A Microsoft DART ransomware megközelítése és ajánlott eljárásai

Az ember által üzemeltetett zsarolóprogram nem rosszindulatú szoftveres probléma – ez egy emberi bűnözői probléma. Az árucikkekkel kapcsolatos problémák megoldására használt megoldások nem elegendőek egy olyan fenyegetés megelőzésére, amely jobban hasonlít egy nemzetállami fenyegetés szereplőre, aki:

  • Letiltja vagy eltávolítja a víruskereső szoftvert a fájlok titkosítása előtt
  • Letiltja a biztonsági szolgáltatásokat és a naplózást az észlelés elkerülése érdekében
  • A váltságdíj kérésének elküldése előtt megkeresi és megrongálja vagy törli a biztonsági másolatokat

Ezeket a műveleteket általában olyan jogszerű programokkal hajtják végre, amelyek felügyeleti célokra már rendelkezhetnek a környezetében. Bűnözői kezekben ezeket az eszközöket rosszindulatúan használják támadások végrehajtására.

A zsarolóvírusok egyre növekvő fenyegetésére való reagáláshoz modern vállalati konfiguráció, naprakész biztonsági termékek és a képzett biztonsági személyzet ébersége szükséges, hogy észlelje és reagáljon a fenyegetésekre az adatok elvesztése előtt.

A Microsoft észlelési és reagálási csapata (DART) a biztonsági fenyegetésekre reagálva segít az ügyfeleknek a kiberbűnözővé válásban. A DART helyszíni reaktív incidensmegoldást és távoli proaktív vizsgálatokat biztosít. A DART a Microsoft és a világ biztonsági szervezeteivel és belső Microsoft-termékcsoportjaival kialakított stratégiai partnerségeivel biztosítja a lehető legteljesebb és legáthatóbb vizsgálatot.

Ez a cikk azt ismerteti, hogyan kezeli a DART a Zsarolóprogram-támadásokat a Microsoft ügyfelei számára, hogy megfontolhassa a megközelítésük elemeinek és az ajánlott eljárásoknak a saját biztonsági üzemeltetési forgatókönyvre való alkalmazását.

A részletekért tekintse meg ezeket a szakaszokat:

Hogyan használja a DART a Microsoft biztonsági szolgáltatásait?

A DART minden vizsgálathoz nagy mértékben támaszkodik az adatokra, és olyan microsoftos biztonsági szolgáltatások meglévő üzemelő példányait használja, mint a Microsoft Defender for Office 365, a Microsoft Defender for Endpoint, a Microsoft Defender for Identity és a Microsoft Defender for Cloud Apps.

Végponthoz készült Defender

A Defender for Endpoint a Microsoft vállalati végpontbiztonsági platformja, amelynek célja, hogy segítse a vállalati hálózati biztonsági elemzőket a speciális fenyegetések megelőzésében, észlelésében, kivizsgálásában és elhárításában. A Defender for Endpoint fejlett viselkedéselemzéssel és gépi tanulással képes észlelni a támadásokat. Az elemzők a Defender for Endpointet használhatják a támadók viselkedéselemzéséhez.

Íme egy példa egy riasztásra a Végponthoz készült Microsoft Defenderben egy pass-the-ticket típusú támadás esetén.

Example of an alert in Microsoft Defender for Endpoint for a pass-the-ticket attack

Az elemzők speciális veszélyforrás-keresési lekérdezéseket is végrehajthatnak a biztonsági rések (IOC-k) kimutatására, vagy ismert viselkedésre kereshetnek, ha fenyegetést jelentő aktorcsoportot azonosítanak.

Íme egy példa arra, hogyan használhatók fejlett veszélyforrás-keresési lekérdezések az ismert támadói viselkedés megkeresésére.

An example of an advanced hunting query.

A Defender for Endpoint szolgáltatásban a Microsoft Threat Experts valós idejű, szakértői szintű monitorozási és elemzési szolgáltatásához férhet hozzá a folyamatban lévő gyanús szereplői tevékenységekhez. Igény szerint szakértőkkel is együttműködhet, hogy további betekintést nyerjenek a riasztásokba és incidensekbe.

Íme egy példa arra, hogyan jeleníti meg a Defender for Endpoint a zsarolóprogramok részletes tevékenységét.

Example of how Defender for Endpoint shows detailed ransomware activity.

