Konfigurieren der Täuschungsfunktion in Microsoft Defender XDR

Gilt für:

• Microsoft Defender XDR

Hinweis

Die integrierte Täuschungsfunktion in Microsoft Defender XDR deckt alle Windows-Clients ab, die in Microsoft Defender for Endpoint integriert sind. Unter Onboarding in Microsoft Defender for Endpoint erfahren Sie, wie Sie Clients in Defender für Endpunkt integrieren.

Microsoft Defender XDR verfügt über integrierte Täuschungstechnologie, um Ihre Umgebung vor angriffen mit hoher Auswirkung zu schützen, die von Menschen betriebene Lateral Movements verwenden. In diesem Artikel wird beschrieben, wie Sie die Täuschungsfunktion in Microsoft Defender XDR konfigurieren.

Aktivieren der Täuschungsfunktion

Die Täuschungsfunktion ist standardmäßig deaktiviert. Führen Sie zum Aktivieren die folgenden Schritte aus:

1. Wählen Sie Einstellungen>Endpunkte aus.
2. Wählen Sie unter Allgemeindie Option Erweiterte Features aus.
3. Suchen Sie nach Täuschungsfunktionen , und schalten Sie den Schalter auf Ein um.

Eine Standardregel wird automatisch erstellt und aktiviert, wenn die Täuschungsfunktion aktiviert ist. Die Standardregel, die Sie entsprechend bearbeiten können, generiert automatisch Decoy-Konten und Hosts, die in Köder integriert sind und diese auf allen Zielgeräten im organization. Während der Bereich des Täuschungsfeatures auf alle Geräte im organization festgelegt ist, werden Köder nur auf Windows-Clientgeräten gepflanzt.

Create und Ändern von Täuschungsregeln

Hinweis

Microsoft Defender XDR unterstützt derzeit die Erstellung von bis zu zehn (10) Täuschungsregeln.

Führen Sie zum Erstellen einer Täuschungsregel die folgenden Schritte aus:

1. Navigieren Sie zu Einstellungen>Endpunkte. Wählen Sie unter Regeln die Option Täuschungsregeln aus.
2. Wählen Sie Täuschungsregel hinzufügen aus.
3. Fügen Sie im Bereich regelerstellung einen Regelnamen und eine Beschreibung hinzu, und wählen Sie aus, welche Locktypen erstellt werden sollen. Sie können sowohl den Locktyp "Basic" als auch "Erweitert" auswählen.
4. Identifizieren Sie die Geräte, auf denen Sie die Köder im Bereichsabschnitt pflanzen möchten. Sie können auf allen Windows-Clientgeräten oder in Clients mit bestimmten Tags ködern. Das Täuschungsfeature deckt derzeit Windows-Clients ab.
5. Die Täuschungsfunktion dauert dann einige Minuten, um automatisch Decoy-Konten und Hosts zu generieren. Beachten Sie, dass die Täuschungsfunktion Decoy-Konten generiert, die den Benutzerprinzipalnamen (User Principal Name, UPN) in Active Directory imitieren.
6. Sie können automatisch generierte Lockvogel überprüfen, bearbeiten oder löschen. In diesem Abschnitt können Sie auch eigene Decoy-Konten und Hosts hinzufügen. Um falsch positive Erkennungen zu verhindern, stellen Sie sicher, dass hinzugefügte Hosts/IP-Adressen nicht vom organization verwendet werden.
7. Sie können den Namen eines Decoy-Kontos, den Hostnamen und die IP-Adresse, an der die Köder gepflanzt werden, im Abschnitt Decoys bearbeiten. Beim Hinzufügen von IP-Adressen wird die Verwendung einer Sandbox-IP-Adresse empfohlen, sofern diese im organization vorhanden ist. Vermeiden Sie die Verwendung häufig verwendeter Adressen, z. B. 127.0.0.1, 10.0.0.1 usw.

Achtung

Um falsch positive Warnungen zu vermeiden, wird dringend empfohlen, beim Erstellen und Bearbeiten von Decoy-Konten und Hosts eindeutige Benutzerkonten und Hostnamen zu erstellen. Stellen Sie sicher, dass erstellte Benutzerkonten und Hosts für jede Täuschungsregel eindeutig sind und dass diese Konten und Hosts nicht im Verzeichnis der organization vorhanden sind.

8. Ermitteln Sie, ob Sie automatisch generierte oder benutzerdefinierte Köder im Abschnitt "Köder" verwenden. Wählen Sie unter Benutzerdefinierte Köder verwenden die Option Neuen Köder hinzufügen aus, um Ihre eigenen Köder hochzuladen. Benutzerdefinierte Köder können einen beliebigen Dateityp (außer .DLL- und .EXE-Dateien) haben und sind auf jeweils 10 MB beschränkt. Beim Erstellen und Hochladen von benutzerdefinierten Ködern empfehlen wir, die in den vorherigen Schritten generierten gefälschten Hosts oder gefälschten Benutzerkonten zu enthalten oder zu Erwähnung, um sicherzustellen, dass Die Köder für Angreifer attraktiv sind.
9. Geben Sie einen Ködernamen und einen Pfad an, an dem der Köder gepflanzt wird. Sie können dann auswählen, dass der Köder auf allen Geräten, die im Bereichsabschnitt behandelt werden, gepflanzt werden soll, und ob der Köder als ausgeblendete Datei gepflanzt werden soll. Wenn diese Felder deaktiviert sind, schachtelt das Täuschungsfeature die Köder automatisch in zufällige Geräte innerhalb des Bereichs ein.
10. Überprüfen Sie die Details der erstellten Regel im Zusammenfassungsabschnitt. Sie können die Regeldetails bearbeiten, indem Sie in dem Abschnitt, den Sie ändern müssen, auf Bearbeiten klicken. Wählen Sie Nach der Überprüfung Speichern aus.
11. Die neue Regel wird nach erfolgreicher Erstellung im Bereich Täuschungsregeln angezeigt. Es dauert ungefähr 12 bis 24 Stunden, bis die Regel erstellt wurde. Überprüfen Sie den Status , um den Fortschritt der Regelerstellung zu überwachen.
12. Um die Details der aktiven Regeln zu überprüfen, einschließlich Details zu den abgedeckten Geräten und gepflanzten Decoys und Ködern, wählen Sie exportieren im Regelbereich aus.

Führen Sie die folgenden Schritte aus, um eine Täuschungsregel zu ändern:

1. Wählen Sie im Bereich Täuschungsregeln die zu ändernde Regel aus.
2. Wählen Sie im Bereich mit den Regeldetails die Option Bearbeiten aus.
3. Um die Regel zu deaktivieren, wählen Sie deaktivieren im Bearbeitungsbereich aus.
4. Um eine Täuschungsregel zu löschen, wählen Sie löschen im Bearbeitungsbereich aus .

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.