行為封鎖和包含專案
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender XDR
- Microsoft Defender 防毒軟體
平台
- Windows
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
概觀
現今的威脅環境會因 無檔案惡意代碼 而滿溢,而這些惡意代碼存在於陸地之外、變化速度比傳統解決方案更快的高多型威脅可跟上,以及可適應敵人在遭入侵裝置上發現之攻擊的人類操作攻擊。 傳統安全性解決方案不足以阻止這類攻擊;您需要人工智慧 (AI) 和裝置學習 (ML) 支援功能,例如適用於 端點的 Defender 中包含的行為封鎖和內含專案。
行為封鎖和內含專案功能可以根據威脅的行為和處理樹狀結構,協助識別和停止威脅,即使威脅已開始執行也一般。 適用於端點的下一代保護、EDR 和適用於端點的Defender元件和功能可在行為封鎖和內含專案功能中共同運作。
行為封鎖和內含專案功能可與適用於端點的 Defender 的多個元件和功能搭配運作,以立即停止攻擊並防止攻擊進行。
新一代保護 (包括Microsoft Defender 防病毒軟體) 可藉由分析行為來偵測威脅,並停止已開始執行的威脅。
EDR (端點偵測和回應) 會接收整個網路、裝置和核心行為的安全性訊號。 偵測到威脅時,會建立警示。 相同類型的多個警示會匯總成事件,讓您的安全性作業小組更容易調查和回應。
適用於端點的 Defender 除了透過 EDR 接收的網路、端點和核心行為訊號之外,還有各種不同的光纖,包括身分識別、電子郵件、數據和應用程式。 Microsoft Defender XDR、適用於端點的 Defender 的元件會處理這些訊號並相互關聯、引發偵測警示,以及連接事件中的相關警示。
透過這些功能,即使威脅開始執行,仍可防止或封鎖更多威脅。 每當偵測到可疑行為時,就會包含威脅、建立警示,並在其追蹤中停止威脅。
下圖顯示行為封鎖和內含專案功能所觸發的警示範例:
行為封鎖和內含專案的元件
用戶端、原則驅動 的攻擊面縮小規則 根據您的受攻擊面縮小規則,會防止預先定義的常見攻擊行為執行。 當這類行為嘗試執行時,可以在 Microsoft Defender XDR 中看到這些行為作為資訊警示。 默認不會啟用受攻擊面縮小規則;您可以在 Microsoft Defender 入口網站中設定原則。
用戶端行為封鎖 端點上的威脅會透過機器學習來偵測,然後自動封鎖和補救。 (預設會啟用用戶端行為封鎖。)
意見反應循環封鎖 (也稱為快速保護) 透過行為智慧觀察到威脅偵測。 威脅會停止,並防止在其他端點上執行。 (預設會啟用意見反應迴圈封鎖。)
在區塊模式中 (EDR) 端點偵測和回應 透過入侵後保護觀察到的惡意成品或行為會遭到封鎖並包含在內。 即使 Microsoft Defender 防病毒軟體不是主要的防病毒軟體解決方案,封鎖模式中的 EDR 仍可運作。 (區塊模式中的 EDR 預設不會啟用;您會在 Microsoft Defender XDR.) 開啟
預期行為封鎖和內含項目的領域會有更多,因為Microsoft會持續改善威脅防護功能。 若要查看規劃和立即推出的內容,請造訪 Microsoft 365 藍圖。
行為封鎖和動作內含專案的範例
行為封鎖和內含功能已封鎖攻擊者技術,如下所示:
- 來自 LSASS 的認證傾印
- 跨進程插入
- 進程空心化
- 用戶帳戶控制略過
- 竄改防病毒軟體 (例如停用或新增惡意代碼作為排除)
- 連絡命令和控制 (C&C) 以下載承載
- 錢幣採礦
- 修改開機記錄
- 傳遞哈希攻擊
- 安裝跟證書
- 各種弱點的惡意探索嘗試
以下是行為封鎖和內含專案實際運作的兩個實際範例。
範例 1:針對 100 個組織的認證竊取攻擊
如同 在難以自定義威脅的熱門威脅中所述:AI 驅動的行為型封鎖會停止其數據軌中的攻擊,針對全球 100 個組織的認證竊取攻擊已因行為封鎖和內含專案功能而停止。 包含偽裝文件的魚叉式網路釣魚電子郵件訊息已傳送給目標組織。 如果收件者開啟附件,相關的遠端檔就能夠在使用者的裝置上執行程式碼,並載入 Lokibot 惡意代碼,這會竊取認證、外洩遭竊的數據,並等候來自命令和控制伺服器的進一步指示。
適用於端點的 Defender 中的行為型裝置學習模型在攻擊鏈中的兩個點攔截並停止攻擊者的技巧:
- 第一個保護層偵測到惡意探索行為。 雲端中的裝置學習分類器正確地將威脅識別為 ,並立即指示用戶端裝置封鎖攻擊。
- 第二個保護層可協助停止攻擊超過第一層的情況、偵測到進程空心、停止該程式,以及移除對應的檔案 (例如 Lokibot) 。
偵測到並停止攻擊時,會觸發警示,例如「初始存取警示」,並出現在 Microsoft Defender 入口網站中。
此範例示範雲端中以行為為基礎的裝置學習模型如何新增防禦攻擊的新層級,即使在它們開始執行之後也一樣。
範例 2:NTLM 轉送 - Juicy Rogue 惡意代碼變體
如最近的部落格文章行為 封鎖和內含專案:將光纖轉換成保護中所述,2020 年 1 月,適用於端點的 Defender 偵測到組織中裝置上的許可權提升活動。 已觸發稱為「可能使用NTLM轉送提升許可權」的警示。
威脅已變成惡意代碼;這是一個新的、未見的變體,是一種稱為 Juicy Marketplace 的惡意入侵工具,攻擊者會使用此工具在裝置上取得許可權提升。
觸發警示幾分鐘后,會分析檔案,並確認為惡意檔案。 其程式已停止和封鎖,如下圖所示:
在構件遭到封鎖幾分鐘后,相同裝置上會封鎖相同檔案的多個實例,以防止更多攻擊者或其他惡意代碼部署在裝置上。
此範例顯示使用行為封鎖和內含功能時,會自動偵測、包含和封鎖威脅。
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
後續步驟
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。