Microsoft Defender XDR中的自动攻击中断

  • 项目

适用于:

  • Microsoft Defender XDR

Microsoft Defender XDR关联数百万个单独信号,以高置信度识别环境中的活动勒索软件活动或其他复杂的攻击。 攻击正在进行中时,Defender XDR通过自动攻击中断自动包含攻击者正在使用的受攻击资产来中断攻击。

自动攻击中断会尽早限制横向移动,并减少攻击的总体影响,从相关成本到生产力损失。 同时,它让安全运营团队完全控制资产的调查、修正和恢复联机。

本文概述了自动攻击中断,并提供了后续步骤和其他资源的链接。

自动攻击中断的工作原理

自动攻击中断旨在遏制正在进行的攻击,限制对组织资产的影响,并为安全团队提供更多时间来完全修正攻击。 攻击中断使用 XDR) 信号 (扩展检测和响应的全部广度,将整个攻击考虑在事件级别进行操作。 此功能不同于已知的保护方法,例如基于单个泄露指标的预防和阻止。

虽然许多 XDR 和安全业务流程、自动化和响应 (SOAR) 平台允许你创建自动响应操作,但自动攻击中断是内置的,它使用 Microsoft 安全研究人员和高级 AI 模型的见解来对抗高级攻击的复杂性。 自动攻击中断考虑来自不同源的信号的整个上下文,以确定泄露的资产。

自动攻击中断在三个关键阶段运行:

  • 它使用 Defender XDR 的功能,通过终结点、标识、电子邮件和协作工具以及 SaaS 应用的见解,将来自许多不同的源的信号关联到单个高置信度事件。
  • 它标识由攻击者控制并用于传播攻击的资产。
  • 它自动跨相关Microsoft Defender产品采取响应操作,通过隔离受影响的资产来实时遏制攻击。

这种改变游戏规则的功能会限制威胁参与者的早期进度,并大幅降低攻击的总体影响,从相关成本到生产力损失。

执行自动操作时建立高置信度

我们知道,由于安全团队可能会对组织产生潜在影响,因此采取自动操作有时会带来犹豫。 因此,Defender XDR中的自动攻击中断功能旨在依赖于高保真信号。 它还使用Defender XDR的事件关联,以及跨电子邮件、标识、应用程序、文档、设备、网络和文件的数百万个 Defender 产品信号。 Microsoft 安全研究团队持续调查数千个事件的见解可确保自动攻击中断 (SNR) 保持较高的信噪比。

调查是监视我们的信号和攻击威胁形势不可或缺的一部分,以确保高质量和准确的保护。

提示

本文介绍攻击中断的工作原理。 若要配置这些功能,请参阅在 Microsoft Defender XDR 中配置攻击中断功能

自动响应操作

自动攻击中断使用基于 Microsoft 的 XDR 响应操作。 这些操作的示例包括:

  • 设备包含 - 根据Microsoft Defender for Endpoint的功能,此操作是自动包含可疑设备,以阻止与所述设备的任何传入/传出通信。

  • 禁用用户 - 根据Microsoft Defender for Identity的功能,此操作是自动暂停已泄露的帐户,以防止额外的损害,如横向移动、恶意邮箱使用或恶意软件执行。

  • 包含用户 - 根据Microsoft Defender for Endpoint的功能,此响应操作会自动暂时包含可疑标识,以帮助阻止与 Defender for Endpoint 的已载入设备之间的传入通信相关的任何横向移动和远程加密。

有关详细信息,请参阅 Microsoft Defender XDR 中的修正操作

使用 Microsoft Sentinel (预览版) 对 SAP 执行自动响应操作

如果使用 统一的安全操作平台 ,并且还部署了适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,还可以为 SAP 部署自动攻击中断。

例如,在发生财务流程操作攻击时,通过锁定可疑 SAP 用户,为 SAP 部署攻击中断以包含受攻击的资产。

风险缓解后,Microsoft Defender管理员可以手动解锁因攻击中断响应自动锁定的用户。 Microsoft Defender操作中心提供手动解锁用户的功能,并且仅适用于因攻击中断而锁定的用户。

有关详细信息,请参阅 在操作中心跟踪操作为 SAP 部署自动攻击中断

确定环境中何时发生攻击中断

Defender XDR事件页面将通过攻击事件反映自动攻击中断操作,以及图 1) (黄色条指示的状态。 事件显示专用中断标记,突出显示事件图中包含的资产的状态,并向操作中心添加操作。

在Microsoft Defender门户中选择事件图 1。显示黄色条形的事件视图,其中自动攻击中断采取了操作

Defender XDR用户体验现在包括其他视觉提示,以确保这些自动操作的可见性。 可以在以下体验中找到它们:

  1. 在事件队列中:

    • 受影响的事件旁边会显示一个标题为 “攻击中断 ”的标记

  2. 在事件页上:

    • 标题为“攻击中断”的标记
    • 页面顶部的黄色横幅突出显示了采取的自动操作
    • 如果对资产(例如帐户已禁用或包含的设备)执行了操作,则当前资产状态会显示在事件图中

  3. 通过 API:

    (攻击中断) 字符串添加到可能自动中断的高置信度事件标题的末尾。 例如:

    BEC 金融欺诈攻击从遭到入侵的帐户发起 (攻击中断)

有关详细信息,请参阅 查看攻击中断详细信息和结果

后续步骤

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区