Jaa

Microsoft Defender XDR petosominaisuuden hallinta

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Defender for Endpoint

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät aiempiin tuotteisiin tai palveluihin, joita voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Microsoft Defender XDR tarjoaa sisäänrakennetun petosominaisuuden avulla ihmisen ylläpitämän sivuliikkeen korkean luottamuksen havaitsemisen, mikä estää hyökkäyksiä pääsemästä organisaation kriittisiin resursseihin. Useat hyökkäykset, kuten yrityssähköpostin kompromissi (BEC),kiristyshaittaohjelmat, organisaation rikkomiset ja kansallisvaltion hyökkäykset, käyttävät usein sivuttaista liikettä ja niitä voi olla vaikea havaita suurella luottamuksella alkuvaiheessa. Defender XDR petostekniikka tarjoaa erittäin luotettavat tunnistuksia, jotka perustuvat Microsoft Defender for Endpoint signaalien kanssa korreloituihin petossignaaleihin.

Petosominaisuus luo automaattisesti aidon näköisiä decoy-tilejä, isäntiä ja vieheitä. Luodut valeresurssit otetaan sitten automaattisesti käyttöön tietyille asiakkaille. Kun hyökkääjä on vuorovaikutuksessa purkamisen tai houkutinten kanssa, petosominaisuus antaa erittäin luotettavat hälytykset, auttaa tietoturvatiimin tutkimuksissa ja antaa heille mahdollisuuden tarkkailla hyökkääjän menetelmiä ja strategioita. Kaikki petosominaisuuden antamat hälytykset korreloivat automaattisesti tapauksiin, ja ne integroidaan täysin Microsoft Defender XDR. Lisäksi petostekniikka on integroitu Defender for Endpointiin, mikä minimoi käyttöönottotarpeet.

Yleiskatsaus petoksesta on seuraavassa videossa.

Ennakkovaatimukset

Seuraavassa taulukossa on lueteltu Microsoft Defender XDR petosominaisuuden käyttöönottovaatimukset.

Vaatimus Tiedot
Tilausvaatimukset Yksi näistä tilauksista:
- Microsoft 365 E5
- Microsoft Security E5
- Microsoft Defender for Endpoint palvelupaketti 2
Käyttöönottovaatimukset Vaatimukset:
- Defender for Endpoint on ensisijainen EDR-ratkaisun -
automatisoitu tutkimus- ja vastausominaisuudet Defender for Endpointissa on määritetty
- Laitteet liitetään tai hybridi liitetään Microsoft Entra
- PowerShell on käytössä laitteissa (rajoitetussa tai rajoittamattomassa tilassa)
- Petosominaisuus kattaa Windows 10 toimivat asiakkaat RS5 ja uudemmat esiversiot
Käyttöoikeudet Petoksen ominaisuuksien määrittäminen edellyttää, että Microsoft Entra -hallintakeskus tai Microsoft 365 -hallintakeskus on määritetty jokin seuraavista rooleista:
- yleinen järjestelmänvalvoja
- Suojauksen järjestelmänvalvoja
- Hallinta portaalijärjestelmän asetukset

Huomautus

Microsoft suosittelee käyttämään rooleja, joilla on vähemmän käyttöoikeuksia suojauksen parantamiseksi. Yleisen järjestelmänvalvojan roolia, jolla on useita käyttöoikeuksia, tulisi käyttää hätätilanteissa vain, kun mikään muu rooli ei sovi.

Mitä on petostekniikka?

Petostekniikka on suojaustoimenpide, joka antaa välittömät hälytykset mahdollisesta hyökkäyksestä tietoturvatiimeille, jolloin ne voivat vastata reaaliaikaisesti. Petostekniikka luo väärennettyjä resursseja, kuten laitteita, käyttäjiä ja isäntiä, jotka näyttävät kuuluvan verkkoosi.

Hyökkääjät, jotka käsittelevät petosominaisuuden määrittämiä valeverkkoresursseja, voivat auttaa suojausryhmiä estämään mahdollisia hyökkäyksiä vaarantamasta organisaatiota ja valvomaan hyökkääjien toimia, jotta puolustajat voivat parantaa ympäristönsä suojausta edelleen.

Miten Microsoft Defender XDR petosominaisuus toimii?

Microsoft Defender -portaalin sisäinen petosominaisuus käyttää sääntöjä, joiden avulla voit tehdä ympäristösi mukaisia decoy- ja lure-vieheitä. Ominaisuus soveltaa koneoppimista ehdottaakseen decoyja ja vieheitä, jotka on räätälöity verkkoosi. Voit myös käyttää petosominaisuutta luodaksesi manuaalisesti desikot ja houkuttimet. Nämä decoy-koodaukset ja vieheet otetaan sitten automaattisesti käyttöön verkossasi ja istutetaan laitteille, jotka määrität PowerShellin avulla.

Petostekniikka: ihmisen operoimien sivuttaisliikkeiden erittäin luotettavan tunnistamisen avulla se varoittaa tietoturvaryhmiä, kun hyökkääjä on vuorovaikutuksessa väärennettyjen isäntien tai vieheiden kanssa. Tässä on prosessi siitä, miten petosominaisuus toimii:

Näyttökuva hyökkäyksestä, jossa on sivuttaisliike ja jossa petos sieppaa hyökkäyksen

Decoy-koodaukset ovat väärennettyjä laitteita ja tilejä, jotka näyttävät kuuluvan verkkoon. Vieheet ovat valesisältöä, joka on istutettu tiettyihin laitteisiin tai tileihin, ja niitä käytetään houkuttelemaan hyökkääjää. Sisältö voi olla asiakirja, määritystiedosto, välimuistiin tallennetut tunnistetiedot tai sisältö, jota hyökkääjä voi todennäköisesti lukea, varastaa tai käsitellä. Lures jäljittelee tärkeitä yrityksen tietoja, asetuksia tai tunnistetietoja.

Petosominaisuudessa on saatavilla kahdenlaisia viehejä:

  • Perusviehet – istutetut asiakirjat, linkitettyjä tiedostoja ja vastaavia, joilla ei ole mitään tai vähäistä vuorovaikutusta asiakasympäristön kanssa.
  • Kehittyneet vieheet – istutettu sisältö, kuten välimuistiin tallennetut tunnistetiedot ja sieppaukset, jotka vastaavat asiakasympäristöön tai ovat vuorovaikutuksessa asiakasympäristön kanssa. Hyökkääjät voivat esimerkiksi käsitellä decoy-tunnistetietoja, jotka on syötetty vastauksia Active Directory -kyselyihin ja joiden avulla he voivat kirjautua sisään.

Huomautus

Vieheet istutetaan vain Windows-asiakkaille, jotka on määritetty petossäännön laajuudessa. Yritykset käyttää mitä tahansa decoy-isäntää tai tiliä missä tahansa Defender for Endpoint-perehdytetyssä asiakkaassa aiheuttavat kuitenkin petosilmoituksen. Lue, miten voit lisätä asiakkaita perehdyttämiseen Microsoft Defender for Endpoint. Vieheiden istutus Windows Server 2016 ja sitä uudemmat on suunniteltu tulevaa kehitystä varten.

Voit määrittää dekoodauksia, vieheitä ja käyttöalueen petossäännössä. Lisätietoja petossääntöjen luomisesta ja muokkaamisesta on kohdassa Petosominaisuuden määrittäminen .

Kun hyökkääjä käyttää dekoodausta mihin tahansa Defender for Endpoint onboarded -asiakkaaseen, petosominaisuus käynnistää hälytyksen, joka ilmaisee mahdollisen hyökkääjän toiminnan riippumatta siitä, onko petokset otettu käyttöön asiakkaassa vai ei.

Petoksen aktivoimien tapausten ja hälytysten tunnistaminen

Petostunnistukseen perustuvat ilmoitukset sisältävät otsikossa petollisia ilmoituksia. Esimerkkejä ilmoitusotsikoista ovat:

  • Kirjautumisyritys petollisen käyttäjätilin avulla
  • Yhteysyritys petolliseen isäntään

Ilmoituksen tiedot sisältävät:

  • Petoksen tunniste
  • Decoy-laite tai käyttäjätili, josta ilmoitus on peräisin
  • Hyökkäyksen tyyppi, kuten kirjautumisyritykset tai sivuttaisten siirtoyritysten tyypit

Tässä on esimerkki petokseen liittyvästä ilmoituksesta:

Näyttökuva petosilmoituksesta, joka korostaa tunnisteen ja yrityksen

Seuraavat vaiheet

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.