Automatické přerušení útoku v Microsoft DefenderU XDR
Platí pro:
- Microsoft Defender XDR
Microsoft Defender XDR s vysokou jistotou koreluje miliony jednotlivých signálů, aby identifikoval aktivní ransomwarové kampaně nebo jiné sofistikované útoky v prostředí. Zatímco probíhá útok, Defender XDR ho naruší tím, že automaticky obsahuje ohrožené prostředky, které útočník používá prostřednictvím automatického přerušení útoku.
Automatické přerušení útoku omezuje laterální pohyb v rané fázi a snižuje celkový dopad útoku, od souvisejících nákladů až po ztrátu produktivity. Zároveň poskytuje týmům pro operace zabezpečení úplnou kontrolu nad vyšetřováním, nápravou a přenesením prostředků zpět do online režimu.
Tento článek poskytuje přehled automatického přerušení útoků a obsahuje odkazy na další kroky a další zdroje informací.
Jak funguje automatické přerušení útoku
Automatické přerušení útoku je navržené tak, aby obsahovalo probíhající útoky, omezilo dopad na prostředky organizace a poskytlo bezpečnostním týmům více času na úplnou nápravu útoku. Přerušení útoku využívá celou škálu našich signálů rozšířené detekce a reakce (XDR) a bere v úvahu celý útok na úrovni incidentu. Tato funkce se liší od známých metod ochrany, jako je prevence a blokování na základě jediného indikátoru ohrožení zabezpečení.
I když mnoho platforem XDR a orchestrace zabezpečení, automatizace a reakce (SOAR) umožňuje vytvářet akce automatické reakce, automatické přerušení útoků je integrované a využívá poznatky od výzkumníků zabezpečení Microsoftu a pokročilých modelů AI k potlačení složitosti pokročilých útoků. Automatické přerušení útoku bere v úvahu celý kontext signálů z různých zdrojů k určení ohrožených prostředků.
Automatické přerušení útoku funguje ve třech klíčových fázích:
- Využívá schopnost Defenderu XDR korelovat signály z mnoha různých zdrojů do jediného vysoce důvěryhodného incidentu prostřednictvím přehledů z koncových bodů, identit, e-mailových nástrojů a nástrojů pro spolupráci a aplikací SaaS.
- Identifikuje prostředky řízené útočníkem a použité k šíření útoku.
- Automaticky provádí akce odezvy v příslušných produktech Microsoft Defenderu, aby útok v reálném čase zamešil tím, že izoluje ovlivněné prostředky.
Tato schopnost, která mění hru, omezuje pokrok aktéra hrozeb v rané fázi a dramaticky snižuje celkový dopad útoku, od souvisejících nákladů až po ztrátu produktivity.
Zajištění vysoké spolehlivosti při provádění automatických akcí
Chápeme, že při provádění automatických akcí někdy dochází k váhání ze strany bezpečnostních týmů vzhledem k potenciálnímu dopadu, který to může mít na organizaci. Funkce automatického přerušení útoku v DefenderU XDR jsou proto navržené tak, aby se spoléhaly na signály s vysokou věrností. Využívá také korelaci incidentů DefenderU XDR s miliony signálů produktů Defender napříč e-maily, identitami, aplikacemi, dokumenty, zařízeními, sítěmi a soubory. Poznatky z nepřetržitého vyšetřování tisíců incidentů, které vytvořil tým microsoftu pro výzkum zabezpečení, zajišťují, že automatické přerušení útoku udržuje vysoký poměr signálu k šumu (SNR).
Vyšetřování je nedílnou součástí monitorování našich signálů a prostředí hrozeb útoku, abychom zajistili vysokou kvalitu a přesnou ochranu.
Tip
Tento článek popisuje, jak funguje přerušení útoku. Informace o konfiguraci těchto možností najdete v tématu Konfigurace možností přerušení útoku v programu Microsoft Defender XDR.
Akce automatizované odpovědi
Automatické přerušení útoku využívá akce odpovědi XDR založené na Microsoftu. Příklady těchto akcí:
Obsahují zařízení – v závislosti na schopnostech Microsoft Defenderu for Endpoint je tato akce automatickým blokováním podezřelého zařízení, které blokuje veškerou příchozí a odchozí komunikaci s tímto zařízením.
Zakázat uživatele – tato akce je na základě schopností programu Microsoft Defender for Identity automatické pozastavení ohroženého účtu, aby se zabránilo dalším škodám, jako je laterální pohyb, použití škodlivé poštovní schránky nebo spuštění malwaru.
Obsahovat uživatele – v závislosti na schopnostech Microsoft Defenderu for Endpoint tato akce odpovědi dočasně automaticky obsahuje podezřelé identity, které pomáhají blokovat jakýkoli laterální pohyb a vzdálené šifrování související s příchozí komunikací s onboardovanými zařízeními defenderu for Endpoint.
Další informace najdete v tématu nápravné akce v programu Microsoft Defender XDR.
Automatizované akce odezvy pro SAP s využitím Microsoft Sentinelu
Pokud používáte jednotnou platformu operací zabezpečení a nasadili jste řešení Microsoft Sentinel pro aplikace SAP, můžete také nasadit automatické přerušení útoku pro SAP.
Například nasaďte přerušení útoku pro SAP tak, aby obsahovalo ohrožené prostředky, a to uzamčením podezřelých uživatelů SAP v případě útoku na manipulaci s finančními procesy.
Po zmírnění rizika můžou správci Programu Microsoft Defender ručně odemknout uživatele, kteří byli automaticky uzamčeni reakcí na přerušení útoku. Možnost ručního odemknutí uživatelů je k dispozici v Centru akcí Microsoft Defenderu a pouze pro uživatele, kteří byli uzamčeni přerušením útoku.
Pokud chcete použít přerušení útoku pro SAP, nasaďte nového agenta datového konektoru nebo se ujistěte, že váš agent používá verzi 90847355 nebo vyšší, a pak přiřaďte a použijte požadované role Azure a SAP. Další informace najdete tady:
- Nasazení a konfigurace kontejneru hostujícího agenta datového konektoru SAP
- Aktualizujte agenta datového konektoru SAP služby Microsoft Sentinel, zejména Aktualizujte svůj systém pro automatické přerušení útoku.
Při konfiguraci přerušení útoku na webu Azure Portal a ve vašem systému SAP se automatické přerušení útoku projeví pouze na sjednocené platformě operací zabezpečení na portálu Microsoft Defender.
Zjištění, kdy ve vašem prostředí dojde k přerušení útoku
Stránka incidentu Defender XDR bude odrážet akce automatického přerušení útoku prostřednictvím scénáře útoku a stavu označeného žlutým pruhem (obrázek 1). Incident zobrazuje vyhrazenou značku přerušení, zvýrazní stav prostředků obsažených v grafu incidentů a přidá akci do Centra akcí.
Obrázek 1 Zobrazení incidentu se žlutým pruhem, kde automatické přerušení útoku provedlo akci
Uživatelské prostředí DefenderU XDR teď obsahuje další vizuální pomůcky, které zajistí viditelnost těchto automatických akcí. Najdete je v následujících prostředích:
Ve frontě incidentů:
- Vedle ovlivněných incidentů se zobrazí značka Přerušení útoku .
Na stránce incidentu:
- Značka s názvem Přerušení útoku
- Žlutý nápis v horní části stránky, který zvýrazňuje automatickou akci
- Aktuální stav prostředku se zobrazí v grafu incidentů, pokud se provede akce s aktivem, například se zakázaným účtem nebo obsaženým zařízením.
Prostřednictvím rozhraní API:
Řetězec (přerušení útoku) se přidá na konec názvů incidentů s vysokou jistotou, která může být automaticky narušena. Příklady:
Útok na finanční podvod BEC zahájený z ohroženého účtu (přerušení útoku)
Další informace najdete v podrobnostech a výsledcích přerušení útoku.
Další kroky
- Konfigurace automatického přerušení útoku v Microsoft DefenderU XDR
- Zobrazení podrobností a výsledků
- Získání e-mailových oznámení o akcích odpovědí
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro