本文内容
启用欺骗功能
Create和修改欺骗规则
适用于:
Microsoft Defender XDR内置了欺骗技术 ,以保护环境免受使用人工操作横向移动的高影响攻击。 本文介绍如何在 Microsoft Defender XDR 中配置欺骗功能。
默认情况下,欺骗功能处于关闭状态。 若要将其打开,请执行以下步骤:
选择 “设置 >终结点 ”。
在“ 常规 ”下,选择“ 高级功能 ”。
查找 “欺骗功能” 并将开关切换为 “开 ”。
启用欺骗功能时,会自动创建并打开默认规则。 默认规则(可以相应地编辑)自动生成集成到诱饵中的诱饵帐户和主机,并将这些帐户和主机种植到组织中的所有目标设备。 虽然欺骗功能的范围设置为组织中的所有设备,但 lures 仅种植在 Windows 客户端设备中。
备注
Microsoft Defender XDR目前支持创建多达 10 (10 个) 欺骗规则。
若要创建欺骗规则,请执行以下步骤:
导航到 “设置 >终结点 ”。 在 “规则 ”下,选择“ 欺骗规则 ”。
选择 “添加欺骗规则 ”。
在规则创建窗格中,添加规则名称、说明,然后选择要创建的引诱类型。 可以选择 “基本”和“高级 诱饵类型”。
确定你打算在范围部分中种植诱饵的设备。 可以选择在所有 Windows 客户端设备或具有特定标记的客户端中种植诱饵。 欺骗功能目前涵盖 Windows 客户端。
然后,欺骗功能需要几分钟时间才能自动生成欺骗帐户和主机。 请注意,欺骗功能会生成欺骗帐户,这些帐户模拟 Active Directory 中的用户主体名称 (UPN) 。
可以查看、编辑或删除自动生成的诱饵。 还可以在此部分中添加自己的欺骗帐户和主机。 若要防止误报检测,请确保组织不使用添加的主机/IP 地址。
可以编辑诱饵帐户名称、主机名和在诱饵部分中种植 lures 的 IP 地址。 添加 IP 地址时,建议使用沙盒 IP(如果组织中存在)。 避免使用常用地址,例如 127.0.0.1 、 10.0.0.1 等。
注意
为了避免误报警报,强烈建议在创建和编辑诱饵帐户和主机时创建唯一的用户帐户和主机名。 确保创建的用户帐户和主机对于每个欺骗规则都是唯一的,并且这些帐户和主机不存在于组织的目录中。
确定是在 lures 节中使用自动生成的还是自定义 lures。 在“仅使用自定义引诱 来上传自己的诱饵”下选择“添加新 诱饵”。 自定义 lures 可以是除 .DLL 和 .EXE 文件之外的任何文件类型) (,并且每个文件限制为 10 MB。 创建和上传自定义 lures 时,我们建议 lures 包含或提及在前面的步骤中生成的假主机或假用户帐户,以确保 lures 对攻击者具有吸引力。
提供引诱名称和将种植诱饵的路径。 然后,你可以选择在范围部分涵盖的所有设备上种植引诱,如果希望将引诱作为隐藏文件进行种植。 如果未选中这些框,则欺骗功能会自动将未隐藏的 lures 插入到范围内的随机设备中。
在摘要部分中查看已创建规则的详细信息。 可以通过在需要修改的部分上选择“编辑”来编辑规则详细信息。 查看后选择“ 保存 ”。
成功创建后,新规则将显示在“欺骗规则”窗格中。 完成规则创建大约需要 12-24 小时。 检查 “状态” 以监视规则创建进度。
若要检查活动规则的详细信息,包括涵盖和种植诱饵和诱饵的设备的详细信息,请在规则窗格中选择“导出”。
若要修改欺骗规则,请执行以下步骤:
在“欺骗规则”窗格中选择要修改的规则。
在规则详细信息窗格中选择 “编辑 ”。
若要关闭规则,请在编辑窗格中选择“ 关闭 ”。
若要删除欺骗规则,请在编辑窗格中选择“ 删除 ”。