Beteendeblockering och inneslutning

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Översikt

Dagens hot landskap är över av fillös skadlig programvara och som lever utanför landet, mycket polymorfiska hot som muterar snabbare än traditionella lösningar kan hålla dig till och mänskliga drivna attacker som anpassar sig till vad adversaries hittar på komprometterade enheter. Traditionella säkerhetslösningar är inte tillräckliga för att stoppa sådana attacker. du behöver artificiell intelligens (AI) och enheter för utbildning (ML) säkerhetskopierade funktioner, till exempel beteendeblockering och inneslutning, som finns i Defender för slutpunkt.

Funktioner för blockering och inneslutning kan hjälpa till att identifiera och stoppa hot baserat på deras beteende och processträd även när hoten har börjat användas. Nästa generations skydd, Identifiering och åtgärd på slutpunkt Defender för Endpoint-komponenter och -funktioner fungerar tillsammans för funktioner för beteendeblockering och inneslutning.

Beteendeblockering och inneslutning.

Funktioner för blockering och inneslutning fungerar med flera komponenter och funktioner i Defender för Endpoint för att stoppa attacker omedelbart och förhindra att attacker fortskrider.

  • Nästa generations skydd (som omfattar Microsoft Defender Antivirus) kan identifiera hot genom att analysera beteenden och stoppa hot som har börjat köras.

  • Identifiering och svar av slutpunkter (Identifiering och åtgärd på slutpunkt) tar emot säkerhetssignaler i nätverket, enheterna och kernel-beteendet. När hot upptäcks skapas aviseringar. Flera aviseringar av samma typ sammanställs till incidenter, vilket gör det enklare för teamet med säkerhetsåtgärder att undersöka och svara.

  • Defender för Endpoint har ett brett utbud avoptisk över identiteter, e-post, data och appar, utöver de nätverks-, slutpunkts- och kernel-funktionssignaler som tas emot via Identifiering och åtgärd på slutpunkt. En komponent i Microsoft 365 Defender, Defender för Endpoint bearbetar och korrelerar dessa signaler, upphöjer identifieringsaviseringar och kopplar relaterade aviseringar i incidenter.

Med dessa funktioner kan fler hot förhindras eller blockeras, även om de börjar köras. När misstänkt beteende upptäcks finns hoten kvar, aviseringar skapas och hot stoppas i deras spår.

Följande bild visar ett exempel på en varning som utlöstes genom funktionella blockerings- och inneslutningsfunktioner:

Exempel på en avisering genom blockering och inneslutning.

Komponenter i beteendeblockering och inneslutning

  • Regler för att minska attackytan på klientsidan Fördefinierade vanliga attackbeteenden förhindras från att köras, enligt reglerna för minskning av attackytan. När sådana beteenden försöker köras kan de ses i Microsoft 365 Defender som informationsaviseringar. Minskningsregler för attackytor är inte aktiverade som standard. konfigurerar du principer i Microsoft 365 Defender portalen.

  • Klientbeteendeblockering Hot på slutpunkter upptäcks genom maskininlärning och blockeras och åtgärdas automatiskt. (Klientbeteendeblockering är aktiverat som standard.)

  • Blockering av feedbackslingor (kallas även snabbt skydd) Hotidentifiering observeras via beteendeinformation. Hot stoppas och förhindras från att köras på andra slutpunkter. (Blockering av feedbackslingar är aktiverat som standard.)

  • Identifiering och svar av slutpunkt (Identifiering och åtgärd på slutpunkt) i blockeringsläge Skadliga artefakter eller beteenden som observeras genom skydd efter intrång blockeras och finns. Identifiering och åtgärd på slutpunkt i blockeringsläge fungerar även om Microsoft Defender Antivirus inte är den primära antiviruslösningen. (Identifiering och åtgärd på slutpunkt i blockeringsläge är inte aktiverat som standard. Du aktiverar det Microsoft 365 Defender.)

Räkna med att fler kommer in när det gäller beteendeblockering och inneslutning, eftersom Microsoft fortsätter att förbättra funktionerna för skydd mot hot. Om du vill se vad som är planerat och lanserat nu kan du gå till Microsoft 365 översikt.

Exempel på beteendeblockering och inneslutning i praktiken

Funktioner för beteendeblockering och inneslutning har blockerat attackertekniker som följande:

  • Credential-från LSASS
  • Korsprocessinjicering
  • Process ihålig
  • Förbikoppling av användarkontokontroll
  • Manipulera antivirus (till exempel inaktivera det eller lägga till den skadlig programvara som undantag)
  • Kontakta kommando och kontroll (C&C) för att ladda ned nyttolaster
  • Slantsingling
  • Startpoständring
  • Pass-the-hash-attacker
  • Installation av rotcertifikat
  • Användningsförsök för olika säkerhetsproblem

Nedan finns två verkliga exempel på beteendeblockering och inneslutning i praktiken.

Exempel 1: Autentiseringsstöldattack mot 100 organisationer

Så som beskrivs i Hot hot mot elusiva hot: AI-drivnabeteendebaserade blockering stoppar attacker i sina spår , en autentiseringsstöldattack mot 100 organisationer runt om i världen har stoppats av funktionsblockering och inneslutningsfunktioner. E-postmeddelanden om försök till nätfiske som innehöll ett lure-dokument har skickats till de riktade organisationerna. Om en mottagare öppnade den bifogade filen kunde ett relaterat fjärrdokument köra kod på användarens enhet och läsa in malware från Malware för Malware, som har stulit autentiseringsuppgifter, lagrat stulna data och väntat på ytterligare instruktioner från en kommando- och kontrollserver.

Behavior-based device learning models in Defender for Endpoint caught and stopped the attacker's techniques at two points in the attack chain:

  • Det första skyddslagret upptäckte sårbarhetsbeteendet. Enhet med utbildning i molnet har identifierat hoten korrekt och omedelbart fått instruktioner om att klientenheten ska blockera attacken.
  • Det andra skyddlagret, som hjälpte dig att stoppa fall där attacken kom förbi det första lagret, upptäckte process ihålig process, stoppade processen och tog bort motsvarande filer (till exempelLagraibot).

När attacken upptäcktes och stoppades utlöstes varningar, till exempel en "initial åtkomstvarning", och visades i Microsoft 365 Defender portal.

Första åtkomstavisering i Microsoft 365 Defender portalen.

Det här exemplet visar hur funktionsbaserade enhetsinlärningsmodeller i molnet lägger till nya skyddslager mot attacker, även efter att de har börjat köra.

Exempel 2: NTLM-relä – Variant för skadlig juicy-potatis

Enligt beskrivningen i det senaste blogginlägget upptäcktes blockering och inneslutning av beteende:Omvandlaoptisk information till skydd i januari 2020 upptäckte Defender för Endpoint en eskaleringsaktivitet för behörigheter på en enhet i en organisation. En avisering som anropades "Möjlig eskalering av behörighet med NTLM-relä" utlöstes.

NTLM-varning för skadlig juicy-potatis.

Hot som visades vara skadlig kod. det var en ny variant som inte syns förut, av ett ökänt hackverktyg som kallas Juicy Potatis, som används av attackerare för att få eskalering av behörighet på en enhet.

Minuter efter att aviseringen utlöstes analyserades filen och bekräftades vara skadlig. Processen har stoppats och blockerats, enligt följande bild:

Artefakt blockerad.

Några minuter efter att artefakten blockerades blockerades flera instanser av samma fil på samma enhet, vilket hindrade fler attacker eller annan skadlig programvara från att distribuera på enheten.

Det här exemplet visar att hot identifieras, finns och blockeras automatiskt med funktioner för beteendeblockering och inneslutning.

Nästa steg