Управление возможностью обмана в Microsoft Defender XDR
Область применения:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
Важно!
Некоторые сведения в этой статье относятся к предварительно выпущенным продуктам и службам, которые могут быть существенно изменены перед коммерческим выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Microsoft Defender XDR, благодаря встроенной возможности обмана, обеспечивает высокую достоверность обнаружения бокового перемещения, управляемого человеком, предотвращая атаки от охвата критически важных ресурсов организации. Различные атаки, такие как компрометация электронной почты (BEC),программы-шантажисты, организационные нарушения и атаки на национальные государства, часто используют боковое перемещение и могут быть трудно обнаружить с высокой степенью достоверности на ранних стадиях. Технология обмана Defender XDR обеспечивает обнаружение высокой достоверности на основе сигналов обмана, коррелирующих с Microsoft Defender для конечной точки сигналами.
Возможность обмана автоматически создает аутентичные учетные записи, узлы и приманки. Затем созданные поддельные ресурсы автоматически развертываются на определенных клиентах. Когда злоумышленник взаимодействует с манками или приманками, возможность обмана создает оповещения с высокой достоверностью, помогая в расследованиях группы безопасности и позволяя им наблюдать за методами и стратегиями злоумышленника. Все оповещения, создаваемые возможностью обмана, автоматически сопоставляются с инцидентами и полностью интегрируются в Microsoft Defender XDR. Кроме того, технология обмана интегрирована в Defender для конечной точки, что сводит к минимуму потребности в развертывании.
Общие сведения о возможностях обмана watch в следующем видео.
Предварительные условия
В следующей таблице перечислены требования для включения возможности обмана в Microsoft Defender XDR.
| Требование | Сведения |
|---|---|
| Требования к подписке: | Одна из этих подписок: - Microsoft 365 E5 - Microsoft Security E5 - Microsoft Defender для конечной точки план 2 |
| Требования к развертыванию | Требования. — Defender для конечной точки — это основное решение - EDRАвтоматическое исследование и возможности реагирования в Defender для конечной точки настроены. Устройства присоединены или гибридные присоединены в Microsoft Entra . PowerShell включен на устройствах. Функция обмана охватывает клиентов, работающих на Windows 10 RS5 и более поздних версий в предварительной версии |
| Разрешения | Для настройки возможностей обмана вам должна быть назначена одна из следующих ролей в Центр администрирования Microsoft Entra или в Центр администрирования Microsoft 365: - глобальный администратор - Безопасность администратор — управление параметрами системы портала |
Что такое технология обмана?
Технология обмана — это мера безопасности, которая немедленно оповещает группы безопасности о потенциальной атаке, позволяя им реагировать в режиме реального времени. Технология обмана создает поддельные активы, такие как устройства, пользователи и узлы, которые, как представляется, принадлежат вашей сети.
Злоумышленники, взаимодействующие с поддельными сетевыми ресурсами, созданными с помощью функции обмана, могут помочь группам безопасности предотвратить потенциальные атаки от компрометации организации и отслеживать действия злоумышленников, чтобы защитники могли еще больше повысить безопасность своей среды.
Как работает возможность обмана Microsoft Defender XDR?
Встроенная возможность обмана на портале Microsoft Defender использует правила для создания манков и приманок, которые соответствуют вашей среде. Эта функция применяет машинное обучение, чтобы предлагать приманки и приманки, адаптированные для вашей сети. Вы также можете использовать функцию обмана, чтобы вручную создавать приманки и приманки. Эти приманки и приманки автоматически развертываются в сети и помещаются на устройства, указанные с помощью PowerShell.
Рис. 1. Технология обмана путем обнаружения высокого уровня достоверности бокового движения, управляемого человеком, оповещает группы безопасности, когда злоумышленник взаимодействует с поддельными узлами или приманками
Приманки — это поддельные устройства и учетные записи, которые, как представляется, принадлежат вашей сети. Приманки — это поддельный контент, размещенный на определенных устройствах или учетных записях, и используется для привлечения злоумышленника. Содержимое может быть документом, файлом конфигурации, кэшированными учетными данными или любым содержимым, с которым злоумышленник может считывать, украсть или взаимодействовать с ним. Приманки имитируют важную информацию о компании, параметры или учетные данные.
Существует два типа приманок, доступных в функции обмана:
- Базовые приманки — посаженные документы, файлы ссылок и тому подобное, которые не имеют или минимального взаимодействия с клиентской средой.
- Расширенные приманки — размещенное содержимое, например кэшированные учетные данные и перехваты, которые реагируют на среду клиента или взаимодействуют с ней. Например, злоумышленники могут взаимодействовать с учетными данными приманки, которые были внедрены в запросы Active Directory, которые можно использовать для входа.
Примечание.
Приманки посажены только на клиентов Windows, определенных в область правила обмана. Тем не менее при попытках использовать любой узел-приманку или учетную запись на любом клиенте, подключенном к Defender для конечной точки, возникает оповещение об обмане. Узнайте, как подключить клиенты в разделе Подключение к Microsoft Defender для конечной точки. Посадка приманки на Windows Server 2016 и позже планируется для дальнейшего развития.
В правиле обмана можно указать приманки, приманки и область. Дополнительные сведения о создании и изменении правил обмана см. в статье Настройка функции обмана .
Когда злоумышленник использует приманку или приманку на любом клиенте, подключенном к Defender для конечной точки, возможность обмана активирует оповещение, указывающее на возможные действия злоумышленника, независимо от того, был ли обман развернут на клиенте.
Выявление инцидентов и оповещений, активируемых обманом
Оповещения, основанные на обнаружении обмана, содержат обманные в заголовке. Ниже приведены некоторые примеры заголовков оповещений.
- Попытка входа с помощью обманчивой учетной записи пользователя
- Попытка подключения к вводящему в заблуждение узлу
Сведения об оповещении содержат:
- Тег Обмана
- Устройство-приманка или учетная запись пользователя, из которых возникло оповещение
- Тип атаки, например попытки входа или попытки бокового смещения
Рис. 2. Сведения об оповещении, связанном с обманом
Следующее действие
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по