Defender for Identity

A Defender for Identity segítségével megvizsgálhatja az ismert feltört fiókokat, és potenciálisan feltört fiókokat kereshet a szervezetében. A Defender for Identity riasztásokat küld az ismert rosszindulatú tevékenységekről, amelyeket az aktorok gyakran használnak, például a DCSync-támadásokat, a távoli kódvégrehajtási kísérleteket és a kivonatoló támadásokat. A Defender for Identity lehetővé teszi a gyanús tevékenységek és fiókok rögzítését a vizsgálat szűkítéséhez.

Íme egy példa arra, hogyan küld riasztásokat a Defender for Identity a zsarolóprogram-támadásokkal kapcsolatos ismert rosszindulatú tevékenységekről.

An example of how Defender for Identity sends alerts for ransomware attacks

Defender a Cloud Appshez

A Defender for Cloud Apps (korábbi nevén Microsoft Defender for Cloud Apps) lehetővé teszi az elemzők számára, hogy észleljék a szokatlan viselkedést a felhőalkalmazásokban a zsarolóprogramok, a feltört felhasználók vagy a jogosulatlan alkalmazások azonosítása érdekében. A Defender for Cloud Apps a Microsoft felhőelérési biztonsági közvetítőjének (CASB) megoldása, amely lehetővé teszi a felhőszolgáltatások és a felhőszolgáltatásokhoz való adathozzáférés figyelését a felhasználók számára.

Íme egy példa a Defender for Cloud Apps irányítópultjára, amely lehetővé teszi az elemzések számára a felhőalkalmazások szokatlan viselkedésének észlelését.

an example of the Defender for Cloud Apps dashboard.

Microsoft Biztonsági pontszám

A Microsoft 365 Defender-szolgáltatások készlete élő szervizelési javaslatokat nyújt a támadási felület csökkentéséhez. A Microsoft biztonsági pontszáma egy szervezet biztonsági helyzetének mérése, nagyobb számmal jelezve, hogy több fejlesztési művelet történt. A biztonsági pontszám dokumentációjából megtudhatja, hogy szervezete hogyan használhatja ezt a funkciót a környezeten alapuló szervizelési műveletek rangsorolására.

A zsarolóprogram-incidensek kivizsgálásának DART-megközelítése

Mindent meg kell tennie annak meghatározásához, hogy a támadó hogyan szerzett hozzáférést az eszközeihez a biztonsági rések elhárítása érdekében. Ellenkező esetben nagyon valószínű, hogy ugyanez a támadás a jövőben is megtörténik. Bizonyos esetekben a fenyegetést okozó szereplő lépéseket tesz a nyomok eltüntetésére és a bizonyítékok megsemmisítésére, így lehetséges, hogy az események teljes láncolata nem egyértelmű.

A DART zsarolóprogramok vizsgálatának három fő lépése a következő:

Lépés Cél Első kérdések
1. A jelenlegi helyzet értékelése A hatókör ismertetése Mi volt az első tudomásod a zsarolóprogram-támadásról?

Mikor/mikor értesült először az incidensről?

Milyen naplók érhetők el, és van arra utaló jel, hogy a szereplő jelenleg hozzáfér a rendszerekhez?
2. Az érintett üzletági (LOB) alkalmazások azonosítása Rendszerek visszaállítása online állapotba Az alkalmazásnak szüksége van identitásra?

Elérhetők az alkalmazás, a konfiguráció és az adatok biztonsági másolatai?

A biztonsági másolatok tartalmát és integritását egy visszaállítási gyakorlattal rendszeresen ellenőrzik?
3. A biztonsági sérülés utáni helyreállítás (CR) folyamatának meghatározása Támadók irányításának eltávolítása a környezetből N/A

1. lépés A jelenlegi helyzet felmérése

A jelenlegi helyzet felmérése kritikus fontosságú az incidens hatókörének megértéséhez, valamint a legjobb személyek meghatározásához a segítségnyújtáshoz, valamint a vizsgálati és javítási feladatok megtervezéséhez és hatókörének meghatározásához. Az alábbi kezdeti kérdések feltevése elengedhetetlen a helyzet meghatározásához.

Mi volt az első tudomásod a zsarolóprogram támadásáról?

Ha a kezdeti fenyegetést az informatikai személyzet azonosította – például a biztonsági másolatok törlésének észlelése, a víruskereső riasztások, a végpontészlelés és a válasz (EDR) riasztásai vagy a gyanús rendszerváltozások – gyakran gyors, határozott intézkedéseket lehet tenni a támadás megelőzésére, általában az összes bejövő és kimenő internetes kommunikáció letiltásával. Ez ideiglenesen hatással lehet az üzleti műveletekre, de ez általában sokkal kevésbé hatásos, mint egy zsarolóprogramot telepítő támadó.

Ha a fenyegetést az informatikai segélyszolgálat felhasználói hívása azonosította, elegendő előzetes figyelmeztetést kaphat a támadás hatásainak megelőzésére vagy minimalizálására irányuló védelmi intézkedések meghozásához. Ha a fenyegetést egy külső szervezet (például a bűnüldözés vagy egy pénzügyi intézmény) azonosította, akkor valószínű, hogy a kár már megtörtént, és a környezetében olyan bizonyítékokat fog látni, amelyek szerint a fenyegetést jelentő szereplő már megszerezte a hálózata rendszergazdai irányítását. Ez a zsarolóprogramok jegyzeteitől, a zárolt képernyőktől vagy a váltságdíj-igényektől is terjedhet.

Milyen dátum/idő után értesült először az incidensről?

A kezdeti tevékenység dátumának és időpontjának meghatározása azért fontos, mert segít leszűkíteni a kezdeti osztályozás hatókörét, hogy a támadó gyorsan nyerjen. További kérdések lehetnek a következők:

  • Milyen frissítések hiányoznak ezen a napon? Ez fontos annak megértéséhez, hogy a támadó milyen biztonsági réseket kihasznált.
  • Milyen fiókokat használtak ezen a napon?
  • Milyen új fiókok jöttek létre azóta?

Milyen naplók érhetők el, és van arra utaló jel, hogy a szereplő jelenleg hozzáfér a rendszerekhez?

A naplók – például a víruskereső, az EDR és a virtuális magánhálózat (VPN) – a feltételezett biztonságra utalnak. Az utólagos kérdések a következők lehetnek:

  • A naplók egy biztonsági információ- és eseménykezelési (SIEM) megoldásban vannak összesítve – például a Microsoft Sentinel, a Splunk, az ArcSight és mások – és aktuálisak? Mennyi az adatok megőrzési ideje?
  • Vannak olyan feltört rendszerek, amelyek szokatlan tevékenységet tapasztalnak?
  • Vannak olyan gyanús feltört fiókok, amelyeket úgy tűnik, hogy a támadó aktívan használ?
  • Vannak aktív parancsok és vezérlők (C2-k) az EDR-ben, a tűzfalban, a VPN-ben, a webproxyban és más naplókban?

Az aktuális helyzet felmérésének részeként szükség lehet egy Olyan Active Directory Domain Services- (AD DS-) tartományvezérlőre, amely nem sérült, egy tartományvezérlő legutóbbi biztonsági másolatára, vagy egy karbantartás vagy frissítés céljából offline állapotba került tartományvezérlőre. Azt is megállapíthatja, hogy a vállalat minden tagja számára kötelező volt-e többtényezős hitelesítés (MFA ), és hogy az Azure Active Directoryt (Azure AD) használták-e.

2. lépés Azonosítsa azokat az üzletági alkalmazásokat, amelyek az incidens miatt nem érhetők el

Ez a lépés kritikus fontosságú a rendszerek online állapotba helyezésének leggyorsabb módjának megállapításában a szükséges bizonyítékok beszerzése során.

Az alkalmazásnak szüksége van identitásra?

  • Hogyan történik a hitelesítés?
  • Hogyan tárolják és kezelik a hitelesítő adatokat, például a tanúsítványokat vagy a titkos kulcsokat?

Elérhetők az alkalmazás, a konfiguráció és az adatok tesztelt biztonsági másolatai?

  • Rendszeresen ellenőrzik a biztonsági másolatok tartalmát és integritását visszaállítási gyakorlattal? Ez különösen fontos a konfigurációkezelési módosítások vagy verziófrissítések után.

3. lépés A biztonsági rés helyreállítási folyamatának meghatározása

Erre a lépésre akkor lehet szükség, ha megállapította, hogy a vezérlősík , amely általában az AD DS, sérült.

A vizsgálatnak mindig olyan kimenetet kell biztosítania, amely közvetlenül a CR-folyamatba kerül. A CR az a folyamat, amely eltávolítja a támadók irányítását egy környezetből, és taktikailag növeli a biztonsági helyzetet egy meghatározott időszakon belül. A CR a biztonsági incidens után történik. Ha többet szeretne megtudni a CR-ről, olvassa el a Microsoft Compromise Recovery Security Practice csapatÁNAK CRSP-jét: Az ügyfelek mellett a kibertámadások elleni vészhelyzeti csapat blogcikkét.

Miután összegyűjtötte a fenti kérdésekre adott válaszokat, létrehozhat egy feladatlistát, és tulajdonosokat rendelhet hozzá. A sikeres incidenskezelés egyik fő tényezője az egyes munkaelemek részletes dokumentációja (például a tulajdonos, az állapot, az eredmények, a dátum és az idő), így az eredmények összeállítása az előjegyzés végén egyszerű folyamat.

DART-javaslatok és ajánlott eljárások

A DART javaslatokat és ajánlott eljárásokat tartalmaz az elszigetelési és az incidens utáni tevékenységekhez.

Befoglaltság

A visszatartás csak akkor történhet meg, ha az elemzés megállapította, hogy mit kell tartalmaznia. Zsarolóvírusok esetén a támadó célja olyan hitelesítő adatok beszerzése, amelyek lehetővé teszik a rendszergazdai ellenőrzést egy magas rendelkezésre állású kiszolgáló felett, majd üzembe helyezi a zsarolóprogramot. Bizonyos esetekben a fenyegetési szereplő azonosítja a bizalmas adatokat, és kiszűri őket egy általuk kezelt helyre.

A taktikai helyreállítás egyedi lesz a szervezet környezetében, iparágában, valamint informatikai szakértelmében és tapasztalatában. Az alábbi lépések a szervezet rövid távú és taktikai elszigetelési lépéseihez ajánlottak. A hosszú távú útmutatással kapcsolatos további információkért tekintse meg a kiemelt hozzáférés biztosítását ismertető témakört. A zsarolóprogramok és zsarolóprogramok átfogó áttekintéséhez, valamint a szervezet előkészítéséhez és védelméhez tekintse meg az ember által üzemeltetett zsarolóprogramokat.

A következő elszigetelési lépések egyidejűleg elvégezhetők új fenyegetésvektorok felderítése során.

1. lépés: A helyzet hatókörének felmérése

  • Mely felhasználói fiókok sérültek meg?
  • Mely eszközök érintettek?
  • Mely alkalmazások érintettek?

2. lépés: Meglévő rendszerek megőrzése

  • Tiltsa le az összes kiemelt felhasználói fiókot, kivéve a rendszergazdák által az AD DS-infrastruktúra integritásának helyreállításához használt kevés fiókot. Ha úgy vélik, hogy egy felhasználói fiók biztonsága sérül, azonnal tiltsa le.
  • Különítse el a feltört rendszereket a hálózattól, de ne állítsa le őket.
  • Minden tartományban legalább egy ismert jó tartományvezérlő elkülönítése – kettő még jobb. Válassza le őket a hálózatról, vagy állítsa le őket teljesen. A cél itt az, hogy megállítsuk a zsarolóprogramok kritikus rendszerekre való terjedését – az identitás a legkiszolgáltatottabbak közé tartozik. Ha az összes tartományvezérlő virtuális, győződjön meg arról, hogy a virtualizálási platform rendszere és adatmeghajtói offline külső adathordozóra vannak biztonsági másolatot készítve, amely nem csatlakozik a hálózathoz, abban az esetben, ha maga a virtualizálási platform biztonsága sérül.
  • Elkülönítheti a kritikus fontosságú, jól ismert alkalmazáskiszolgálók, például az SAP, a konfigurációkezelési adatbázis (CMDB), a számlázás és a könyvelési rendszerek elkülönítését.

Ez a két lépés egyidejűleg is elvégezhető új fenyegetésvektorok felderítése során. Tiltsa le ezeket a fenyegetésvektorokat, majd próbáljon meg megtalálni egy ismert, jó rendszert, amely elkülöníti a hálózatot.

Egyéb taktikai elszigetelési műveletek a következők lehetnek:

  • Állítsa alaphelyzetbe a krbtgt-jelszót, kétszer gyors egymás után. Fontolja meg egy szkriptelt, megismételhető folyamat használatát. Ez a szkript lehetővé teszi a krbtgt-fiók jelszavának és a kapcsolódó kulcsok visszaállítását, miközben minimalizálja a művelet által okozott Kerberos-hitelesítési problémák valószínűségét. A lehetséges problémák minimalizálása érdekében a krbtgt élettartama az első jelszó-visszaállítás előtt egy vagy több alkalommal csökkenthető, hogy a két alaphelyzetbe állítás gyorsan befejeződjön. Vegye figyelembe, hogy a környezetében tartani kívánt tartományvezérlőknek online állapotban kell lenniük.

  • Helyezzen üzembe egy csoportházirendet a teljes tartomány(ok)ra, amely megakadályozza a kiemelt bejelentkezést (tartománygazdák) a tartományvezérlők és a csak kiemelt rendszergazdai jogosultságú munkaállomások (ha vannak) számára.

  • Telepítse az operációs rendszerek és alkalmazások hiányzó biztonsági frissítéseit. Minden hiányzó frissítés egy potenciális fenyegetésvektor, amelyet a támadók gyorsan azonosíthatnak és kihasználhatnak. A Microsoft Defender for Endpoint's Threat and Vulnerability Management egyszerű módot kínál a hiányzó adatok pontos megtekintésére, valamint a hiányzó frissítések lehetséges hatásainak megtekintésére.

  • Ellenőrizze, hogy minden külső alkalmazás, beleértve a VPN-hozzáférést is, többtényezős hitelesítéssel van-e védve, lehetőleg biztonságos eszközön futó hitelesítési alkalmazás használatával.

  • Ha az eszközök nem a Defender for Endpointet használják elsődleges víruskereső szoftverként, futtasson teljes vizsgálatot a Microsoft Safety Scannerrel az elkülönített, jól ismert rendszereken, mielőtt újra csatlakoztatja őket a hálózathoz.

  • Az örökölt operációs rendszerek esetében frissítsen egy támogatott operációs rendszerre, vagy szerelje le ezeket az eszközöket. Ha ezek a lehetőségek nem érhetők el, minden lehetséges intézkedést meg kell tenni az eszközök elkülönítéséhez, beleértve a hálózati/VLAN-elkülönítést, az IPsec-szabályokat és a bejelentkezési korlátozásokat, hogy csak a felhasználók/eszközök férhessenek hozzá az alkalmazásokhoz az üzletmenet folytonosságának biztosítása érdekében.

A legkockázatosbb konfigurációk a kritikus fontosságú rendszerek régi operációs rendszereken való futtatásából állnak, mint a Windows NT 4.0 és az alkalmazások, mind örökölt hardveren. Ezek az operációs rendszerek és alkalmazások nem csak nem biztonságosak és sebezhetőek, ha a hardver meghibásodik, a biztonsági másolatok általában nem állíthatók vissza a modern hardveren. Ha nem áll rendelkezésre régi hardver cseréje, ezek az alkalmazások nem fognak működni. Érdemes lehet ezeket az alkalmazásokat úgy konvertálni, hogy az aktuális operációs rendszereken és hardvereken fussanak.

Incidens utáni tevékenységek

A DART az alábbi biztonsági javaslatokat és ajánlott eljárásokat javasolja az egyes incidensek után.

  • Győződjön meg arról, hogy az e-mailes és együttműködési megoldásokhoz bevált eljárások biztosítják, hogy a támadók nehezebben használják fel őket, miközben lehetővé teszik a belső felhasználók számára, hogy könnyen és biztonságosan hozzáférjenek a külső tartalmakhoz.

  • Kövesse a megbízható zéró megbízhatóságra vonatkozó ajánlott eljárásokat a belső szervezeti erőforrások távelérési megoldásaival kapcsolatban.

  • A kritikus hatással rendelkező rendszergazdáktól kezdve kövesse a fiókbiztonságra vonatkozó ajánlott eljárásokat, beleértve a jelszó nélküli hitelesítést vagy az MFA-t.

  • Átfogó stratégia implementálása a kiemelt hozzáférések veszélyeztetésének kockázatának csökkentésére.

  • Adatvédelmet valósíthat meg a zsarolóvírus-technikák blokkolásához, valamint a támadások gyors és megbízható helyreállításának megerősítéséhez.

  • Tekintse át a kritikus rendszereket. Ellenőrizze, hogy van-e védelem és biztonsági mentés a támadó szándékos törlése vagy titkosítása ellen. Fontos, hogy rendszeresen tesztelje és ellenőrizze ezeket a biztonsági másolatokat.

  • A végpontra, az e-mailre és az identitásra irányuló gyakori támadások gyors észlelésének és elhárításának biztosítása.

  • Aktívan felfedezheti és folyamatosan javíthatja a környezet biztonsági állapotát.

  • Frissítse a szervezeti folyamatokat a jelentős zsarolóvírus-események kezeléséhez, és egyszerűsítse a kiszervezést a súrlódás elkerülése érdekében.

PAM

A PAM (korábbi nevén rétegzett felügyeleti modell) használata javítja az Azure AD biztonsági helyzetét. Ez a következőket foglalja magában:

  • Rendszergazdai fiókok lebontása "megtervezett" környezetben – minden szinthez egy-egy fiók, általában négy:

  • Vezérlősík (korábbi nevén 0. szint): A tartományvezérlők és más fontos identitásszolgáltatások, például az Active Directory összevonási szolgáltatások (ADFS) vagy az Azure AD Connect felügyelete. Ide tartoznak azok a kiszolgálóalkalmazások is, amelyek rendszergazdai engedélyeket igényelnek az AD DS-hez, például az Exchange Serverhez.

  • A következő két gép korábban az 1. réteg volt:

    • Felügyeleti sík: Eszközkezelés, monitorozás és biztonság.

    • Adat-/számítási feladatsík: Alkalmazások és alkalmazáskiszolgálók.

  • A következő két gép korábban a 2. réteg volt:

    • Felhasználói hozzáférés: Hozzáférési jogosultságok a felhasználókhoz (például fiókokhoz).

    • Alkalmazás-hozzáférés: Hozzáférési jogosultságok alkalmazásokhoz.

  • Ezen síkok mindegyikének külön felügyeleti munkaállomása lesz minden egyes síkhoz , és csak az adott síkon lévő rendszerekhez lesz hozzáférése. A más síkokról származó egyéb fiókok hozzáférése a többi síkon lévő munkaállomásokhoz és kiszolgálókhoz az adott gépekhez beállított felhasználói jogosultsági hozzárendelésekkel lesz megtagadva.

A PAM nettó eredménye a következő:

  • A feltört felhasználói fiókok csak ahhoz a síkhoz férhetnek hozzá, amelyhez tartoznak.

  • Az érzékenyebb felhasználói fiókok nem jelentkeznek be alacsonyabb biztonsági szinttel rendelkező munkaállomásokra és kiszolgálókra, ezáltal csökkentve az oldalirányú mozgást.

KÖR

Alapértelmezés szerint a Microsoft Windows és az AD DS nem rendelkezik központi felügyelettel a munkaállomásokon és tagkiszolgálókon található helyi rendszergazdai fiókokhoz. Ez általában egy közös jelszót eredményez, amely az összes helyi fiókhoz, vagy legalábbis gépcsoportokhoz van megadva. Ez lehetővé teszi, hogy a támadók feltörjenek egy helyi rendszergazdai fiókot, majd ezzel a fiókkal férhessenek hozzá a szervezet más munkaállomásaihoz vagy kiszolgálóihoz.

A Microsoft LAPS szolgáltatása ezt a csoportházirend ügyféloldali bővítményével csökkenti, amely rendszeres időközönként módosítja a helyi rendszergazdai jelszót a munkaállomásokon és kiszolgálókon a szabályzatkészletnek megfelelően. Ezek a jelszavak különbözőek, és attribútumként vannak tárolva az AD DS számítógép-objektumban. Ez az attribútum lekérhető egy egyszerű ügyfélalkalmazásból az attribútumhoz rendelt engedélyektől függően.

A LAPS megköveteli, hogy az AD DS-sémát ki kell terjeszteni a további attribútumok, a LAPS csoportházirend-sablonjainak telepítéséhez, valamint egy kis ügyféloldali bővítményt kell telepíteni minden munkaállomásra és tagkiszolgálóra az ügyféloldali funkciók biztosításához.

Az LAPS-t a Microsoft letöltőközpontból szerezheti be.

Incidensmegoldási forgatókönyvek

Vizsgálja meg az ilyen típusú támadások azonosítására és kivizsgálására vonatkozó útmutatást:

Incidensmegoldási erőforrások

További zsarolóprogram-erőforrások

A Microsoft legfontosabb információi:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender a Cloud Appshez:

A Microsoft biztonsági csapatának blogbejegyzései: