Microsoft Defender XDR中的自动攻击中断

适用于:

  • Microsoft Defender XDR

Microsoft Defender XDR关联数百万个单独信号,以高置信度识别环境中的活动勒索软件活动或其他复杂的攻击。 攻击正在进行中时,Defender XDR通过自动攻击中断自动包含攻击者正在使用的受攻击资产来中断攻击。

自动攻击中断会尽早限制横向移动,并减少攻击的总体影响,从相关成本到生产力损失。 同时,它让安全运营团队完全控制资产的调查、修正和恢复联机。

本文概述了自动攻击中断,并提供了后续步骤和其他资源的链接。

自动攻击中断的工作原理

自动攻击中断旨在遏制正在进行的攻击,限制对组织资产的影响,并为安全团队提供更多时间来完全修正攻击。 攻击中断使用 XDR) 信号 (扩展检测和响应的全部广度,将整个攻击考虑在事件级别进行操作。 此功能不同于已知的保护方法,例如基于单个泄露指标的预防和阻止。

虽然许多 XDR 和安全业务流程、自动化和响应 (SOAR) 平台允许创建自动响应操作,但自动攻击中断是内置的,并使用来自Microsoft安全研究人员和高级 AI 模型的见解来抵消高级攻击的复杂性。 自动攻击中断考虑来自不同源的信号的整个上下文,以确定泄露的资产。

自动攻击中断在三个关键阶段运行:

  • 它使用 Defender XDR 的功能,通过终结点、标识、电子邮件和协作工具以及 SaaS 应用的见解,将来自许多不同的源的信号关联到单个高置信度事件。
  • 它标识由攻击者控制并用于传播攻击的资产。
  • 它自动跨相关Microsoft Defender产品采取响应操作,通过隔离受影响的资产来实时遏制攻击。

这种改变游戏规则的功能会限制威胁参与者的早期进度,并大幅降低攻击的总体影响,从相关成本到生产力损失。

执行自动操作时建立高置信度

我们知道,由于安全团队可能会对组织产生潜在影响,因此采取自动操作有时会带来犹豫。 因此,Defender XDR中的自动攻击中断功能旨在依赖于高保真信号。 它还使用Defender XDR的事件关联,以及跨电子邮件、标识、应用程序、文档、设备、网络和文件的数百万个 Defender 产品信号。 Microsoft安全研究团队对数千起事件的持续调查提供的见解可确保自动攻击中断 (信噪比) 保持较高的信噪比。

调查是监视我们的信号和攻击威胁形势不可或缺的一部分,以确保高质量和准确的保护。

提示

本文介绍攻击中断的工作原理。 若要配置这些功能,请参阅在 Microsoft Defender XDR 中配置攻击中断功能

自动响应操作

自动攻击中断使用基于Microsoft的 XDR 响应操作。 这些操作的示例包括:

  • 设备包含 - 根据Microsoft Defender for Endpoint的功能,此操作是自动包含可疑设备,以阻止与所述设备的任何传入/传出通信。

  • 禁用用户 - 根据Microsoft Defender for Identity的功能,此操作是自动暂停已泄露的帐户,以防止额外的损害,如横向移动、恶意邮箱使用或恶意软件执行。 “禁用用户”操作的行为因用户在环境中托管的方式而异。

    • 当用户帐户托管在 Active Directory 中时:Defender for Identity 在运行 Defender for Identity 代理的域控制器上触发禁用用户操作。
    • 当用户帐户托管在 Active Directory 中并在Microsoft Entra ID上同步时:Defender for Identity 通过载入的域控制器触发禁用用户操作。 攻击中断还会禁用 Entra ID 同步帐户上的用户帐户。
    • 当用户帐户托管在 Entra ID 中时,仅 (云本机帐户) :攻击中断禁用 Entra ID 同步帐户上的用户帐户。

注意

在 Microsoft Entra ID 中禁用用户帐户不依赖于Microsoft Defender for Identity的部署。

  • 包含用户 - 根据Microsoft Defender for Endpoint的功能,此响应操作会自动暂时包含可疑标识,以帮助阻止与 Defender for Endpoint 的已载入设备之间的传入通信相关的任何横向移动和远程加密。

有关详细信息,请参阅 Microsoft Defender XDR 中的修正操作

使用 Microsoft Sentinel 实现 SAP 的自动响应操作

如果使用统一安全操作平台,并且为 SAP 应用程序部署了Microsoft Sentinel解决方案,还可以为 SAP 部署自动攻击中断。

例如,在发生财务流程操作攻击时,通过锁定可疑 SAP 用户,为 SAP 部署攻击中断以包含受攻击的资产。

风险缓解后,Microsoft Defender管理员可以手动解锁因攻击中断响应自动锁定的用户。 Microsoft Defender操作中心提供手动解锁用户的功能,并且仅适用于因攻击中断而锁定的用户。

若要对 SAP 使用攻击中断,请部署新的数据连接器代理,或确保代理使用版本90847355或更高版本,然后分配并应用所需的 Azure 和 SAP 角色。 有关更多信息,请参阅:

在 Azure 门户 和 SAP 系统中配置攻击中断时,自动攻击中断本身仅在 Microsoft Defender 门户中的统一安全操作平台中出现。

确定环境中何时发生攻击中断

Defender XDR事件页面将通过攻击事件反映自动攻击中断操作,以及图 1) (黄色条指示的状态。 事件显示专用中断标记,突出显示事件图中包含的资产的状态,并向操作中心添加操作。

在Microsoft Defender门户中选择事件 图 1。显示黄色条形的事件视图,其中自动攻击中断采取了操作

Defender XDR用户体验现在包括其他视觉提示,以确保这些自动操作的可见性。 可以在以下体验中找到它们:

  1. 在事件队列中:

    • 受影响的事件旁边会显示一个标题为 “攻击中断 ”的标记
  2. 在事件页上:

    • 标题为“攻击中断”的标记
    • 页面顶部的黄色横幅突出显示了采取的自动操作
    • 如果对资产(例如帐户已禁用或包含的设备)执行了操作,则当前资产状态会显示在事件图中
  3. 通过 API:

    (攻击中断) 字符串添加到可能自动中断的高置信度事件标题的末尾。 例如:

    BEC 金融欺诈攻击从遭到入侵的帐户发起 (攻击中断)

有关详细信息,请参阅 查看攻击中断详细信息和结果

后续步骤

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区