Blocco e contenimento comportamentale
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
- Antivirus Microsoft Defender
Piattaforme
- Windows
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Panoramica
Il panorama delle minacce di oggi è invaso da malware senza file e che vive fuori terra, minacce altamente polimorfiche che mutano più velocemente rispetto alle soluzioni tradizionali possono tenere il passo con, e attacchi gestiti dall'uomo che si adattano a ciò che gli avversari trovano su dispositivi compromessi. Le soluzioni di sicurezza tradizionali non sono sufficienti per arrestare tali attacchi; sono necessarie funzionalità supportate dall'intelligenza artificiale (IA) e dall'apprendimento dei dispositivi (ML), ad esempio il blocco comportamentale e il contenimento, incluse in Defender per endpoint.
Le funzionalità di blocco e contenimento comportamentali possono aiutare a identificare e arrestare le minacce, in base ai comportamenti e agli alberi di elaborazione anche quando la minaccia ha avviato l'esecuzione. Le funzionalità e i componenti e le funzionalità di protezione di nuova generazione, EDR e Defender per endpoint interagiscono nelle funzionalità di blocco e contenimento del comportamento.
Le funzionalità di blocco e contenimento comportamentali funzionano con più componenti e funzionalità di Defender per endpoint per arrestare immediatamente gli attacchi e impedire l'avanzamento degli attacchi.
La protezione di nuova generazione (che include Microsoft Defender Antivirus) può rilevare le minacce analizzando i comportamenti e arrestando le minacce avviate.
Il rilevamento e la risposta degli endpoint (EDR) ricevono segnali di sicurezza attraverso la rete, i dispositivi e il comportamento del kernel. Man mano che vengono rilevate minacce, vengono creati avvisi. Più avvisi dello stesso tipo vengono aggregati in eventi imprevisti, il che semplifica l'analisi e la risposta del team delle operazioni di sicurezza.
Defender per endpoint offre un'ampia gamma di ottica tra identità, posta elettronica, dati e app, oltre ai segnali di rete, endpoint e comportamento del kernel ricevuti tramite EDR. Un componente di Microsoft Defender XDR, Defender per endpoint elabora e correla questi segnali, genera avvisi di rilevamento e connette gli avvisi correlati negli eventi imprevisti.
Con queste funzionalità, è possibile impedire o bloccare altre minacce, anche se iniziano l'esecuzione. Ogni volta che viene rilevato un comportamento sospetto, la minaccia è contenuta, vengono creati avvisi e le minacce vengono arrestate nelle loro tracce.
L'immagine seguente mostra un esempio di avviso attivato da funzionalità di blocco e contenimento comportamentali:
Componenti del blocco e del contenimento comportamentali
Regole di riduzione della superficie di attacco basate su criteri sul client Ai comportamenti di attacco comuni predefiniti viene impedito l'esecuzione, in base alle regole di riduzione della superficie di attacco. Quando tali comportamenti tentano di essere eseguiti, possono essere visualizzati in Microsoft Defender XDR come avvisi informativi. Le regole di riduzione della superficie di attacco non sono abilitate per impostazione predefinita; i criteri vengono configurati nel portale di Microsoft Defender.
Blocco comportamentale del client Le minacce sugli endpoint vengono rilevate tramite Machine Learning e quindi bloccate e corrette automaticamente. Il blocco comportamentale del client è abilitato per impostazione predefinita.
Il blocco del ciclo di feedback (noto anche come protezione rapida) i rilevamenti delle minacce vengono osservati tramite l'intelligence comportamentale. Le minacce vengono arrestate e impedite l'esecuzione in altri endpoint. Il blocco del ciclo di feedback è abilitato per impostazione predefinita.
Rilevamento e risposta degli endpoint (EDR) in modalità blocco Gli artefatti o i comportamenti dannosi osservati tramite la protezione post-violazione sono bloccati e contenuti. EDR in modalità blocco funziona anche se Microsoft Defender Antivirus non è la soluzione antivirus primaria. La funzione EDR in modalità blocco non è abilitata per impostazione predefinita, ma viene attivata in Microsoft Defender XDR.
