Microsoft Defender XDR 中的自动攻击中断

适用于：

• Microsoft Defender XDR

Microsoft Defender XDR 关联数百万个单个信号，以高置信度识别环境中的活动勒索软件活动或其他复杂攻击。 当攻击正在进行时，Defender XDR 会自动包含攻击者通过自动攻击中断使用的受攻击资产来中断攻击。

自动攻击中断会尽早限制横向移动，并减少攻击的总体影响，从相关成本到生产力损失。 同时，它让安全运营团队完全控制资产的调查、修正和恢复联机。

本文概述了自动攻击中断，并提供了后续步骤和其他资源的链接。

自动攻击中断的工作原理

自动攻击中断旨在遏制正在进行的攻击，限制对组织资产的影响，并为安全团队提供更多时间来完全修正攻击。 攻击中断使用 XDR) 信号 (扩展检测和响应的全部广度，将整个攻击考虑在事件级别进行操作。 此功能不同于已知的保护方法，例如基于单个泄露指标的预防和阻止。

虽然许多 XDR 和安全业务流程、自动化和响应 (SOAR) 平台允许你创建自动响应操作，但自动攻击中断是内置的，它使用 Microsoft 安全研究人员和高级 AI 模型的见解来对抗高级攻击的复杂性。 自动攻击中断考虑来自不同源的信号的整个上下文，以确定泄露的资产。

自动攻击中断在三个关键阶段运行：

• 它使用 Defender XDR 的功能，通过终结点、标识、电子邮件和协作工具以及 SaaS 应用的见解，将来自许多不同的源的信号关联到单个高置信度事件。
• 它标识由攻击者控制并用于传播攻击的资产。
• 它自动跨相关 Microsoft Defender 产品采取响应操作，通过隔离受影响的资产来实时遏制攻击。

这种改变游戏规则的功能会限制威胁参与者的早期进度，并大幅降低攻击的总体影响，从相关成本到生产力损失。

执行自动操作时建立高置信度

我们知道，由于安全团队可能会对组织产生潜在影响，因此采取自动操作有时会带来犹豫。 因此，Defender XDR 中的自动攻击中断功能设计为依赖于高保真信号。 它还使用 Defender XDR 的事件关联与跨电子邮件、标识、应用程序、文档、设备、网络和文件的数百万个 Defender 产品信号。 Microsoft 安全研究团队持续调查数千个事件的见解可确保自动攻击中断 (SNR) 保持较高的信噪比。

调查是监视我们的信号和攻击威胁形势不可或缺的一部分，以确保高质量和准确的保护。

提示

本文介绍攻击中断的工作原理。 若要配置这些功能，请参阅在 Microsoft Defender XDR 中 配置攻击中断功能 。

自动响应操作

自动攻击中断使用基于 Microsoft 的 XDR 响应操作。 这些操作的示例包括：

• 设备包含 - 根据 Microsoft Defender for Endpoint 的功能，此操作是自动包含可疑设备，以阻止与所述设备的任何传入/传出通信。

• 禁用用户 - 根据 Microsoft Defender for Identity 的功能，此操作是自动挂起已入侵的帐户，以防止其他损害，例如横向移动、恶意邮箱使用或恶意软件执行。

• 包含用户 - 根据 Microsoft Defender for Endpoint 的功能，此响应操作会自动暂时包含可疑标识，以帮助阻止与 Defender for Endpoint 的已载入设备之间的传入通信相关的任何横向移动和远程加密。

有关详细信息，请参阅 Microsoft Defender XDR 中的 修正操作 。

使用 Microsoft Sentinel 实现 SAP 的自动响应操作

如果使用 统一的安全操作平台 ，并且部署了适用于 SAP 应用程序的 Microsoft Sentinel 解决方案，还可以为 SAP 部署自动攻击中断。

例如，在发生财务流程操作攻击时，通过锁定可疑 SAP 用户，为 SAP 部署攻击中断以包含受攻击的资产。

风险缓解后，Microsoft Defender 管理员可以手动解锁因攻击中断响应自动锁定的用户。 Microsoft Defender 操作中心提供手动解锁用户的功能，并且仅适用于因攻击中断而锁定的用户。

若要对 SAP 使用攻击中断，请部署新的数据连接器代理，或确保代理使用版本90847355或更高版本，然后分配并应用所需的 Azure 和 SAP 角色。 有关更多信息，请参阅：

• 部署和配置托管 SAP 数据连接器代理的容器
• 更新 Microsoft Sentinel 的 SAP 数据连接器代理，特别是 更新系统以自动中断攻击。

在 Azure 门户和 SAP 系统中配置攻击中断时，自动攻击中断本身仅出现在 Microsoft Defender 门户中的统一安全操作平台中。

确定环境中何时发生攻击中断

Defender XDR 事件页将通过攻击事件反映自动攻击中断操作，以及黄色条形图 1) (指示的状态。 事件显示专用中断标记，突出显示事件图中包含的资产的状态，并向操作中心添加操作。

图 1。显示黄色条形的事件视图，其中自动攻击中断采取了操作

Defender XDR 用户体验现在包括其他视觉提示，以确保这些自动操作的可见性。 可以在以下体验中找到它们：

1. 在事件队列中：

   • 受影响的事件旁边会显示一个标题为 “攻击中断 ”的标记

2. 在事件页上：

   • 标题为“攻击中断”的标记
   • 页面顶部的黄色横幅突出显示了采取的自动操作
   • 如果对资产（例如帐户已禁用或包含的设备）执行了操作，则当前资产状态会显示在事件图中

3. 通过 API：

   (攻击中断) 字符串添加到可能自动中断的高置信度事件标题的末尾。 例如：

   BEC 金融欺诈攻击从遭到入侵的帐户发起 (攻击中断)

有关详细信息，请参阅 查看攻击中断详细信息和结果。

后续步骤

• 在 Microsoft Defender XDR 中配置自动攻击中断
• 查看详细信息和结果
• 获取响应操作的电子邮件通知

提示

想要了解更多信息？ 在技术社区：Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。