Microsoft Defender 商业版中的自动攻击中断

人为操作攻击是网络罪犯的主动攻击,他们渗透到组织、提升其特权、浏览网络以及部署勒索软件或窃取信息。 这些类型的攻击对业务运营可能是灾难性的,往往难以解决,有时在初始遭遇后会继续威胁业务运营。 有关详细信息,请参阅 人为操作的勒索软件攻击

为了帮助防范人为操作或其他高级攻击,Microsoft Defender XDR在 2022 年 11 月为企业客户添加了自动攻击中断。 现在,这些功能即将推出 Defender for Business! 本文介绍了自动攻击中断的工作原理、如何查看有关攻击的详细信息以及如何获取这些功能。

自动攻击中断的工作原理

自动攻击中断旨在:

  • 包含正在进行的高级攻击;
  • 限制攻击对业务资产的影响和进展 (,例如设备) ;和
  • 为 IT/安全团队提供更多时间来完全修正攻击。

自动攻击中断使用 Microsoft 安全研究人员的见解和高级 AI 模型来抵消高级攻击的复杂性。 它限制了威胁参与者在早期的进展,并大大降低了攻击的整体影响,从相关的成本到生产力的损失。 请参阅 Microsoft 安全博客中的一些示例。

通过自动攻击中断,一旦在设备上检测到人为攻击,就会立即采取措施,在设备上包含受影响的设备和用户帐户。 在Microsoft Defender门户中创建事件 (https://security.microsoft.com) 。 在那里,IT/安全团队可以查看有关过程中和之后已泄露资产的风险和包含状态的详细信息。 “事件”页提供有关受影响资产的攻击和最新状态的详细信息。

自动响应操作包括:

  • 通过阻止传入/传出通信来包含设备
  • 通过在设备级别断开当前用户连接来包含用户帐户

重要

  • 若要查看有关检测到的高级攻击的信息,必须分配有安全读取者、安全管理员或全局管理员角色。
  • 若要执行修正操作、释放包含的设备/用户或重新启用用户帐户,必须分配有安全管理员或全局管理员角色。
  • 请参阅 Defender for Business 中的安全角色和权限

在Microsoft Defender门户中查看有关攻击的详细信息

  1. 在Microsoft Defender门户中,转到“事件”。

  2. 选择标记为 “攻击中断”的事件。

  3. 查看事件图,该图使你能够获取整个攻击情景并评估攻击中断影响和状态。

  4. 准备好释放包含的设备或用户帐户,或者重新启用用户帐户时,请执行以下步骤之一:

    • 若要释放包含的设备,请选择该设备,然后选择 “从包含中释放”。
    • 若要释放包含的用户,请选择用户帐户,然后在侧窗格中选择“ 撤消”。

中断事件包括 标记 Attack Disruption 以及标识 (的特定威胁类型,例如勒索软件) 。 如果 IT/安全团队收到电子邮件通知事件,这些标记也会显示在电子邮件中。

当事件中断时,突出显示的文本将显示在事件标题下方。 包含的设备或用户帐户以指示其状态的标签列出。

在操作中心跟踪攻击中断操作

操作中心汇集了所有修正和响应操作,无论这些操作是自动执行还是手动执行。 可以在操作中心查看所有自动攻击中断操作。 而且,在 IT/安全团队缓解风险并完成事件调查后,他们可以释放包含的资产。

  1. 在Microsoft Defender门户中,转到“操作 & 提交>操作中心”。

  2. 选择“ 历史记录 ”选项卡。

  3. 选择操作,例如 “包含用户” 或“ 包含设备”,然后选择“ 撤消”。

有关详细信息,请参阅 在操作中心查看修正操作

如何获取自动攻击中断

自动攻击中断内置于 Defender for Business 中;无需显式启用这些功能。 请务必将 组织的所有设备 (计算机、手机和平板电脑) 加入 Defender for Business,以便尽快受到保护。

此外,请注册以接收 预览功能 ,以便在功能可用时立即获得最新和最强大的功能。