Automatische aanvalsonderbreking in Microsoft Defender XDR
Van toepassing op:
- Microsoft Defender XDR
Microsoft Defender XDR correleert miljoenen individuele signalen om actieve ransomware-campagnes of andere geavanceerde aanvallen in de omgeving met hoge betrouwbaarheid te identificeren. Terwijl een aanval wordt uitgevoerd, verstoort Defender XDR de aanval door automatisch gecompromitteerde assets te bevatten die de aanvaller gebruikt door automatische aanvalsonderbreking.
Automatische aanvalsonderbreking beperkt laterale bewegingen in een vroeg stadium en vermindert de algehele impact van een aanval, van de bijbehorende kosten tot productiviteitsverlies. Tegelijkertijd hebben beveiligingsteams volledige controle over het onderzoeken, herstellen en weer online brengen van assets.
Dit artikel biedt een overzicht van automatische onderbreking van aanvallen en bevat koppelingen naar de volgende stappen en andere bronnen.
Hoe automatische aanvalsonderbreking werkt
Automatische onderbreking van aanvallen is ontworpen om aanvallen die worden uitgevoerd te beperken, de impact op de assets van een organisatie te beperken en beveiligingsteams meer tijd te bieden om de aanval volledig te herstellen. Aanvalsonderbreking maakt gebruik van de volledige breedte van onze XDR-signalen (Extended Detection and Response), waarbij rekening wordt gehouden met de hele aanval om op incidentniveau te handelen. Deze mogelijkheid is in tegenstelling tot bekende beveiligingsmethoden zoals preventie en blokkering op basis van één enkele indicator van inbreuk.
Hoewel u met veel XDR- en beveiligingsindelings-, automatiserings- en responsplatforms (SOAR) uw automatische reactieacties kunt maken, is automatische aanvalsonderbreking ingebouwd en worden inzichten van Microsoft-beveiligingsonderzoekers en geavanceerde AI-modellen gebruikt om de complexiteit van geavanceerde aanvallen tegen te gaan. Automatische aanvalsonderbreking houdt rekening met de volledige context van signalen van verschillende bronnen om gecompromitteerde assets te bepalen.
Automatische aanvalsonderbreking werkt in drie belangrijke fasen:
- Het maakt gebruik van de mogelijkheid van Defender XDR om signalen uit veel verschillende bronnen te correleren in één incident met hoge betrouwbaarheid via inzichten van eindpunten, identiteiten, e-mail- en samenwerkingshulpprogramma's en SaaS-apps.
- Het identificeert assets die worden beheerd door de aanvaller en worden gebruikt om de aanval te verspreiden.
- Er worden automatisch reactieacties uitgevoerd in relevante Microsoft Defender producten om de aanval in realtime te voorkomen door betrokken assets te isoleren.
Deze veranderende mogelijkheid beperkt de voortgang van een bedreigingsacteur in een vroeg stadium en vermindert de algehele impact van een aanval aanzienlijk, van de bijbehorende kosten tot het verlies van productiviteit.
Hoge betrouwbaarheid bij het uitvoeren van automatische actie
We begrijpen dat het nemen van automatische actie soms gepaard gaat met aarzeling van beveiligingsteams, gezien de mogelijke impact die het kan hebben op een organisatie. Daarom zijn de mogelijkheden voor automatische aanvalsonderbreking in Defender XDR ontworpen om te vertrouwen op high-fidelity-signalen. Het maakt ook gebruik van de incidentcorrelatie van Defender XDR met miljoenen Defender-productsignalen in e-mail, identiteit, toepassingen, documenten, apparaten, netwerken en bestanden. Inzichten uit het continue onderzoek van duizenden incidenten door het beveiligingsonderzoeksteam van Microsoft zorgen ervoor dat automatische aanvalsonderbreking een hoge signaal-ruisverhouding (SNR) behoudt.
Onderzoeken zijn een integraal onderdeel van het bewaken van onze signalen en het bedreigingslandschap voor aanvallen om een hoge kwaliteit en nauwkeurige bescherming te garanderen.
Tip
In dit artikel wordt beschreven hoe aanvalsonderbreking werkt. Zie Mogelijkheden voor onderbrekingen van aanvallen configureren in Microsoft Defender XDR om deze mogelijkheden te configureren.