Ci si aspetta di più nell'area del blocco comportamentale e del contenimento, poiché Microsoft continua a migliorare le funzionalità e le funzionalità di protezione dalle minacce. Per vedere cosa è pianificato e implementato ora, visitare la roadmap di Microsoft 365.
Esempi di blocco e contenimento comportamentali in azione
Le funzionalità di blocco e contenimento comportamentali hanno bloccato tecniche di attacco come le seguenti:
- Dump di credenziali da LSASS
- Iniezione tra processi
- Svuotamento del processo
- Bypass di Controllo account utente
- Manomissione dell'antivirus (ad esempio la disabilitazione o l'aggiunta del malware come esclusione)
- Contattare il comando e il controllo (C&C) per scaricare i payload
- Estrazione di monete
- Modifica del record di avvio
- Attacchi pass-the-hash
- Installazione del certificato radice
- Tentativo di sfruttamento per varie vulnerabilità
Di seguito sono riportati due esempi reali di blocco comportamentale e contenimento in azione.
Esempio 1: Attacco di furto di credenziali contro 100 organizzazioni
Come descritto in In hot pursuit of elusive threats: I-driven behavior-based blocking stop attacks in their track, a credential theft attack against 100 organizations around the world was stopped by behavioral blocking and containment capabilities.as described in hot pursuit of elusive threats: I-driven behavior-based blocking stop attacks in their track, a credential theft attack against 100 organizations around the world was stopped by behavioral blocking and containment capabilities. I messaggi di posta elettronica spear-phishing che contenevano un documento di richiamo sono stati inviati alle organizzazioni di destinazione. Se un destinatario ha aperto l'allegato, un documento remoto correlato è stato in grado di eseguire il codice sul dispositivo dell'utente e caricare malware Lokibot, che ha rubato le credenziali, i dati rubati e ha atteso ulteriori istruzioni da un server di comando e controllo.
I modelli di apprendimento dei dispositivi basati sul comportamento in Defender per endpoint hanno intercettato e arrestato le tecniche dell'utente malintenzionato in due punti della catena di attacco:
- Il primo livello di protezione ha rilevato il comportamento dell'exploit. I classificatori di apprendimento dei dispositivi nel cloud hanno identificato correttamente la minaccia come e hanno immediatamente richiesto al dispositivo client di bloccare l'attacco.
- Il secondo livello di protezione, che ha consentito di arrestare i casi in cui l'attacco ha superato il primo livello, ha rilevato l'svuotamento del processo, interrotto tale processo e rimosso i file corrispondenti (ad esempio Lokibot).
Mentre l'attacco è stato rilevato e arrestato, gli avvisi, ad esempio un "avviso di accesso iniziale", sono stati attivati e visualizzati nel portale di Microsoft Defender.
Questo esempio mostra come i modelli di apprendimento dei dispositivi basati sul comportamento nel cloud aggiungono nuovi livelli di protezione dagli attacchi, anche dopo l'avvio dell'esecuzione.
Esempio 2: inoltro NTLM - Variante malware juicy potato
Come descritto nel recente post di blog, Blocco e contenimento comportamentale: Trasformazione dell'ottica in protezione, nel gennaio 2020 Defender per endpoint ha rilevato un'attività di escalation dei privilegi in un dispositivo di un'organizzazione. È stato attivato un avviso denominato "Possibile escalation dei privilegi tramite l'inoltro NTLM".
La minaccia si è rivelata essere malware; era una nuova variante, non visto prima di un noto strumento di hacking chiamato Juicy Potato, che viene usato dagli utenti malintenzionati per ottenere l'escalation dei privilegi su un dispositivo.
Pochi minuti dopo l'attivazione dell'avviso, il file è stato analizzato e confermato dannoso. Il processo è stato arrestato e bloccato, come illustrato nell'immagine seguente:
Pochi minuti dopo il blocco dell'artefatto, più istanze dello stesso file sono state bloccate nello stesso dispositivo, impedendo la distribuzione di più utenti malintenzionati o altro malware nel dispositivo.
Questo esempio mostra che con funzionalità di blocco e contenimento comportamentali, le minacce vengono rilevate, contenute e bloccate automaticamente.
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Passaggi successivi
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per