Delen via


Automatische onderbreking van aanvallen in Microsoft Defender voor Bedrijven

Een door de mens uitgevoerde aanval is een actieve aanval door cybercriminelen die een organisatie infiltreren, hun bevoegdheden verhogen, door het netwerk navigeren en ransomware implementeren of informatie stelen. Dit soort aanvallen kunnen catastrofaal zijn voor bedrijfsactiviteiten, vaak moeilijk te verhelpen zijn en soms bedrijfsactiviteiten blijven bedreigen na de eerste ontmoeting. Zie Door mensen beheerde ransomware-aanvallen voor meer informatie.

Om te beschermen tegen door de mens uitgevoerde of andere geavanceerde aanvallen, Microsoft Defender XDR in november 2022 automatische aanvalsonderbreking toegevoegd voor zakelijke klanten. Deze mogelijkheden komen nu naar Defender voor Bedrijven! In dit artikel wordt beschreven hoe automatische aanvalsonderbreking werkt, hoe u details over een aanval kunt bekijken en hoe u deze mogelijkheden kunt verkrijgen.

Hoe automatische aanvalsonderbreking werkt

Automatische onderbreking van aanvallen is ontworpen om het volgende te doen:

  • Geavanceerde aanvallen bevatten die worden uitgevoerd;
  • Beperk de impact en voortgang van aanvallen op uw bedrijfsactiva (zoals apparaten); en
  • Geef uw IT-/beveiligingsteam meer tijd om een aanval volledig te herstellen.

Automatische onderbreking van aanvallen maakt gebruik van inzichten van Microsoft-beveiligingsonderzoekers en geavanceerde AI-modellen om de complexiteit van geavanceerde aanvallen tegen te gaan. Het beperkt de voortgang van een bedreigingsacteur in een vroeg stadium en vermindert de algehele impact van een aanval aanzienlijk, van de bijbehorende kosten tot het verlies van productiviteit. Bekijk enkele voorbeelden op de Microsoft-beveiligingsblog.

Bij automatische aanvalsonderbreking worden, zodra een door de mens uitgevoerde aanval op een apparaat wordt gedetecteerd, onmiddellijk stappen ondernomen om het betrokken apparaat en de gebruikersaccounts op het apparaat op te nemen. Er wordt een incident gemaakt in de Microsoft Defender portal (https://security.microsoft.com). Daar kan uw IT-/beveiligingsteam details bekijken over het risico en de inperkingsstatus van gecompromitteerde assets tijdens en na het proces. Een pagina Incident bevat informatie over de aanval en de up-to-date status van de betrokken assets.

Geautomatiseerde reactieacties zijn onder andere:

  • Een apparaat bevatten door binnenkomende/uitgaande communicatie te blokkeren
  • Een gebruikersaccount bevatten door de verbinding met de huidige gebruikersverbindingen op apparaatniveau te verbreken

Belangrijk

  • Als u informatie over een gedetecteerde geavanceerde aanval wilt weergeven, moet er een geschikte rol zijn toegewezen, zoals Beveiligingslezer of Beveiligingsbeheerder.
  • Als u herstelacties wilt uitvoeren, een ingesloten apparaat/gebruiker wilt vrijgeven of een gebruikersaccount opnieuw wilt inschakelen, moet de rol Beveiligingsbeheerder zijn toegewezen.
  • Zie Beveiligingsrollen en -machtigingen in Defender voor Bedrijven.

Details over een aanval weergeven in de Microsoft Defender-portal

  1. Ga in de Microsoft Defender-portal naar Incidenten.

  2. Selecteer een incident dat is getagd met Aanvalsonderbreking.

  3. Bekijk de incidentgrafiek, waarmee u het hele aanvalsverhaal kunt ophalen en de impact en status van de aanvalsonderbreking kunt beoordelen.

  4. Wanneer u klaar bent om een ingesloten apparaat of gebruikersaccount vrij te geven of een gebruikersaccount opnieuw in te schakelen, voert u een van de volgende stappen uit:

    • Als u een ingesloten apparaat wilt vrijgeven, selecteert u het apparaat en kiest u vervolgens Vrijgeven uit insluiting.
    • Als u een ingesloten gebruiker wilt vrijgeven, selecteert u het gebruikersaccount en selecteert u vervolgens ongedaan maken in het zijvenster.

Verstoorde incidenten omvatten een tag voor Attack Disruption en het specifieke bedreigingstype dat is geïdentificeerd (zoals ransomware). Als uw IT-/beveiligingsteam e-mailmeldingen voor incidenten ontvangt, worden deze tags ook weergegeven in de e-mailberichten.

Wanneer een incident wordt onderbroken, wordt gemarkeerde tekst weergegeven onder de titel van het incident. Ingesloten apparaten of gebruikersaccounts worden weergegeven met een label dat hun status aangeeft.

Aanvalsonderbrekingsacties bijhouden in het actiecentrum

Het Actiecentrum brengt alle herstel- en reactieacties samen, ongeacht of deze acties automatisch of handmatig zijn uitgevoerd. U kunt alle acties voor automatische aanvalsonderbreking bekijken in het Actiecentrum. En nadat uw IT-/beveiligingsteam het risico heeft beperkt en het onderzoek van een incident heeft voltooid, kunnen ze ingesloten assets vrijgeven.

  1. Ga in de Microsoft Defender-portal naar Acties & indieningen>Actiecentrum.

  2. Selecteer het tabblad Geschiedenis .

  3. Selecteer een actie, zoals Gebruiker bevatten of Apparaat bevatten, en kies vervolgens Ongedaan maken.

Zie Herstelacties controleren in het actiecentrum voor meer informatie.

Automatische aanvalsonderbreking krijgen

Automatische onderbreking van aanvallen is ingebouwd in Defender voor Bedrijven. U hoeft deze mogelijkheden niet expliciet in te schakelen. Het is belangrijk om alle apparaten van uw organisatie (computers, telefoons en tablets) te onboarden voor Defender voor Bedrijven, zodat ze zo snel mogelijk worden beveiligd.

Meld u bovendien aan om preview-functies te ontvangen, zodat u de nieuwste en beste mogelijkheden krijgt zodra deze beschikbaar zijn.