Microsoft Defender XDR'de otomatik saldırı kesintisi
Şunlar için geçerlidir:
- Microsoft Defender XDR
Microsoft Defender XDR, etkin fidye yazılımı kampanyalarını veya ortamdaki diğer gelişmiş saldırıları yüksek güvenle tanımlamak için milyonlarca bireysel sinyali ilişkilendirmektedir. Bir saldırı devam ederken, Defender XDR saldırganın otomatik saldırı kesintisi yoluyla kullandığı güvenliği aşılmış varlıkları otomatik olarak içererek saldırıyı kesintiye uğratır.
Otomatik saldırı kesintisi, yanal hareketi erken sınırlar ve ilişkili maliyetlerden üretkenlik kaybına kadar bir saldırının genel etkisini azaltır. Aynı zamanda, güvenlik operasyonları ekiplerini araştırma, düzeltme ve varlıkları yeniden çevrimiçi hale getirme konusunda tam denetime sahiptir.
Bu makale, otomatik saldırı kesintisine genel bir bakış sağlar ve sonraki adımların ve diğer kaynakların bağlantılarını içerir.
Otomatik saldırı kesintisi nasıl çalışır?
Otomatik saldırı kesintisi, devam eden saldırıları içerecek, kuruluşun varlıkları üzerindeki etkisini sınırlayabilecek ve güvenlik ekiplerinin saldırıyı tamamen düzeltmesi için daha fazla zaman sağlayacak şekilde tasarlanmıştır. Saldırı kesintisi, genişletilmiş algılama ve yanıt (XDR) sinyallerimizin tamamını kullanır ve saldırının tamamını olay düzeyinde işlem yapmak üzere dikkate alır. Bu özellik, tek bir güvenlik açığı göstergesine bağlı olarak önleme ve engelleme gibi bilinen koruma yöntemlerine benzemez.
Birçok XDR ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) platformu otomatik yanıt eylemlerinizi oluşturmanıza olanak tanırken, otomatik saldırı kesintisi yerleşiktir ve gelişmiş saldırıların karmaşıklıklarına karşı koymak için Microsoft güvenlik araştırmacılarının ve gelişmiş yapay zeka modellerinin içgörülerini kullanır. Otomatik saldırı kesintisi, güvenliği aşılmış varlıkları belirlemek için farklı kaynaklardan gelen sinyallerin tüm bağlamını dikkate alır.
Otomatik saldırı kesintisi üç temel aşamada çalışır:
- Uç noktalar, kimlikler, e-posta ve işbirliği araçları ve SaaS uygulamalarından gelen içgörüler aracılığıyla birçok farklı kaynaktan gelen sinyalleri tek bir yüksek güvenilirlik olayıyla ilişkilendirmek için Defender XDR özelliğini kullanır.
- Saldırgan tarafından denetlenen varlıkları tanımlar ve saldırıyı yaymak için kullanılır.
- Etkilenen varlıkları yalıtarak ilgili Microsoft Defender ürünleri genelinde saldırıyı gerçek zamanlı olarak içerecek şekilde otomatik olarak yanıt eylemleri gerçekleştirir.
Bu oyun değiştirme özelliği, tehdit aktörünün ilerlemesini erken sınırlar ve bir saldırının genel etkisini, ilişkili maliyetlerden üretkenlik kaybına kadar önemli ölçüde azaltır.
Otomatik işlem yaparken yüksek güvenilirlik sağlama
Otomatik eylem gerçekleştirmenin, bir kuruluş üzerindeki olası etkisi göz önünde bulundurulduğunda bazen güvenlik ekiplerinden tereddütle geldiğini anlıyoruz. Bu nedenle, Defender XDR'daki otomatik saldırı kesintisi özellikleri yüksek kaliteli sinyallere dayanacak şekilde tasarlanmıştır. Ayrıca e-posta, kimlik, uygulamalar, belgeler, cihazlar, ağlar ve dosyalar arasında milyonlarca Defender ürün sinyaliyle Defender XDR olay bağıntısını kullanır. Microsoft'un güvenlik araştırma ekibi tarafından binlerce olayın sürekli araştırılmasının içgörüleri, otomatik saldırı kesintisinin yüksek sinyal-gürültü oranı (SNR) sağlamasını sağlar.
Araştırmalar, yüksek kaliteli ve doğru koruma sağlamak için sinyallerimizi ve saldırı tehdidi ortamını izlemenin ayrılmaz bir parçasıdır.
