Gedragsblokkering en -insluitingBehavioral blocking and containment

Van toepassing op:Applies to:

Wilt u Defender voor Eindpunt ervaren?Want to experience Defender for Endpoint? Meld u aan voor een gratis proefversie.Sign up for a free trial.

OverzichtOverview

Het huidige bedreigingslandschap wordt overlopen door bestandsloze malware en die buiten het land leeft, zeer polymorfe bedreigingen die sneller muteren dan traditionele oplossingen, en door mensen beheerde aanvallen die zich aanpassen aan wat tegenstanders vinden op gecompromitteerde apparaten.Today's threat landscape is overrun by fileless malware and that lives off the land, highly polymorphic threats that mutate faster than traditional solutions can keep up with, and human-operated attacks that adapt to what adversaries find on compromised devices. Traditionele beveiligingsoplossingen zijn niet voldoende om dergelijke aanvallen te stoppen. u hebt kunstmatige intelligentie (AI) en apparaatleren (ML) back-mogelijkheden nodig, zoals gedragsblokkering en insluiting, opgenomen in Defender voor Eindpunt.Traditional security solutions are not sufficient to stop such attacks; you need artificial intelligence (AI) and device learning (ML) backed capabilities, such as behavioral blocking and containment, included in Defender for Endpoint.

Mogelijkheden voor het blokkeren en inperken van gedrag kunnen helpen bij het identificeren en stoppen van bedreigingen, op basis van hun gedrag en procesbomen, zelfs wanneer de bedreiging is gestart met de uitvoering.Behavioral blocking and containment capabilities can help identify and stop threats, based on their behaviors and process trees even when the threat has started execution. De volgende generatie beveiliging, EDR en Defender voor endpoint-onderdelen en -functies werken samen in de mogelijkheden voor het blokkeren en inperking van gedrag.Next-generation protection, EDR, and Defender for Endpoint components and features work together in behavioral blocking and containment capabilities.

Gedragsblokkering en -insluiting

Functies voor het blokkeren en inperken van gedrag werken met meerdere onderdelen en functies van Defender voor Eindpunt om aanvallen onmiddellijk te stoppen en te voorkomen dat er aanvallen worden uitgevoerd.Behavioral blocking and containment capabilities work with multiple components and features of Defender for Endpoint to stop attacks immediately and prevent attacks from progressing.

  • Beveiliging van de volgende generatie (inclusief Microsoft Defender Antivirus) kan bedreigingen detecteren door gedrag te analyseren en bedreigingen te stoppen die zijn gestart.Next-generation protection (which includes Microsoft Defender Antivirus) can detect threats by analyzing behaviors, and stop threats that have started running.

  • Eindpuntdetectie en -antwoord (EDR) ontvangt beveiligingssignalen in uw netwerk, apparaten en kernelgedrag.Endpoint detection and response (EDR) receives security signals across your network, devices, and kernel behavior. Wanneer er bedreigingen worden gedetecteerd, worden waarschuwingen gemaakt.As threats are detected, alerts are created. Meerdere waarschuwingen van hetzelfde type worden samengevoegd tot incidenten, waardoor uw team voor beveiligingsbewerkingen gemakkelijker kan onderzoeken en reageren.Multiple alerts of the same type are aggregated into incidents, which makes it easier for your security operations team to investigate and respond.

  • Defender for Endpoint heeft een breed scala aan optiek in identiteiten, e-mail, gegevens en apps, naast de netwerk-, eindpunt- en kernelgedragssignalen die via de EDR.Defender for Endpoint has a wide range of optics across identities, email, data, and apps, in addition to the network, endpoint, and kernel behavior signals received through EDR. Een onderdeel van Microsoft 365 Defender, Defender voor Eindpunt verwerkt en correleert deze signalen, verhoogt detectiewaarschuwingen en verbindt gerelateerde waarschuwingen bij incidenten.A component of Microsoft 365 Defender, Defender for Endpoint processes and correlates these signals, raises detection alerts, and connects related alerts in incidents.

Met deze mogelijkheden kunnen meer bedreigingen worden voorkomen of geblokkeerd, zelfs als ze worden uitgevoerd.With these capabilities, more threats can be prevented or blocked, even if they start running. Wanneer verdacht gedrag wordt gedetecteerd, is de bedreiging opgenomen, worden waarschuwingen gemaakt en worden bedreigingen op hun sporen gestopt.Whenever suspicious behavior is detected, the threat is contained, alerts are created, and threats are stopped in their tracks.

In de volgende afbeelding ziet u een voorbeeld van een waarschuwing die is geactiveerd door mogelijkheden voor het blokkeren en inperking van gedrag:The following image shows an example of an alert that was triggered by behavioral blocking and containment capabilities:

Voorbeeld van een waarschuwing door middel van blokkering en insluiting van gedrag

Onderdelen van het blokkeren en inperking van gedragComponents of behavioral blocking and containment

  • On-client, policy-driven attack surface reduction rules Vooraf gedefinieerde veelvoorkomende aanvalsgedrag kan niet worden uitgevoerd volgens de surface reduction-regels voor uw aanval.On-client, policy-driven attack surface reduction rules Predefined common attack behaviors are prevented from executing, according to your attack surface reduction rules. Wanneer dergelijke gedragingen worden uitgevoerd, kunnen ze in Microsoft 365 Defender worden gezien https://security.microsoft.com als informatiewaarschuwingen.When such behaviors attempt to execute, they can be seen in Microsoft 365 Defender https://security.microsoft.com as informational alerts. Surface-beperkingsregels voor aanvallen zijn standaard niet ingeschakeld. u configureert uw beleid in de Microsoft 365 Defender.Attack surface reduction rules are not enabled by default; you configure your policies in the Microsoft 365 Defender.

  • Clientgedragsblokkering Bedreigingen op eindpunten worden gedetecteerd via machine learning en worden vervolgens automatisch geblokkeerd en gesaneerd.Client behavioral blocking Threats on endpoints are detected through machine learning, and then are blocked and remediated automatically. (Clientgedragsblokkering is standaard ingeschakeld.)(Client behavioral blocking is enabled by default.)

  • Het blokkeren van feedbackluss (ook wel snelle beveiliging genoemd) Detecties van bedreigingen worden waargenomen via gedragsinformatie.Feedback-loop blocking (also referred to as rapid protection) Threat detections are observed through behavioral intelligence. Bedreigingen worden gestopt en worden niet uitgevoerd op andere eindpunten.Threats are stopped and prevented from running on other endpoints. (Het blokkeren van feedbacklussen is standaard ingeschakeld.)(Feedback-loop blocking is enabled by default.)

  • Eindpuntdetectie en -antwoord (EDR) in de blokmodus Schadelijke artefacten of gedragingen die worden waargenomen via bescherming na inbreuk, worden geblokkeerd en opgenomen.Endpoint detection and response (EDR) in block mode Malicious artifacts or behaviors that are observed through post-breach protection are blocked and contained. EDR in de blokmodus werkt zelfs als Microsoft Defender Antivirus niet de primaire antivirusoplossing is.EDR in block mode works even if Microsoft Defender Antivirus is not the primary antivirus solution. (EDR in de blokmodus is standaard niet ingeschakeld; u zet deze in Microsoft 365 Defender.)(EDR in block mode is not enabled by default; you turn it on in Microsoft 365 Defender.)

Verwacht meer op het gebied van het blokkeren en inperking van gedrag, omdat Microsoft de functies en mogelijkheden voor bedreigingsbeveiliging blijft verbeteren.Expect more to come in the area of behavioral blocking and containment, as Microsoft continues to improve threat protection features and capabilities. Als u wilt zien wat er nu wordt gepland en uitgerold, gaat u naar Microsoft 365 routekaart.To see what's planned and rolling out now, visit the Microsoft 365 roadmap.

Voorbeelden van gedrag blokkeren en inperking in actieExamples of behavioral blocking and containment in action

De mogelijkheden voor het blokkeren en inperking van gedrag hebben technieken voor aanvallers geblokkeerd, zoals de volgende:Behavioral blocking and containment capabilities have blocked attacker techniques such as the following:

  • Referentiesdumping van LSASSCredential dumping from LSASS
  • KruisprocesinjectieCross-process injection
  • Uitholling van procesProcess hollowing
  • Bypass gebruikersaccountbeheerUser Account Control bypass
  • Geknoei met antivirusprogramma's (zoals het uitschakelen of het toevoegen van de malware als uitsluiting)Tampering with antivirus (such as disabling it or adding the malware as exclusion)
  • Contact opnemen met Command and Control (C&C) om payloads te downloadenContacting Command and Control (C&C) to download payloads
  • Munten delvenCoin mining
  • Wijziging van opstartrecordBoot record modification
  • Pass-the-hash-aanvallenPass-the-hash attacks
  • Installatie van hoofdcertificaatInstallation of root certificate
  • Poging tot misbruik voor verschillende beveiligingslekkenExploitation attempt for various vulnerabilities

Hieronder vindt u twee praktijkvoorbeelden van het blokkeren en inperking van gedrag in actie.Below are two real-life examples of behavioral blocking and containment in action.

Voorbeeld 1: Diefstal van referenties tegen 100 organisatiesExample 1: Credential theft attack against 100 organizations

Zoals wordt beschreven in In hot pursuit of ongrijpbare bedreigingen: door AI-gestuurdeblokkering op basis van gedrag worden aanvallen in hun sporen gestopt, werd een aanval op referentiesdiefstal tegen 100 organisaties over de hele wereld gestopt door de mogelijkheden voor het blokkeren en inperken van gedrag.As described in In hot pursuit of elusive threats: AI-driven behavior-based blocking stops attacks in their tracks, a credential theft attack against 100 organizations around the world was stopped by behavioral blocking and containment capabilities. E-mailberichten met een lokmiddel zijn verzonden naar de beoogde organisaties.Spear-phishing email messages that contained a lure document were sent to the targeted organizations. Als een geadresseerde de bijlage heeft geopend, kon een gerelateerd extern document code uitvoeren op het apparaat van de gebruiker en Lokibot-malware laden, waardoor referenties werden gestolen, gestolen gegevens werden geëfiltreerd en werd gewacht op verdere instructies van een command-and-control-server.If a recipient opened the attachment, a related remote document was able to execute code on the user's device and load Lokibot malware, which stole credentials, exfiltrated stolen data, and waited for further instructions from a command-and-control server.

Op gedrag gebaseerde apparaatlerende modellen in Defender voor Eindpunt zijn op twee punten in de aanvalsketen vastgelegd en gestopt:Behavior-based device learning models in Defender for Endpoint caught and stopped the attacker's techniques at two points in the attack chain:

  • De eerste beveiligingslaag heeft het gedrag van de exploit gedetecteerd.The first protection layer detected the exploit behavior. Leerclassifiers voor apparaten in de cloud hebben de bedreiging correct geïdentificeerd als en hebben het clientapparaat onmiddellijk geïnstrueerd de aanval te blokkeren.Device learning classifiers in the cloud correctly identified the threat as and immediately instructed the client device to block the attack.
  • De tweede beveiligingslaag, waarmee de gevallen van de aanval voorbij de eerste laag werden gestopt, procesverholding werd gedetecteerd, dat proces werd gestopt en de bijbehorende bestanden (zoals Lokibot) werden verwijderd.The second protection layer, which helped stop cases where the attack got past the first layer, detected process hollowing, stopped that process, and removed the corresponding files (such as Lokibot).

Terwijl de aanval werd gedetecteerd en gestopt, werden waarschuwingen, zoals een 'eerste toegangsmelding', geactiveerd en verschenen in de Microsoft 365 Defender-portal (voorheen de Microsoft Defender-beveiligingscentrum):While the attack was detected and stopped, alerts, such as an "initial access alert," were triggered and appeared in the Microsoft 365 Defender portal (formerly the Microsoft Defender Security Center):

Eerste toegangsmelding in de Microsoft 365 Defender portal

In dit voorbeeld ziet u hoe op gedrag gebaseerde leermodellen voor apparaten in de cloud nieuwe beveiligingslagen tegen aanvallen toevoegen, zelfs nadat ze zijn gestart met uitvoeren.This example shows how behavior-based device learning models in the cloud add new layers of protection against attacks, even after they have started running.

Voorbeeld 2: NTLM-relay - Malwarevariant van de 2e versie van De aardappelExample 2: NTLM relay - Juicy Potato malware variant

Zoals in het recente blogbericht wordt beschreven, heeft Defender voor Eindpunt in januari 2020 een activiteit voor escalatie van bevoegdheden gedetecteerd op een apparaat in een organisatie.As described in the recent blog post, Behavioral blocking and containment: Transforming optics into protection, in January 2020, Defender for Endpoint detected a privilege escalation activity on a device in an organization. Er is een waarschuwing met de naam 'Mogelijke escalatie van bevoegdheden met NTLM-relay' geactiveerd.An alert called "Possible privilege escalation using NTLM relay" was triggered.

NTLM-waarschuwing voor malware met de naam Juicy Potato

De bedreiging bleek malware te zijn. het was een nieuwe, niet-gezien-vóór variant van een berucht hackingprogramma genaamd Juicy Potato, dat door aanvallers wordt gebruikt om privilege escalatie op een apparaat te krijgen.The threat turned out to be malware; it was a new, not-seen-before variant of a notorious hacking tool called Juicy Potato, which is used by attackers to get privilege escalation on a device.

Minuten nadat de waarschuwing is geactiveerd, is het bestand geanalyseerd en bevestigd dat het schadelijk is.Minutes after the alert was triggered, the file was analyzed, and confirmed to be malicious. Het proces is gestopt en geblokkeerd, zoals wordt weergegeven in de volgende afbeelding:Its process was stopped and blocked, as shown in the following image:

Artefact geblokkeerd

Enkele minuten nadat het artefact was geblokkeerd, werden meerdere exemplaren van hetzelfde bestand geblokkeerd op hetzelfde apparaat, waardoor extra aanvallers of andere malware niet op het apparaat konden worden geïmplementeerd.A few minutes after the artifact was blocked, multiple instances of the same file were blocked on the same device, preventing additional attackers or other malware from deploying on the device.

In dit voorbeeld ziet u dat met mogelijkheden voor het blokkeren en inperking van gedrag, bedreigingen automatisch worden gedetecteerd, opgenomen en geblokkeerd.This example shows that with behavioral blocking and containment capabilities, threats are detected, contained, and blocked automatically.

Volgende stappenNext steps