Настройка возможности обмана в Microsoft Defender XDR

  • Статья

Область применения:

  • Microsoft Defender XDR

Примечание.

Встроенная возможность обмана в Microsoft Defender XDR охватывает все клиенты Windows, подключенные к Microsoft Defender для конечной точки. Узнайте, как подключить клиенты к Defender для конечной точки в разделе Подключение к Microsoft Defender для конечной точки.

Microsoft Defender XDR встроена технология обмана для защиты вашей среды от атак с высоким воздействием, в которых используется боковое движение, управляемое человеком. В этой статье описывается настройка возможности обмана в Microsoft Defender XDR.

Включение возможности обмана

Возможность обмана отключена по умолчанию. Чтобы включить его, выполните следующие действия.

  1. Выберите Параметры Конечные>точки.
  2. В разделе Общие выберите Дополнительные функции.
  3. Найдите возможности обмана и переключите переключатель в положение Вкл.

Снимок экрана: параметры Defender XDR для настройки функции обмана

Правило по умолчанию автоматически создается и включается при включении возможности обмана. Правило по умолчанию, которое можно изменить соответствующим образом, автоматически создает учетные записи-приманки и узлы, интегрированные в приманки и установки для всех целевых устройств в организации. Хотя область функции обмана устанавливается для всех устройств в организации, приманки устанавливаются только на клиентских устройствах Windows.

Снимок экрана: правило по умолчанию, созданное функцией обмана

Create и изменение правил обмана

Примечание.

Microsoft Defender XDR в настоящее время поддерживает создание до десяти (10) правил обмана.

Чтобы создать правило обмана, выполните следующие действия.

  1. Перейдите в раздел Параметры Конечные>точки. В разделе Правила выберите Правила обмана.
  2. Выберите Добавить правило обмана. Снимок экрана: функция добавления правила в настройке правила обмана
  3. В области создания правила добавьте имя правила, описание и выберите типы приманок для создания. Можно выбрать как базовый, так и расширенный типы приманок. Снимок экрана: страница добавления правила обмана
  4. Определите устройства, на которые планируется посадить приманки, в разделе область. Вы можете выбрать установку приманок на всех клиентских устройствах Windows или в клиентах с определенными тегами. Функция обмана в настоящее время охватывает клиентов Windows. Снимок экрана: страница область правила обмана
  5. Затем возможность обмана занимает несколько минут, чтобы автоматически создавать учетные записи и узлы-приманки. Обратите внимание, что возможность обмана создает учетные записи-приманки, которые имитируют имя участника-пользователя (UPN) в Active Directory.
  6. Вы можете просматривать, изменять или удалять автоматически созданные приманки. Вы также можете добавить собственные учетные записи и узлы-приманки в этом разделе. Чтобы предотвратить обнаружение ложноположительных результатов, убедитесь, что добавленные узлы и IP-адреса не используются организацией. Снимок экрана: страница приманки правила обмана
  7. В разделе Приманки можно изменить имя учетной записи приманки, имя узла и IP-адрес, на который посажены приманки. При добавлении IP-адресов рекомендуется использовать IP-адрес песочницы, если он существует в организации. Избегайте использования часто используемых адресов, например 127.0.0.1, 10.0.0.1 и т. Снимок экрана: редактирование приманки узлаСнимок экрана: редактирование учетной записи приманки

Предостережение

Чтобы избежать ложноположительных оповещений, настоятельно рекомендуется создавать уникальные учетные записи пользователей и имена узлов при создании и редактировании учетных записей-обманок и узлов. Убедитесь, что созданные учетные записи пользователей и узлы уникальны для каждого правила обмана и что эти учетные записи и узлы не существуют в каталоге организации.

  1. Определите, используете ли вы автоматически созданные или пользовательские приманки в разделе приманок. Выберите Добавить новую приманку в разделе Использовать пользовательские приманки только для отправки собственной приманки. Пользовательские приманки могут быть любого типа файлов (за исключением файлов .DLL и .EXE) и ограничены 10 МБ каждый. При создании и отправке пользовательских приманок мы рекомендуем приманки содержать или упоминание поддельных узлов или поддельных учетных записей пользователей, созданных на предыдущих шагах, чтобы убедиться, что приманки привлекательны для злоумышленников. Снимок экрана: параметр добавления нового приманки
  2. Укажите имя приманки и путь, куда будет посажен приманка. Затем вы можете выбрать, чтобы посадить приманку на всех устройствах, описанных в разделе область, и если вы хотите, чтобы приманка была посажена как скрытый файл. Если эти коробки не проверять, функция обмана автоматически высаживает приманки, незагруженные в случайные устройства в область. Снимок экрана: панель сведений о добавлении новых сведений о приманке
  3. Просмотрите сведения о созданном правиле в разделе сводки. Вы можете изменить сведения о правиле, выбрав Изменить в разделе, который необходимо изменить. После проверки нажмите кнопку Сохранить . Снимок экрана: область сведений о правилах обмана с разделами с параметром
  4. Новое правило появится в области Правила обмана после успешного создания. Создание правила занимает примерно 12–24 часа. Проверьте состояние , чтобы отслеживать ход создания правила.
  5. Чтобы проверка сведения об активных правилах, включая сведения об устройствах, покрытых и посаженные приманки и приманки, выберите Экспорт в области правил. Снимок экрана: параметр сведений о правиле обмана для экспорта

Чтобы изменить правило обмана, выполните следующие действия.

  1. Выберите правило для изменения в области Правила обмана.
  2. Выберите Изменить в области сведений о правиле.
  3. Чтобы отключить правило, выберите Отключить в области редактирования.
  4. Чтобы удалить правило обмана, выберите Удалить в области редактирования.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.