Automatisk attackstörning i Microsoft Defender XDR
Gäller för:
- Microsoft Defender XDR
Microsoft Defender XDR korrelerar miljontals enskilda signaler för att identifiera aktiva utpressningstrojankampanjer eller andra sofistikerade attacker i miljön med hög konfidens. Medan en attack pågår stör Defender XDR attacken genom att automatiskt innehålla komprometterade tillgångar som angriparen använder genom automatiska angreppsavbrott.
Automatiska angreppsstörningar begränsar lateral förflyttning tidigt och minskar den totala effekten av en attack, från tillhörande kostnader till förlust av produktivitet. Samtidigt har säkerhetsteamen fullständig kontroll över att undersöka, åtgärda och föra tillbaka tillgångar online.
Den här artikeln innehåller en översikt över automatiserade angreppsavbrott och innehåller länkar till nästa steg och andra resurser.
Så här fungerar automatiska angreppsstörningar
Automatiska angreppsstörningar är utformade för att begränsa pågående attacker, begränsa påverkan på en organisations tillgångar och ge säkerhetsteam mer tid för att åtgärda attacken fullt ut. Attackavbrott använder hela bredden av våra XDR-signaler (extended detection and response) och tar hänsyn till hela attacken för att agera på incidentnivå. Den här funktionen skiljer sig från kända skyddsmetoder som förebyggande och blockering baserat på en enda indikator på kompromisser.
Många plattformar för XDR och säkerhetsorkestrering, automatisering och svar (SOAR) gör att du kan skapa automatiska svarsåtgärder, men automatiska angreppsstörningar är inbyggda och använder insikter från Microsofts säkerhetsforskare och avancerade AI-modeller för att motverka komplexiteten i avancerade attacker. Automatiska angreppsstörningar tar hänsyn till hela kontexten av signaler från olika källor för att fastställa komprometterade tillgångar.
Automatisk attackstörning fungerar i tre viktiga steg:
- Den använder Defender XDR förmåga att korrelera signaler från många olika källor till en enda incident med hög konfidens genom insikter från slutpunkter, identiteter, e-post- och samarbetsverktyg och SaaS-appar.
- Den identifierar tillgångar som kontrolleras av angriparen och används för att sprida attacken.
- Den vidtar automatiskt svarsåtgärder i relevanta Microsoft Defender produkter för att begränsa attacken i realtid genom att isolera berörda tillgångar.
Den här spelförändrande funktionen begränsar en hotaktörs framsteg tidigt och minskar dramatiskt den totala effekten av en attack, från tillhörande kostnader till förlust av produktivitet.
Upprätta hög konfidens när du vidtar automatiska åtgärder
Vi förstår att automatiska åtgärder ibland kommer med tvekan från säkerhetsteam, med tanke på den potentiella inverkan det kan ha på en organisation. Därför är funktionerna för automatiska angrepp i Defender XDR utformade för att förlita sig på hög återgivningssignaler. Den använder också Defender XDR incidentkorrelation med miljontals Defender-produktsignaler via e-post, identitet, program, dokument, enheter, nätverk och filer. Insikter från den kontinuerliga undersökningen av tusentals incidenter av Microsofts säkerhetsforskningsteam säkerställer att automatiska angreppsstörningar upprätthåller ett högt signal-till-brus-förhållande (SNR).
Undersökningar är en viktig del i övervakningen av våra signaler och angreppshotlandskapet för att säkerställa ett högkvalitativt och korrekt skydd.
Tips
Den här artikeln beskriver hur attackstörningar fungerar. Information om hur du konfigurerar dessa funktioner finns i Konfigurera funktioner för angreppsstörningar i Microsoft Defender XDR.
Automatiserade svarsåtgärder
Automatiska angreppsstörningar använder Microsoft-baserade XDR-svarsåtgärder. Exempel på dessa åtgärder är:
Enheten innehåller – baserat på Microsoft Defender för Endpoint kapacitet är den här åtgärden en automatisk inneslutning av en misstänkt enhet för att blockera inkommande/utgående kommunikation med den nämnda enheten.
Inaktivera användare – baserat på Microsoft Defender for Identity funktioner är den här åtgärden en automatisk avstängning av ett komprometterat konto för att förhindra ytterligare skador som lateral förflyttning, användning av skadlig postlåda eller körning av skadlig kod.
Innehåller användare – baserat på Microsoft Defender för Endpoint funktioner innehåller den här svarsåtgärden automatiskt misstänkta identiteter tillfälligt för att blockera eventuell lateral förflyttning och fjärrkryptering relaterad till inkommande kommunikation med Defender för Endpoints registrerade enheter.
Mer information finns i Reparationsåtgärder i Microsoft Defender XDR.
Automatiserade svarsåtgärder för SAP med Microsoft Sentinel (förhandsversion)
Om du använder den enhetliga säkerhetsåtgärdsplattformen och även distribuerar Microsoft Sentinel-lösningen för SAP-program kan du även distribuera automatiska angreppsavbrott för SAP.
Du kan till exempel distribuera attackavbrott för ATT SAP ska innehålla komprometterade tillgångar genom att låsa misstänkta SAP-användare i händelse av en ekonomisk processmanipuleringsattack.
När risken har minimerats kan Microsoft Defender administratörer manuellt låsa upp de användare som har låsts automatiskt av attackstörningssvaret. Möjligheten att manuellt låsa upp användare är tillgänglig från Microsoft Defender åtgärdscenter och endast för användare som har låsts av attackstörningar.
Mer information finns i Spåra åtgärderna i Åtgärdscenter och Distribuera automatiska attackavbrott för SAP.
Identifiera när ett angreppsstörningar inträffar i din miljö
Sidan Defender XDR incident visar de automatiska angreppsstörningsåtgärderna via attackberättelsen och den status som anges av ett gult fält (bild 1). Incidenten visar en dedikerad avbrottstagg, markerar statusen för de tillgångar som finns i incidentdiagrammet och lägger till en åtgärd i Åtgärdscenter.
bild 1. Incidentvy som visar det gula fältet där automatiska attackstörningar vidtog åtgärder
Den Defender XDR användarupplevelsen innehåller nu ytterligare visuella tips för att säkerställa synligheten för dessa automatiska åtgärder. Du hittar dem i följande upplevelser:
I incidentkön:
- En tagg med titeln Attack Disruption (Attackstörning ) visas bredvid berörda incidenter
På incidentsidan:
- En tagg med titeln Attack Disruption
- En gul banderoll överst på sidan som visar den automatiska åtgärd som vidtagits
- Den aktuella tillgångsstatusen visas i incidentdiagrammet om en åtgärd utförs på en tillgång, till exempel kontot är inaktiverat eller enheten ingår
Via API:
En sträng (attackavbrott) läggs till i slutet av titlarna på incidenter med hög konfidens som sannolikt kommer att störas automatiskt. Till exempel:
BEC:s ekonomiska bedrägeriattack som startats från ett komprometterat konto (attackstörning)
Mer information finns i visa information och resultat om attackstörningar.
Nästa steg
- Konfigurera automatiska attackstörningar i Microsoft Defender XDR
- Visa information och resultat
- Få e-postaviseringar för svarsåtgärder
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för