İpucu
Bu makalede saldırı kesintilerinin nasıl çalıştığı açıklanmaktadır. Bu özellikleri yapılandırmak için bkz. Microsoft Defender XDR'de saldırı kesintisi özelliklerini yapılandırma.
Otomatik yanıt eylemleri
Otomatik saldırı kesintisi, Microsoft tabanlı XDR yanıt eylemlerini kullanır. Bu eylemlere örnek olarak şunlar verilebilir:
Cihaz içerir - Uç Nokta için Microsoft Defender özelliğine bağlı olarak, bu eylem söz konusu cihazla gelen/giden iletişimi engellemek için şüpheli bir cihazın otomatik olarak kapsandığı bir eylemdir.
Kullanıcıyı devre dışı bırak - Kimlik için Microsoft Defender özelliğine bağlı olarak, bu eylem yanal hareket, kötü amaçlı posta kutusu kullanımı veya kötü amaçlı yazılım yürütme gibi ek zararları önlemek için güvenliği aşılmış bir hesabın otomatik olarak askıya alınmasıdır.
Kullanıcı içerir- Uç Nokta için Microsoft Defender özelliğine bağlı olarak bu yanıt eylemi, Uç Nokta için Defender'ın eklenen cihazlarıyla gelen iletişimle ilgili yanal hareketleri ve uzaktan şifrelemeyi engellemeye yardımcı olmak için şüpheli kimlikleri otomatik olarak içerir.
Daha fazla bilgi için bkz. Microsoft Defender XDR düzeltme eylemleri.
Microsoft Sentinel ile SAP için otomatik yanıt eylemleri (Önizleme)
Birleşik güvenlik operasyonları platformunu kullanıyorsanız ve SAP uygulamaları için Microsoft Sentinel çözümünü dağıttıysanız SAP için otomatik saldırı kesintisi de dağıtabilirsiniz.
Örneğin, finansal işlem düzenleme saldırısı durumunda şüpheli SAP kullanıcılarını kilitleyerek SAP'nin güvenliği aşılmış varlıkları içermesi için saldırı kesintisi dağıtın.
Risk azaltıldıktan sonra, Microsoft Defender yöneticiler saldırı kesintisi yanıtı tarafından otomatik olarak kilitlenen kullanıcıların kilidini el ile açabilir. Kullanıcıların kilidini el ile açma özelliği, Microsoft Defender işlem merkezinden ve yalnızca saldırı kesintisi nedeniyle kilitlenen kullanıcılar için kullanılabilir.
Daha fazla bilgi için bkz. İşlem merkezindeki eylemleri izleme ve SAP için otomatik saldırı kesintisi dağıtma.
Ortamınızda bir saldırı kesintisi oluştuğunda belirleme
Defender XDR olay sayfası, saldırı hikayesi aracılığıyla otomatik saldırı kesintisi eylemlerini ve sarı çubukla gösterilen durumu yansıtır (Şekil 1). Olay ayrılmış bir kesinti etiketi gösterir, olay grafiğinde yer alan varlıkların durumunu vurgular ve İşlem Merkezi'ne bir eylem ekler.
Şekil 1. Otomatik saldırı kesintisinin gerçekleştiği sarı çubuğu gösteren olay görünümü
Defender XDR kullanıcı deneyimi artık bu otomatik eylemlerin görünürlüğünü sağlamak için ek görsel ipuçları içerir. Bunları aşağıdaki deneyimlerde bulabilirsiniz:
Olay kuyruğunda:
- Etkilenen olayların yanında Saldırı Kesintisi başlıklı bir etiket görünür
Olay sayfasında:
- Saldırı Kesintisi başlıklı bir etiket
- Sayfanın üst kısmında, gerçekleştirilen otomatik eylemi vurgulayan sarı bir başlık
- Mevcut varlık durumu, bir varlık üzerinde bir eylem yapılırsa (örneğin, hesap devre dışı bırakılmışsa veya cihaz içerilmişse) olay grafiğinde gösterilir
API aracılığıyla:
Olayların başlıklarının sonuna otomatik olarak kesintiye uğrama olasılığı yüksek olan bir (saldırı kesintisi) dizesi eklenir. Örneğin:
Güvenliği aşılmış bir hesaptan başlatılan BEC finansal dolandırıcılık saldırısı (saldırı kesintisi)
Daha fazla bilgi için bkz. Saldırı kesintisi ayrıntılarını ve sonuçlarını görüntüleme.
Sonraki adımlar
- Microsoft Defender XDR'de otomatik saldırı kesintisini yapılandırma
- Ayrıntıları ve sonuçları görüntüleyin
- Yanıt eylemleri için e-posta bildirimleri alma
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin