Automatické přerušení útoku v Microsoft Defender pro firmy
Útok řízený člověkem je aktivní útok kybernetických zločinců, kteří infiltrují organizaci, zvyšují svá oprávnění, navigují v síti a nasazují ransomware nebo kradou informace. Tyto typy útoků můžou být pro obchodní operace katastrofické, můžou být obtížné je vyřešit a někdy i po počátečním setkání nadále ohrozit obchodní operace. Další informace najdete v tématu Útoky ransomwarem provozované člověkem.
Microsoft Defender XDR v listopadu 2022 pro podnikové zákazníky přidali automatické přerušení útoku, aby se chránili před útoky provozovanými lidmi nebo jinými pokročilými útoky. Tyto funkce se teď chystají Defender pro firmy! Tento článek popisuje, jak funguje automatické přerušení útoku, jak zobrazit podrobnosti o útoku a jak tyto funkce získat.
Jak funguje automatické přerušení útoku
Automatické přerušení útoku je navržené tak, aby:
- Obsahují pokročilé útoky, které probíhají;
- Omezte dopad a průběh útoků na firemní prostředky (jako jsou zařízení); a
- Poskytněte vašemu IT/bezpečnostnímu týmu více času na úplnou nápravu útoku.
Automatické přerušení útoku využívá přehledy od výzkumníků zabezpečení Microsoftu a pokročilých modelů AI, aby se zabránilo složitosti pokročilých útoků. Omezuje pokrok aktéra hrozeb v rané fázi a dramaticky snižuje celkový dopad útoku, od souvisejících nákladů až po ztrátu produktivity. Podívejte se na některé příklady na blogu Microsoft Security Blog.
Při automatickém přerušení útoku se okamžitě po zjištění útoku prováděného člověkem na zařízení podniknou kroky k zahrnutí ovlivněného zařízení a uživatelských účtů na zařízení. Na portálu Microsoft Defender () se vytvoří incident.https://security.microsoft.com Tam může váš IT/bezpečnostní tým zobrazit podrobnosti o riziku a stavu omezování ohrožených prostředků během procesu a po něm. Stránka Incident poskytuje podrobnosti o útoku a aktuálním stavu ovlivněných prostředků.
Mezi akce automatizované odpovědi patří:
- Obsahuje zařízení blokováním příchozí a odchozí komunikace
- Obsahuje uživatelský účet odpojením aktuálních uživatelských připojení na úrovni zařízení.
Důležité
- Pokud chcete zobrazit informace o zjištěném pokročilém útoku, musíte mít přiřazenou odpovídající roli, například Čtenář zabezpečení nebo Správce zabezpečení.
- Pokud chcete provést nápravné akce, uvolnit zařízení nebo uživatele nebo znovu povolit uživatelský účet, musíte mít přiřazenou roli Správce zabezpečení.
- Viz Role a oprávnění zabezpečení v Defender pro firmy.
Zobrazení podrobností o útoku na portálu Microsoft Defender
Na portálu Microsoft Defender přejděte na Incidenty.
Vyberte incident, který je označený přerušením útoku.
Projděte si graf incidentů, který vám umožní získat celý příběh útoku a vyhodnotit dopad a stav přerušení útoku.
Až budete připraveni uvolnit zařízení nebo uživatelský účet s omezením nebo znovu povolit uživatelský účet, proveďte jeden z následujících kroků:
- Pokud chcete uvolnit zařízení s omezením, vyberte ho a pak zvolte Uvolnit z uzavření.
- Pokud chcete uvolnit uživatele s omezením, vyberte uživatelský účet a pak v bočním podokně vyberte Zpět.
Narušené incidenty zahrnují značku Attack Disruption
a konkrétní typ hrozby (například ransomware). Pokud váš IT/bezpečnostní tým obdrží e-mailová oznámení o incidentech, zobrazí se v e-mailech také tyto značky.
Když dojde k narušení incidentu, pod názvem incidentu se zobrazí zvýrazněný text. Zařízení s omezením nebo uživatelské účty jsou uvedené s popiskem, který označuje jejich stav.
Sledování akcí přerušení útoku v Centru akcí
Centrum akcí spojuje všechny akce nápravy a reakce, ať už byly tyto akce provedené automaticky nebo ručně. Všechny akce automatického přerušení útoku si můžete prohlédnout v Centru akcí. A poté, co váš IT/bezpečnostní tým zmírní riziko a dokončí šetření incidentu, může uvolnit obsažené prostředky.
Na portálu Microsoft Defender přejděte do centra akcí Akce & odeslání>.
Vyberte kartu Historie .
Vyberte akci, například Obsahovat uživatele nebo Obsahovat zařízení, a pak zvolte Zpět.
Další informace najdete v tématu Kontrola nápravných akcí v Centru akcí.
Jak získat automatické přerušení útoku
Automatické přerušení útoku je součástí Defender pro firmy. Tyto funkce nemusíte explicitně zapínat. Je důležité připojit všechna zařízení vaší organizace (počítače, telefony a tablety) k Defender pro firmy, aby byla co nejdříve chráněná.
Kromě toho se zaregistrujte a získejte funkce Ve verzi Preview , abyste získali nejnovější a nejlepší funkce, jakmile budou k dispozici.