Automatisk attackstörning i Microsoft Defender för företag

  • Artikel

En mänsklig attack är en aktiv attack av cyberbrottslingar som infiltrerar en organisation, höjer sina privilegier, navigerar i nätverket och distribuerar utpressningstrojaner eller stjäl information. Dessa typer av attacker kan vara katastrofala för affärsverksamheter, tenderar att vara svåra att hantera och fortsätter ibland att hota affärsverksamheter efter det första mötet. Mer information finns i Utpressningstrojanattacker som drivs av människor.

För att skydda mot mänskligt drivna eller andra avancerade attacker lade Microsoft Defender XDR till automatiska attackstörningar i november 2022 för företagskunder. Nu kommer dessa funktioner till Defender för företag! Den här artikeln beskriver hur automatiska attackstörningar fungerar, hur du visar information om en attack och hur du hämtar dessa funktioner.

Så här fungerar automatiska angreppsstörningar

Automatisk attackstörning är utformad för att:

  • Innehåller avancerade attacker som pågår.
  • Begränsa effekten och utvecklingen av attacker på dina affärstillgångar (som enheter); Och
  • Ge IT-/säkerhetsteamet mer tid att åtgärda ett angrepp helt och hållet.

Automatiska angreppsstörningar använder insikter från Microsofts säkerhetsforskare och avancerade AI-modeller för att motverka komplexiteten i avancerade attacker. Det begränsar en hotaktörs framsteg tidigt och minskar dramatiskt den totala effekten av en attack, från tillhörande kostnader till förlust av produktivitet. Se några exempel på Microsofts säkerhetsblogg.

När automatiska attackstörningar uppstår, så snart en mänsklig attack identifieras på en enhet, vidtas åtgärder omedelbart för att begränsa den berörda enheten och användarkontona på enheten. En incident skapas i Microsoft Defender-portalen (https://security.microsoft.com). Där kan IT-/säkerhetsteamet visa information om risk- och inneslutningsstatus för komprometterade tillgångar under och efter processen. En incidentsida innehåller information om attacken och aktuell status för berörda tillgångar.

Automatiserade svarsåtgärder omfattar:

  • Innehåller en enhet genom att blockera inkommande/utgående kommunikation
  • Innehåller ett användarkonto genom att koppla från aktuella användaranslutningar på enhetsnivå

Viktigt

  • Om du vill visa information om en identifierad avancerad attack måste du ha rollen Säkerhetsläsare, Säkerhetsadministratör eller Global administratör tilldelad.
  • Om du vill vidta åtgärder, släppa en innesluten enhet/användare eller återaktivera ett användarkonto måste du ha tilldelats rollen Säkerhetsadministratör eller Global administratör.
  • Se Säkerhetsroller och behörigheter i Defender för företag.

Visa information om en attack i Microsoft Defender-portalen

  1. I Microsoft Defender-portalen går du till Incidenter.

  2. Välj en incident som är taggad med attackstörningar.

  3. Granska incidentdiagrammet, som gör att du kan hämta hela attackberättelsen och utvärdera påverkan och status för attackstörningar.

  4. När du är redo att släppa en innesluten enhet eller ett användarkonto, eller återaktivera ett användarkonto, gör du något av följande:

    • Om du vill släppa en innesluten enhet väljer du enheten och väljer sedan Släpp från inneslutning.
    • Om du vill släppa en innesluten användare väljer du användarkontot och väljer sedan Ångra i sidofönstret.

Incidenter som har störts inkluderar en tagg för Attack Disruption och den specifika hottyp som identifieras (till exempel utpressningstrojan). Om IT-/säkerhetsteamet får e-postaviseringar om incidenter visas även dessa taggar i e-postmeddelandena.

När en incident avbryts visas markerad text under incidentens rubrik. Inneslutna enheter eller användarkonton visas med en etikett som anger deras status.

Spåra åtgärder för attackstörningar i Åtgärdscenter

Åtgärdscentret samlar alla åtgärder för reparation och svar, oavsett om dessa åtgärder har vidtagits automatiskt eller manuellt. Du kan visa alla automatiska åtgärder för attackstörningar i Åtgärdscenter. Och när IT-/säkerhetsteamet har minimerat risken och slutfört undersökningen av en incident kan de frigöra inneslutna tillgångar.

  1. I Microsoft Defender-portalen går du till Åtgärd & inlämningar>Åtgärdscenter.

  2. Välj fliken Historik .

  3. Välj en åtgärd, till exempel Inneslut användare eller Contain-enhet, och välj sedan Ångra.

Mer information finns i Granska reparationsåtgärder i Åtgärdscenter.

Så här får du automatiska angreppsstörningar

Automatiska angreppsstörningar är inbyggda i Defender för företag. du behöver inte uttryckligen aktivera dessa funktioner. Det är viktigt att registrera alla organisationens enheter (datorer, telefoner och surfplattor) i Defender för företag så att de skyddas så snart som möjligt.

Registrera dig för att få förhandsversionsfunktioner så att du får de senaste och bästa funktionerna så snart de är tillgängliga.