Automaattinen hyökkäyshäiriö Microsoft Defender for Business
Ihmisen operoima hyökkäys on verkkorikollisten aktiivinen hyökkäys, joka soluttautuu organisaatioon, nostaa heidän oikeuksiaan, navigoi verkossa ja ottaa käyttöön kiristysohjelmia tai varastaa tietoa. Tällaiset hyökkäykset voivat olla katastrofaalisia liiketoiminnalle, niihin on yleensä vaikea puuttua ja ne uhkaavat joskus edelleen liiketoimintaa ensimmäisen kohtaamisen jälkeen. Lisätietoja on artikkelissa Ihmisen ylläpitämät kiristyshaittaohjelmahyökkäykset.
Microsoft Defender XDR lisännyt marraskuussa 2022 yritysasiakkaille automaattisen hyökkäyshäiriön, joka auttaa suojautumaan ihmisen toimittamilta tai muilta kehittyneiltä hyökkäyksiltä. Nämä ominaisuudet ovat tulossa Defender for Business! Tässä artikkelissa kuvataan, miten automaattinen hyökkäyshäiriö toimii, miten tarkastella hyökkäyksen tietoja ja miten nämä ominaisuudet saadaan.
Miten automaattinen hyökkäyshäiriö toimii
Automaattinen hyökkäyshäiriö on suunniteltu
- Sisältää edistyneitä hyökkäyksiä, jotka ovat käynnissä;
- Rajoita hyökkäysten vaikutusta ja etenemistä yritysresursseihisi (kuten laitteisiin); ja
- Anna LISÄÄ aikaa IT-/suojaustiimille hyökkäyksen täydelliseen korjaamiseen.
Automaattinen hyökkäyshäiriö käyttää Microsoftin tietoturvatutkijoiden ja kehittyneiden tekoälymallien merkityksellisiä tietoja edistyneiden hyökkäysten monimutkaisuuden torjumiseksi. Se rajoittaa uhkanäyttelijän edistymistä varhaisessa vaiheessa ja vähentää dramaattisesti hyökkäyksen kokonaisvaikutusta, siihen liittyvistä kustannuksista tuottavuuden menetykseen. Katso esimerkkejä Microsoftin tietoturvablogista.
Kun automaattinen hyökkäys häiriintyy, heti kun laitteessa havaitaan ihmisen käyttämä hyökkäys, vaiheet suoritetaan välittömästi kyseisen laitteen ja käyttäjätilien hillitsemiseksi laitteessa. Tapaus luodaan Microsoft Defender portaalissa (https://security.microsoft.com). Siellä IT-tiimisi voi tarkastella tietoja vaarantuneiden resurssien riskistä ja eristämistilasta prosessin aikana ja sen jälkeen. Tapaus-sivulla on tietoja kyseessä olevien resurssien hyökkäyksen ja ajantasaisen tilan tiedoista.
Automaattisia vastaustoimintoja ovat muun muassa seuraavat:
- Sisältää laitteen estämällä saapuvan tai lähtevän tietoliikenteen
- Sisältää käyttäjätilin katkaisemalla nykyiset käyttäjäyhteydet laitetasolla
Tärkeää
- Jotta voit tarkastella tietoja havaitusta kehittyneestä hyökkäyksestä, sinulla on oltava asianmukainen rooli, kuten suojauksen lukija tai suojauksen järjestelmänvalvoja määritettynä.
- Jotta voit suorittaa korjaustoimintoja, vapauttaa sisällytetyn laitteen/käyttäjän tai ottaa käyttäjätilin uudelleen käyttöön, sinulla on oltava suojauksen järjestelmänvalvojan rooli määritettynä.
- Katso käyttöoikeusroolit ja käyttöoikeudet Defender for Business.
Hyökkäyksen tietojen tarkasteleminen Microsoft Defender portaalissa
Siirry Microsoft Defender portaalissa kohtaan Tapaukset.
Valitse tapaus, joka on merkitty hyökkäyshäiriöllä.
Tarkista tapauskaavio, jonka avulla voit saada koko hyökkäystarinan ja arvioida hyökkäyksen häiriön vaikutusta ja tilaa.
Kun olet valmis julkaisemaan suljetun laitteen tai käyttäjätilin tai ottamaan käyttäjätilin uudelleen käyttöön, toimi seuraavasti:
- Jos haluat vapauttaa eristyneen laitteen, valitse laite ja valitse sitten Vapauta eristyskomennuksesta.
- Jos haluat vapauttaa eriytyneen käyttäjän, valitse käyttäjätili ja valitse sitten sivuruudussa Kumoa.
Häiriöihin kuuluvat tunniste Attack Disruption
ja tietty tunnistettu uhkatyyppi (kuten kiristyshaittaohjelma). Jos IT-/tietoturvatiimisi saa tapaussähköposti-ilmoituksia, nämä tunnisteet näkyvät myös sähköposteissa.
Kun tapaus häiriintyy, tapauksen otsikon alapuolella näkyy korostettu teksti. Sisällytetyt laitteet tai käyttäjätilit luetellaan selitteellä, joka ilmaisee niiden tilan.
Hyökkäyshäiriöiden seuraaminen toimintokeskuksessa
Toimintokeskus kokoaa yhteen kaikki korjaus- ja vastaustoiminnot riippumatta siitä, onko nämä toiminnot suoritettu automaattisesti vai manuaalisesti. Voit tarkastella kaikkia automaattisen hyökkäyksen häiriöitä toimintokeskuksessa. Sen jälkeen, kun IT-/suojausryhmäsi on lieventänyt riskiä ja suorittanut tapauksen tutkinnan, se voi vapauttaa resursseja.
Siirry Microsoft Defender portaalissa kohtaan Toiminnot & lähetysten>toimintokeskus.
Valitse Historia-välilehti .
Valitse toiminto, kuten Sisällytä käyttäjä tai Sisällytä laite, ja valitse sitten Kumoa.
Lisätietoja on toimintokeskuksen kohdassa Korjaamistoimintojen tarkasteleminen.
Automaattisen hyökkäyshäiriön saaminen
Automaattinen hyökkäyshäiriö on sisäänrakennettu Defender for Business; sinun ei tarvitse erikseen ottaa näitä ominaisuuksia käyttöön. On tärkeää, että kaikki organisaatiosi laitteet (tietokoneet, puhelimet ja tabletit) otetaan mukaan Defender for Business, jotta ne suojataan mahdollisimman pian.
Rekisteröidy lisäksi vastaanottamaan esikatseluominaisuuksia , jotta saat uusimmat ja parhaat ominaisuudet heti, kun ne ovat saatavilla.