Microsoft Defender'de tahmine dayalı koruma (Önizleme)

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Tahmine dayalı koruma (Önizleme), devam eden bir saldırının parçası olarak tehditleri tahmin etmek ve azaltmak için tasarlanmış proaktif bir savunma stratejisidir. Tahmine dayalı koruma, Microsoft Defender otonom koruma yığınını genişleterek, proaktif önlemlerle otomatik saldırı kesintisi özelliklerini geliştirir.

Bu makalede, özelliklerini ve güvenlik duruşunuzu nasıl iyileştirdiğini anlayabilmek için tahmine dayalı korumaya genel bir bakış sunulmaktadır.

Tahmine dayalı korumanın nasıl çalıştığını veya Microsoft Defender'de tahmine dayalı korumanın nasıl yönetileceğini öğrenin.

Tahmine dayalı koruma otomatik saldırı kesintisinde nasıl genişler?

Gelişen tehdit ortamı bir dengesizlik yaratır: Saldırganların tek bir açıklığa ihtiyacı varken, savunucuların her varlığın güvenliğini sağlamaları gerekir. Geleneksel savunmalar reaktiftir ve kötü amaçlı etkinlikler başladıktan sonra yanıt verir. Bu yaklaşım, çoğu zaman gerçek zamanlı olarak algılamayacak kadar hızlı veya yavaş hareket eden saldırganları kovalayan savunucuları bırakır. Bazı saldırgan davranışların hemen engellenmesi gerekirken, statik önleme üretkenliği kesintiye uğratır ve operasyonel ek yük ekler.

Tahmine dayalı koruma, bu zorlukları gidermek için Defender'ın otonom koruma yığınını geliştirir ve saldırı sırasında proaktif önlemleri içerecek şekilde saldırı kesintisini genişletir, riskleri tahmin eder ve hedeflenen korumaları yalnızca gerektiğinde uygular.

Bu proaktif yaklaşım reaktif kovalamacayı azaltır, operasyonel yükü en aza indirir, kullanılabilirliği korur ve saldırganlar ilerlemeden önce ortamı korur.

Saldırı kesintisi güvenliği aşılmış varlıkları tanımlar ve içerirken, tahmine dayalı koruma olası saldırı ilerlemesini tahmin eder ve savunmasız varlıkları veya yolları proaktif olarak kısıtlar. Örneğin, otomatik saldırı kesintisi güvenliği aşılmış bir cihazı yalıtsa da, tahmine dayalı koruma risk altındaki cihazlar için hassas verilere erişimi proaktif olarak kısıtlayabilir.

Tahmine dayalı koruma aynı otonom koruma yığınının bir parçası olduğundan, saldırı kesintisi için açıklanan güvenilirlik ve yapay zeka modeli ilkeleri tahmine dayalı koruma için de geçerlidir. Daha fazla bilgi için bkz. Defender otomatik eylem için nasıl güven sağlar ve Saldırı kesintisi yapay zekayı nasıl kullanır?

Tahmine dayalı koruma nasıl çalışır?

Tahmine dayalı koruma, ortaya çıkan riskleri dinamik olarak belirlemek için tahmine dayalı analiz ve gerçek zamanlı içgörüler kullanır ve hedeflenen korumaları uygular.

Tahmine dayalı koruma, olası saldırı yollarını ve hedeflerini belirlemek, kritik varlıkları seçmeli olarak sağlamlaştırmak veya saldırı yollarını tam zamanında kısıtlamak için duruş, etkinlik ve senaryo bağlamlarını tümleştirir.

Bu yaklaşım operasyonel yükü en aza indirir ve güvenlik ekiplerine yanıt vermek için daha fazla zaman sağlar. Örneğin, tahmine dayalı koruma risk altında olarak tanımlanan cihazlar için hassas verilere erişimi dinamik olarak kısıtlayarak geniş kapsamlı, ortam genelinde kısıtlamalara olan ihtiyacı azaltabilir.

Tahmine dayalı koruma iki sütuna dayanır:

• Tahmin
  • Tehdit bilgilerini, saldırgan davranışını, geçmiş olayları ve kuruluşa açıklanmayı analiz etmeyi içerir.
  • Defender bu tahmin verilerini yeni ortaya çıkan riskleri belirlemek, olası saldırı ilerlemesini anlamak ve desteklenmeyen varlıklar üzerindeki riski çıkarsamak için kullanır.
• Zorlama , olası saldırı yollarını gerçek zamanlı olarak kesintiye uğratmak için önleyici koruyucu denetimler uygular.

Bu çift yaklaşım, korumanın hem hassas hem de zamanında olmasını sağlar.

Tahmin mantığı

Tahmin, kuruluşların risk altındaki varlıkları tanımlamasına ve gerçek zamanlı olarak uyarlanmış korumalar uygulamasına olanak tanır. Tahmin, statik önleme yerine ortaya çıkan risklere odaklanır ve bu da operasyonel sürtüşmeyi en aza indirir ve güvenlik önlemlerinin gerektiğinde tam olarak uygulanmasını sağlar. Örneğin, belirli bir saldırgan aracı algılanırsa tahmine dayalı koruma, geçmiş saldırı düzenlerine göre bir sonraki olası hedefi çıkarsar.

Defender doğru tahminler yapmak için birden çok içgörü katmanı kullanır:

• Tehdit bilgileri, gözlemlenen etkinliği bilinen saldırgan araçları ve taktikleriyle hizalar.
• Geçmiş olaylardaki öğrenmeler istatistiksel desenleri tanımak ve en olası sonraki adımları tahmin etmek için kullanılır.
• Kuruluş açığa çıkarma verileri, ortamın nasıl yapılandırıldığını,hangi varlıkların ve kimliklerin bağlı olduğunu, bu kimliklerin hangi izinlere sahip olduğunu, hangi güvenlik açıklarının veya yanlış yapılandırmaların mevcut olduğunu ve riskin bunlara nasıl yayılabileceğini eşlemek için kullanılır.

Bu içgörüler birlikte ortamın ve risklerinin dinamik bir şekilde anlaşılmasını sağlar.

Graf tabanlı mantık

Graf tabanlı tahmin mantığı, ihlal öncesi ve ihlal sonrası sistemler arasındaki boşluğu kapatarak kurumsal topoloji genelinde saldırgan etkinliğinin birleşik bir görünümünü sağlar. Bu birleşik görünüm kuruluşun varlıklarını, bağlantılarını ve güvenlik açıklarını içerir. Graf tabanlı mantık, canlı etkinlik verilerini ortamın yapısal haritasıyla birleştirir.

Bu tümleştirme, Defender'ın korumaları en kritik güvenlik açıklarına göre dinamik olarak ayarlamasını sağlayarak savunmaların gerçek zamanlı olarak önceliklendirilmesini ve saldırganların kritik varlıklara ulaşmadan önce durdurulmasını sağlar.

bu işlem üç temel aşamayı içerir:

1. Defender, ihlal sonrası etkinliği kuruluşun maruz kalma grafiğine yer paylaşımlı olarak ekler ve olası saldırı yollarının kapsamlı bir görünümünü oluşturur.
2. Defender, tanımlanan etkinliğin etkileyebileceği ilgili varlıklar olan patlama yarıçapını tanımlar.
3. Neden oluşturma modelleri, saldırganların izleme olasılığı en yüksek yolları tahmin eder ve geçmiş davranışları, varlık özelliklerini ve çevresel güvenlik açıklarını dikkate alır.

Bu dinamik anlayış, Defender'ın reaktif yanıtların ötesine geçerek saldırganları kritik varlıklara ulaşmadan durduran tam zamanında korumayı etkinleştirir.

Tahmine dayalı koruma eylemleri

Tahmine dayalı koruma, Uç Nokta tabanlı eylemler için Defender kullanır. Bu eylemleri kullanmak için bir Uç Nokta için Defender lisansına sahip olmanız gerekir.

• Safeboot sağlamlaştırma (Önizleme) - Cihazı Güvenli Mod'da önyüklemeye karşı sağlamleştirir. Güvenli Modda önyükleme, saldırganlar tarafından güvenlik denetimlerini atlamak ve güvenliği aşılmış sistemlerde kalıcılığı korumak için kullanılan yaygın bir taktiktir.

• GPO sağlamlaştırma (Önizleme) - Saldırganların ayrıcalıkları ilerletmek veya ağ içinde yanlı hareket etmek için GPO ayarlarında yanlış yapılandırmalardan veya zayıflıklardan yararlanmasını önlemek için grup ilkesi Nesnelerini (GPO' lar) güçlendirir.

• Proaktif kullanıcı kapsaması (kullanıcı içerir) - Açığa çıkarılma riski olan kimlik bilgilerini tanımlamak ve kötü amaçlı etkinlik gerçekleştirmek için yeniden kullanmak için etkinlik verilerini açığa çıkarma verileriyle birlikte ekler. Bu kimlik bilgileriyle ilişkili kullanıcıların etkinliğini proaktif olarak kısıtlar.

  Not

  İçerir kullanıcı eylemi hem saldırı kesintisinde hem de tahmine dayalı korumada kullanılırken, bu eylem her bağlamda farklı uygulanır. Tahmine dayalı korumada, kullanıcı eylemi kısıtlamaları daha seçici bir şekilde uygular ve tahmin mantığı aracılığıyla yüksek risk olarak tanımlanan kullanıcılara odaklanır. Bu eylem, mevcut oturumları sonlandırmak yerine yeni oturumları engeller.

  Bu eylem, hem saldırı kesintisi hem de tahmine dayalı koruma tarafından tetiklendiğinde genel olarak kullanılabilir.

Sonraki adımlar

• Microsoft Defender'de tahmine dayalı korumayı yönetme - Tahmine dayalı koruma eylemlerini yönetmeyi ve bunların ortamınızdaki etkisini araştırmayı öğrenin.
• Microsoft Defender'de otomatik saldırı kesintisi - Doğrulanmış kötü amaçlı etkinlikleri tanımlamak ve etkisiz hale getirmek için otomatik saldırı kesintilerinin nasıl çalıştığını öğrenin.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.