Microsoft Defender XDR 中的自動攻擊中斷
適用於:
- Microsoft Defender XDR
Microsoft Defender XDR 會將數百萬個個別訊號相互關聯,以高信賴度識別環境中的作用中勒索軟體活動或其他複雜的攻擊。 攻擊進行中時,Defender XDR 會自動包含攻擊者透過自動攻擊中斷所使用的遭入侵資產,以中斷攻擊。
自動攻擊中斷會限制早期的橫向移動,並降低攻擊的整體影響,從相關聯的成本到生產力損失。 同時,它讓安全性作業小組完全掌控調查、補救及讓資產重新上線。
本文提供自動攻擊中斷的概觀,並包含後續步驟和其他資源的連結。
自動攻擊中斷的運作方式
自動攻擊中斷的設計目的是要包含進行中的攻擊、限制對組織資產的影響,以及提供更多時間讓安全性小組完全補救攻擊。 攻擊中斷會使用 XDR) 訊號 (延伸偵測和回應的完整廣度,將整個攻擊納入考慮,以在事件層級採取行動。 這項功能不同於已知的保護方法,例如以單一入侵指標為基礎的預防和封鎖。
雖然許多 XDR 和安全性協調流程、自動化和回應 (SOAR) 平臺可讓您建立自動回應動作,但會內建自動攻擊中斷,並使用 Microsoft 安全性研究人員和進階 AI 模型的深入解析來對抗進階攻擊的複雜性。 自動攻擊中斷會考慮來自不同來源的整個訊號內容,以判斷遭入侵的資產。
自動攻擊中斷會在三個主要階段運作:
- 它使用Defender XDR的能力,透過端點、身分識別、電子郵件和共同作業工具,以及SaaS應用程式的深入解析,將來自許多不同來源的訊號相互關聯至單一、高信賴度的事件。
- 它會識別攻擊者所控制的資產,並用來散佈攻擊。
- 它會藉由隔離受影響的資產,在相關 Microsoft Defender 產品之間自動採取回應動作,以即時包含攻擊。
此遊戲變更功能會在早期限制威脅執行者的進度,並大幅降低攻擊的整體影響,從相關成本到生產力損失。
在採取自動動作時建立高度信賴度
我們了解,根據安全性小組可能對組織造成的潛在影響,採取自動動作有時會引動安全性小組。 因此,Defender XDR 中的自動攻擊中斷功能是設計成依賴高逼真度訊號。 它也會使用 Defender XDR 的事件相互關聯,跨電子郵件、身分識別、應用程式、檔、裝置、網路和檔案,與數百萬個 Defender 產品訊號相互關聯。 Microsoft 安全性研究小組持續調查數千個事件的深入解析,可確保自動攻擊中斷 (SNR) 維持高訊號對雜訊比率。
調查是監視訊號和攻擊威脅環境不可或缺的一部分,以確保高品質且精確的保護。
提示
本文說明攻擊中斷的運作方式。 若要設定這些功能,請參閱在 Microsoft Defender XDR 中設定 攻擊中斷功能 。
自動化回應動作
自動攻擊中斷會使用以 Microsoft 為基礎的 XDR 回應動作。 這些動作的範例包括:
裝置包含 - 根據適用於端點的 Microsoft Defender 功能,此動作是可疑裝置的自動內含專案,可封鎖與上述裝置的任何連入/傳出通訊。
停用使用者 - 根據適用於身分識別的 Microsoft Defender 功能,此動作會自動暫停遭入侵的帳戶,以防止額外的損害,例如橫向移動、惡意信箱使用或惡意代碼執行。
包含使用者 - 根據適用於端點的 Microsoft Defender 功能,此回應動作會暫時包含可疑的身分識別,以協助封鎖任何與適用於端點的 Defender 上線裝置的連入通訊相關的橫向移動和遠端加密。
如需詳細資訊,請參閱 Microsoft Defender XDR 中的 補救動作 。
使用 Microsoft Sentinel 自動執行 SAP 的響應動作
如果您使用 統一的安全性作業平臺 ,且已部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案,您也可以部署 SAP 的自動攻擊中斷。
例如,針對 SAP 部署攻擊中斷,以在發生財務程式操作攻擊時鎖定可疑的 SAP 使用者,以包含遭入侵的資產。
降低風險之後,Microsoft Defender 系統管理員可以手動解除鎖定已由攻擊中斷回應自動鎖定的使用者。 手動解除鎖定使用者的能力可從 Microsoft Defender 控制中心取得,且僅適用於因攻擊中斷而鎖定的使用者。
若要針對 SAP 使用攻擊中斷,請部署新的資料連接器代理程式,或確定您的代理程式使用版本90847355或更新版本,然後指派並套用所需的 Azure 和 SAP 角色。 如需詳細資訊,請參閱:
當您在 Azure 入口網站和 SAP 系統中設定攻擊中斷時,自動攻擊中斷本身只會出現在 Microsoft Defender 入口網站的整合安全性作業平臺中。
識別您的環境中發生攻擊中斷的時間
Defender XDR 事件頁面會透過攻擊案例反映自動攻擊中斷動作,以及圖 1) (黃色列所指出的狀態。 此事件會顯示專用的中斷標記、反白顯示事件圖表中包含的資產狀態,然後將動作新增至控制中心。
Defender XDR 使用者體驗現在包含其他視覺提示,以確保這些自動動作的可見性。 您可以在下列體驗中找到它們:
在事件佇列中:
- 受影響事件旁會出現標題為 「攻擊中斷 」的標籤
在事件頁面上:
- 標題為攻擊中斷的標籤
- 頁面頂端的黃色橫幅,醒目提示採取的自動動作
- 如果在資產上執行動作,例如已停用帳戶或包含裝置,則事件圖表中會顯示目前的資產狀態
透過 API:
(攻擊中斷) 字串會新增至事件標題的結尾,且高信賴度可能會自動中斷。 例如:
BEC 財務詐騙攻擊是從遭入侵的帳戶所發動, (攻擊中斷)
如需詳細資訊,請 參閱檢視攻擊中斷詳細數據和結果。
後續步驟
提示
想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender XDR 技術社群。