıcı olabilir, ele alınması zor olabilir ve bazen ilk karşılaşmadan sonra iş operasyonlarını tehdit etmeye devam edebilir. Daha fazla bilgi için bkz. İnsan tarafından çalıştırılan fidye yazılımı saldırıları.

İnsan tarafından çalıştırılan veya diğer gelişmiş saldırılara karşı korunmaya yardımcı olmak Microsoft Defender XDR, kurumsal müşteriler için Kasım 2022'de otomatik saldırı kesintisi ekledi. Şimdi bu özellikler İş için Defender'a geliyor! Bu makalede otomatik saldırı kesintilerinin nasıl çalıştığı, saldırıyla ilgili ayrıntıların nasıl görüntülenip nasıl alındığı açıklanır.

Otomatik saldırı kesintisi nasıl çalışır?

Otomatik saldırı kesintisi şu şekilde tasarlanmıştır:

  • Devam eden gelişmiş saldırıları içerir;
  • İş varlıklarınız (cihazlar gibi) üzerindeki saldırıların etkisini ve ilerlemesini sınırlayın; Ve
  • BT/güvenlik ekibinizin bir saldırıyı tamamen düzeltmesi için daha fazla zaman sağlayın.

Otomatik saldırı kesintisi, gelişmiş saldırıların karmaşıklıklarını önlemek için Microsoft güvenlik araştırmacılarının ve gelişmiş yapay zeka modellerinin içgörülerini kullanır. Bir tehdit aktörünün ilerlemesini erken sınırlar ve bir saldırının genel etkisini, ilişkili maliyetlerden üretkenlik kaybına kadar önemli ölçüde azaltır. Microsoft Güvenlik Blogu'ndaki bazı örneklere bakın.

Otomatik saldırı kesintisi ile, bir cihazda insan tarafından çalıştırılan bir saldırı algılanır algılanmaz, etkilenen cihazı ve cihazdaki kullanıcı hesaplarını içermek için hemen adımlar atılır. Microsoft Defender portalında (https://security.microsoft.com) bir olay oluşturulur. Burada, BT/güvenlik ekibiniz işlem sırasında ve sonrasında risk altındaki varlıkların risk ve kapsama durumu hakkındaki ayrıntıları görüntüleyebilir. Olay sayfası, saldırı ve etkilenen varlıkların güncel durumu hakkında ayrıntılı bilgi sağlar.

Otomatik yanıt eylemleri şunlardır:

  • Gelen/giden iletişimi engelleyerek cihaz içerme
  • Cihaz düzeyinde geçerli kullanıcı bağlantılarını keserek bir kullanıcı hesabı içerme

Önemli

  • Algılanan gelişmiş saldırı hakkındaki bilgileri görüntülemek için Güvenlik Okuyucusu, Güvenlik Yöneticisi veya Genel Yönetici rolü atanmış olmalıdır.
  • Düzeltme eylemleri yapmak, kapsanan bir cihazı/kullanıcıyı serbest bırakmak veya bir kullanıcı hesabını yeniden etkinleştirmek için Güvenlik Yöneticisi veya Genel Yönetici rolü atanmış olmalıdır.
  • Bkz . İş için Defender'da güvenlik rolleri ve izinleri.

Microsoft Defender portalında saldırıyla ilgili ayrıntıları görüntüleme

  1. Microsoft Defender portalında Olaylar'a gidin.

  2. Saldırı Kesintisi ile etiketlenmiş bir olay seçin.

  3. Saldırı hikayesinin tamamını almanıza ve saldırı kesintisi etkisini ve durumunu değerlendirmenize olanak tanıyan olay grafiğini gözden geçirin.

  4. Kapsanan bir cihazı veya kullanıcı hesabını serbest bırakmaya veya bir kullanıcı hesabını yeniden etkinleştirmeye hazır olduğunuzda aşağıdaki adımlardan birini uygulayın:

    • Kapsanan bir cihazı serbest bırakmak için cihazı seçin ve ardından Kapsama alanından serbest bırak'ı seçin.
    • Kapsanan kullanıcıyı serbest bırakmak için kullanıcı hesabını seçin ve ardından yan bölmede Geri Al'ı seçin.

Kesintiye uğrayan olaylar için Attack Disruption bir etiket ve tanımlanan belirli tehdit türü (fidye yazılımı gibi) içerir. BT/güvenlik ekibiniz olay e-posta bildirimleri alıyorsa, bu etiketler e-postalarda da görünür.

Bir olay kesintiye uğradığında, olay başlığının altında vurgulanmış metin görüntülenir. Kapsanan cihazlar veya kullanıcı hesapları, durumlarını gösteren bir etiketle listelenir.

İşlem merkezinde saldırı kesintisi eylemlerini izleme

İşlem merkezi, tüm düzeltme ve yanıt eylemlerini (bu eylemlerin otomatik olarak mı yoksa el ile mi gerçekleştirildiği) bir araya getirir. İşlem merkezinde tüm otomatik saldırı kesintisi eylemlerini görüntüleyebilirsiniz. BT/güvenlik ekibiniz riski azalttıktan ve bir olayın araştırmasını tamamladıktan sonra, kapsanan varlıkları serbest bırakabilirsiniz.

  1. Microsoft Defender portalında Eylemler & gönderimler>İşlem merkezi'ne gidin.

  2. Geçmiş sekmesini seçin.

  3. Kullanıcı içer veya Cihazı içer gibi bir eylem seçin ve ardından Geri Al'ı seçin.

Daha fazla bilgi için bkz. İşlem merkezindeki düzeltme eylemlerini gözden geçirme.

Otomatik saldırı kesintisi nasıl elde edersiniz?

Otomatik saldırı kesintisi, İş için Defender'da yerleşiktir; bu özellikleri açıkça açmanız gerekmez. Kuruluşunuzun tüm cihazlarını (bilgisayarlar, telefonlar ve tabletler) mümkün olan en kısa sürede korunmaları için İş için Defender'a eklemek önemlidir.

Ayrıca, en son ve en iyi özellikleri kullanıma sunuldukları anda elde etmek için önizleme özelliklerini almak için kaydolun.