Geautomatiseerde reactieacties
Automatische onderbreking van aanvallen maakt gebruik van op Microsoft gebaseerde XDR-reactieacties. Voorbeelden van deze acties zijn:
Apparaat bevatten: op basis van de mogelijkheid van Microsoft Defender voor Eindpunt is deze actie een automatische insluiting van een verdacht apparaat om inkomende/uitgaande communicatie met het apparaat te blokkeren.
Gebruiker uitschakelen: op basis van de mogelijkheid van Microsoft Defender for Identity is deze actie een automatische opschorting van een gecompromitteerd account om extra schade te voorkomen, zoals zijwaartse verplaatsing, schadelijk postvakgebruik of uitvoering van malware.
Gebruiker bevatten: op basis van de mogelijkheid van Microsoft Defender voor Eindpunt bevat deze reactieactie automatisch tijdelijk verdachte identiteiten om laterale verplaatsing en versleuteling op afstand te helpen blokkeren met betrekking tot inkomende communicatie met de onboarded apparaten van Defender for Endpoint.
Zie herstelacties in Microsoft Defender XDR voor meer informatie.
Geautomatiseerde reactieacties voor SAP met Microsoft Sentinel (preview)
Als u het geïntegreerde platform voor beveiligingsbewerkingen gebruikt en ook de Microsoft Sentinel-oplossing voor SAP-toepassingen hebt geïmplementeerd, kunt u ook automatische aanvalsonderbreking implementeren voor SAP.
Implementeer bijvoorbeeld aanvalsonderbreking voor SAP om gecompromitteerde assets te bevatten door verdachte SAP-gebruikers te vergrendelen in het geval van een aanval op het manipuleren van financiële processen.
Nadat het risico is beperkt, kunnen Microsoft Defender-beheerders handmatig de gebruikers ontgrendelen die automatisch zijn vergrendeld door de reactie op de aanvalsonderbreking. De mogelijkheid om gebruikers handmatig te ontgrendelen is beschikbaar via het Microsoft Defender actiecentrum en alleen voor gebruikers die zijn vergrendeld door een aanvalsonderbreking.
Zie De acties bijhouden in het actiecentrum en Automatische aanvalsonderbreking implementeren voor SAP voor meer informatie.
Vaststellen wanneer een aanvalsonderbreking optreedt in uw omgeving
Op de pagina Defender XDR incident worden de acties voor automatische aanvalsonderbreking weergegeven via het aanvalsverhaal en de status die wordt aangegeven door een gele balk (afbeelding 1). Het incident toont een toegewezen onderbrekingstag, markeer de status van de assets in de incidentgrafiek en voeg een actie toe aan het Actiecentrum.
Afbeelding 1. Incidentweergave met de gele balk waar automatische aanvalsonderbreking actie heeft ondernomen
De Defender XDR gebruikerservaring bevat nu extra visuele aanwijzingen om deze automatische acties zichtbaar te maken. U kunt ze vinden in de volgende ervaringen:
In de incidentwachtrij:
- Er wordt een tag met de titel Aanvalsonderbreking weergegeven naast betrokken incidenten
Op de incidentpagina:
- Een tag met de titel Aanvalsonderbreking
- Een gele banner boven aan de pagina waarin de automatische actie wordt gemarkeerd
- De huidige assetstatus wordt weergegeven in de incidentgrafiek als er een actie wordt uitgevoerd op een asset, bijvoorbeeld account uitgeschakeld of apparaat ingesloten
Via API:
Aan het einde van de titels van incidenten wordt een tekenreeks (aanvalsonderbreking) toegevoegd met een hoge betrouwbaarheid die waarschijnlijk automatisch wordt onderbroken. Bijvoorbeeld:
BEC-aanval op financiële fraude die is gestart vanuit een gecompromitteerd account (aanvalsonderbreking)
Zie Details en resultaten van aanvalsonderbrekingen weergeven voor meer informatie.
Volgende stappen
- Automatische onderbreking van aanvallen configureren in Microsoft Defender XDR
- Details en resultaten weergeven
- E-mailmeldingen ontvangen voor reactieacties
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor