Gestire la funzionalità di inganno in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint
Importante
Alcune informazioni contenute in questo articolo si riferiscono a prodotti/servizi pre-rilasciati che potrebbero essere modificati in modo sostanziale prima del rilascio commerciale. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Microsoft Defender XDR, tramite funzionalità di inganno integrate, offre rilevamenti ad alta attendibilità del movimento laterale gestito dall'uomo, impedendo agli attacchi di raggiungere gli asset critici di un'organizzazione. Vari attacchi come la compromissione della posta elettronica aziendale (BEC),ransomware, violazioni dell'organizzazione e attacchi stato-nazione spesso usano il movimento laterale e possono essere difficili da rilevare con alta fiducia nelle fasi iniziali. la tecnologia di inganno di Defender XDR fornisce rilevamenti ad alta attendibilità basati su segnali di inganno correlati a segnali Microsoft Defender per endpoint.
La funzionalità di inganno genera automaticamente account, host e esche dall'aspetto autentico. Gli asset falsi generati vengono quindi distribuiti automaticamente a client specifici. Quando un utente malintenzionato interagisce con le esche o le esche, la funzionalità di inganno genera avvisi ad alta attendibilità, aiutando nelle indagini del team di sicurezza e consentendo loro di osservare i metodi e le strategie di un utente malintenzionato. Tutti gli avvisi generati dalla funzionalità di inganno sono automaticamente correlati agli eventi imprevisti e sono completamente integrati in Microsoft Defender XDR. Inoltre, la tecnologia di inganno è integrata in Defender per endpoint, riducendo al minimo le esigenze di distribuzione.
Per una panoramica della funzionalità di inganno, watch il video seguente.
Prerequisiti
Nella tabella seguente sono elencati i requisiti per abilitare la funzionalità di inganno in Microsoft Defender XDR.
| Requisito | Dettagli |
|---|---|
| Requisiti dell'abbonamento | Una di queste sottoscrizioni: - Microsoft 365 E5 - Microsoft Security E5 - Microsoft Defender per endpoint Piano 2 |
| Requisiti di distribuzione | Requisiti: - Defender per endpoint è la soluzione - EDR primariaLe funzionalità di indagine e risposta automatizzate in Defender per endpoint sono configurate - I dispositivi vengono aggiunti o aggiunti all'ibrido in Microsoft Entra - PowerShell è abilitato nei dispositivi - La funzionalità di inganno riguarda i client che operano su Windows 10 RS5 e versioni successive in anteprima |
| Autorizzazioni | È necessario avere uno dei ruoli seguenti assegnati nel Interfaccia di amministrazione di Microsoft Entra o nel interfaccia di amministrazione di Microsoft 365 per configurare le funzionalità di inganno: - amministratore globale - Amministratore della sicurezza - Gestire le impostazioni di sistema del portale |
Che cos'è la tecnologia dell'inganno?
La tecnologia di inganno è una misura di sicurezza che fornisce avvisi immediati di un potenziale attacco ai team di sicurezza, consentendo loro di rispondere in tempo reale. La tecnologia di inganno crea asset falsi come dispositivi, utenti e host che sembrano appartenere alla rete.
Gli utenti malintenzionati che interagiscono con gli asset di rete falsi configurati dalla funzionalità di inganno possono aiutare i team di sicurezza a impedire che potenziali attacchi compromettano un'organizzazione e monitorare le azioni degli utenti malintenzionati in modo che i difensori possano migliorare ulteriormente la sicurezza dell'ambiente.
Come funziona la funzionalità di inganno Microsoft Defender XDR?
La funzionalità di inganno integrata nel portale di Microsoft Defender usa regole per creare esche e esche che corrispondono all'ambiente. La funzionalità applica l'apprendimento automatico per suggerire esche e esche su misura per la rete. È anche possibile usare la funzionalità inganno per creare manualmente le esche e le esche. Queste esche e esche vengono quindi distribuite automaticamente nella rete e piantate nei dispositivi specificati tramite PowerShell.
Figura 1. La tecnologia di inganno, attraverso rilevamenti ad alta attendibilità del movimento laterale gestito dall'uomo, avvisa i team di sicurezza quando un utente malintenzionato interagisce con host o esche false
Le esche sono dispositivi e account falsi che sembrano appartenere alla rete. Le esche sono contenuti falsi piantati su dispositivi o account specifici e vengono usati per attirare un utente malintenzionato. Il contenuto può essere un documento, un file di configurazione, credenziali memorizzate nella cache o qualsiasi contenuto con cui un utente malintenzionato può leggere, rubare o interagire. Le esche imitano importanti informazioni aziendali, impostazioni o credenziali.
Esistono due tipi di esche disponibili nella funzionalità di inganno:
- Esche di base: documenti piantati, file di collegamento e simili che non hanno alcuna interazione o minima con l'ambiente del cliente.
- Esche avanzate: contenuto piantato come credenziali memorizzate nella cache e intercettazioni che rispondono o interagiscono con l'ambiente del cliente. Ad esempio, gli utenti malintenzionati potrebbero interagire con le credenziali di decodifica inserite nelle risposte alle query di Active Directory, che possono essere usate per accedere.
Nota
Le esche vengono piantate solo nei client Windows definiti nell'ambito di una regola di inganno. Tuttavia, i tentativi di usare qualsiasi host o account di esca su qualsiasi client di Defender per endpoint su cui è stato eseguito l'onboarding generano un avviso di inganno. Informazioni su come eseguire l'onboarding dei client in Onboard to Microsoft Defender per endpoint.Learn how to onboard clients in Onboard to Microsoft Defender per endpoint. L'impianto di esche su Windows Server 2016 e versioni successive è previsto per lo sviluppo futuro.
È possibile specificare esche, esche e l'ambito in una regola di inganno. Vedere Configurare la funzionalità di inganno per altre informazioni su come creare e modificare le regole di inganno.
Quando un utente malintenzionato usa un'esca o un'esca su qualsiasi client caricato da Defender per endpoint, la funzionalità di inganno attiva un avviso che indica una possibile attività dell'utente malintenzionato, indipendentemente dal fatto che l'inganno sia stato distribuito o meno nel client.
Identificare gli eventi imprevisti e gli avvisi attivati dall'inganno
Gli avvisi basati sul rilevamento degli inganni contengono contenuti ingannevoli nel titolo. Alcuni esempi di titoli di avviso sono:
- Tentativo di accesso con un account utente ingannevole
- Tentativo di connessione a un host ingannevole
I dettagli dell'avviso contengono:
- Tag Deception
- Dispositivo di decodifica o account utente in cui è stato originato l'avviso
- Tipo di attacco, ad esempio tentativi di accesso o tentativi di spostamento laterale
Figura 2. Dettagli di un avviso correlato all'inganno
Passaggio successivo
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per