Microsoft Defender 全面偵測回應 中的自動攻擊中斷
適用於:
- Microsoft Defender XDR
Microsoft Defender 全面偵測回應 將數百萬個個別訊號相互關聯,以高信賴度識別環境中的作用中勒索軟體活動或其他複雜的攻擊。 當攻擊進行中時,Defender 全面偵測回應 會自動包含攻擊者透過自動攻擊中斷所使用的遭入侵資產來中斷攻擊。
自動攻擊中斷會限制早期的橫向移動,並降低攻擊的整體影響,從相關聯的成本到生產力損失。 同時,它讓安全性作業小組完全掌控調查、補救及讓資產重新上線。
本文提供自動攻擊中斷的概觀,並包含後續步驟和其他資源的連結。
自動攻擊中斷的運作方式
自動攻擊中斷的設計目的是要包含進行中的攻擊、限制對組織資產的影響,以及提供更多時間讓安全性小組完全補救攻擊。 攻擊中斷會使用 XDR) 訊號 (延伸偵測和回應的完整廣度,將整個攻擊納入考慮,以在事件層級採取行動。 這項功能不同於已知的保護方法,例如以單一入侵指標為基礎的預防和封鎖。
雖然許多 XDR 和安全性協調流程、自動化和回應 (SOAR) 平臺可讓您建立自動回應動作,但系統會內建自動攻擊中斷,並使用來自Microsoft安全性研究人員和進階 AI 模型的見解來對抗進階攻擊的複雜性。 自動攻擊中斷會考慮來自不同來源的整個訊號內容,以判斷遭入侵的資產。
自動攻擊中斷會在三個主要階段運作:
- 它使用 Defender 全面偵測回應 能夠透過端點、身分識別、電子郵件和共同作業工具,以及 SaaS 應用程式的深入解析,將來自許多不同來源的訊號相互關聯至單一、高信賴度事件。
- 它會識別攻擊者所控制的資產,並用來散佈攻擊。
- 它會藉由隔離受影響的資產,在相關 Microsoft Defender 產品之間自動採取回應動作,以即時包含攻擊。
此遊戲變更功能會在早期限制威脅執行者的進度,並大幅降低攻擊的整體影響,從相關成本到生產力損失。
在採取自動動作時建立高度信賴度
我們了解,根據安全性小組可能對組織造成的潛在影響,採取自動動作有時會引動安全性小組。 因此,Defender 全面偵測回應 中的自動攻擊中斷功能是設計成依賴高逼真度訊號。 它也會使用 Defender 全面偵測回應 事件與數百萬個跨電子郵件、身分識別、應用程式、檔、裝置、網路和檔案的 Defender 產品訊號相互關聯。 Microsoft的安全性研究小組持續調查數千個事件的深入解析,可確保自動攻擊中斷 (SNR) 維持高訊號對雜訊比率。
調查是監視訊號和攻擊威脅環境不可或缺的一部分,以確保高品質且精確的保護。
提示
本文說明攻擊中斷的運作方式。 若要設定這些功能,請參閱在 Microsoft Defender 全面偵測回應 中設定攻擊中斷功能。
自動化回應動作
自動攻擊中斷會使用以Microsoft為基礎的 XDR 回應動作。 這些動作的範例包括:
裝置包含 - 根據 適用於端點的 Microsoft Defender 的功能,此動作是可疑裝置的自動內含專案,可封鎖與該裝置的任何連入/傳出通訊。
停用使用者 - 根據 適用於身分識別的 Microsoft Defender 的功能,此動作會自動暫停遭入侵的帳戶,以防止額外的損害,例如橫向移動、惡意信箱使用或惡意代碼執行。 停用使用者動作的行為會根據用戶在環境中的裝載方式而有所不同。
- 當使用者帳戶裝載於 Active Directory 中時:適用於身分識別的 Defender 會在執行適用於身分識別的 Defender 代理程式的域控制器上觸發停用使用者動作。
- 當使用者帳戶裝載於 Active Directory,並在 Microsoft Entra ID 上同步處理時:適用於身分識別的 Defender 會透過上線域控制器觸發停用用戶動作。 攻擊中斷也會停用 Entra ID 同步帳戶上的用戶帳戶。
- 當使用者帳戶裝載於 Entra ID 中時,只會 (雲端原生帳戶) :攻擊中斷會停用 Entra ID 同步帳戶上的用戶帳戶。
注意事項
在 Microsoft Entra ID 中停用用戶帳戶並不取決於 適用於身分識別的 Microsoft Defender 的部署。
- 包含使用者 - 根據 適用於端點的 Microsoft Defender 的功能,此回應動作會暫時包含可疑的身分識別,以協助封鎖與適用於端點的 Defender 上線裝置的連入通訊相關的任何橫向行動和遠端加密。
如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的補救動作。
使用 Microsoft Sentinel的 SAP 自動響應動作
如果您使用統一的安全性作業平臺,並已部署 SAP 應用程式的 Microsoft Sentinel 解決方案,您也可以部署 SAP 的自動攻擊中斷。
例如,針對 SAP 部署攻擊中斷,以在發生財務程式操作攻擊時鎖定可疑的 SAP 使用者,以包含遭入侵的資產。
降低風險之後,Microsoft Defender 系統管理員可以手動解除鎖定已由攻擊中斷回應自動鎖定的使用者。 手動解除鎖定使用者的能力可從 Microsoft Defender 控制中心取得,且僅適用於遭到攻擊中斷鎖定的使用者。
若要針對 SAP 使用攻擊中斷,請部署新的資料連接器代理程式,或確定您的代理程式使用版本90847355或更新版本,然後指派並套用所需的 Azure 和 SAP 角色。 如需詳細資訊,請參閱:
當您在 Azure 入口網站 和 SAP 系統中設定攻擊中斷時,自動攻擊中斷本身只會出現在 Microsoft Defender 入口網站的整合安全性作業平臺中。
識別您的環境中發生攻擊中斷的時間
[Defender 全面偵測回應 事件] 頁面會透過攻擊案例反映自動攻擊中斷動作,以及圖 1) (黃色列所指出的狀態。 此事件會顯示專用的中斷標記、反白顯示事件圖表中包含的資產狀態,然後將動作新增至控制中心。
Defender 全面偵測回應 用戶體驗現在包含其他視覺提示,以確保這些自動動作的可見性。 您可以在下列體驗中找到它們:
在事件佇列中:
- 受影響事件旁會出現標題為 「攻擊中斷 」的標籤
在事件頁面上:
- 標題為攻擊中斷的標籤
- 頁面頂端的黃色橫幅,醒目提示採取的自動動作
- 如果在資產上執行動作,例如已停用帳戶或包含裝置,則事件圖表中會顯示目前的資產狀態
透過 API:
(攻擊中斷) 字串會新增至事件標題的結尾,且高信賴度可能會自動中斷。 例如:
BEC 財務詐騙攻擊是從遭入侵的帳戶所發動, (攻擊中斷)
如需詳細資訊,請 參閱檢視攻擊中斷詳細數據和結果。
後續步驟
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。