適用於企業的 Microsoft Defender 中的自動攻擊中斷
人為操作的攻擊是由滲透組織、提高其許可權、巡覽網路,以及部署勒索軟體或竊取資訊的網路攻擊。 這些類型的攻擊可能會對商務營運造成重大影響、通常難以解決,有時會在初次遇到時繼續威脅商務營運。 如需詳細資訊,請 參閱人類操作的勒索軟體攻擊。
為了協助防範人為操作或其他進階攻擊,Microsoft Defender 全面偵測回應 在 2022 年 11 月為企業客戶新增自動攻擊中斷。 現在,這些功能即將 適用於企業的 Defender! 本文說明自動攻擊中斷的運作方式、如何檢視攻擊的詳細數據,以及如何取得這些功能。
自動攻擊中斷的運作方式
自動攻擊中斷的設計目的如下:
- 包含進行中的進階攻擊;
- 限制攻擊對您商務資產的影響和進度, (如裝置) ;和
- 為IT/安全性小組提供更多時間來完全補救攻擊。
自動攻擊中斷會使用來自Microsoft安全性研究人員和進階 AI 模型的深入解析,來對抗進階攻擊的複雜性。 它會在早期限制威脅執行者的進度,並大幅降低攻擊的整體影響,從相關成本到生產力損失。 請參閱 Microsoft 安全性部落格中的一些範例。
在自動攻擊中斷的情況下,只要在裝置上偵測到人為操作的攻擊,就會立即採取步驟,在裝置上包含受影響的裝置和用戶帳戶。 Microsoft Defender 入口網站中會建立事件 () https://security.microsoft.com 。 在該處,您的IT/安全性小組可以檢視程式期間和之後遭入侵資產的風險和內含項目狀態的詳細數據。 [ 事件 ] 頁面提供有關受影響資產攻擊和最新狀態的詳細數據。
自動化回應動作包括:
- 封鎖連入/傳出通訊來包含裝置
- 在裝置層級中斷目前用戶連線的連線,以包含用戶帳戶
重要事項
- 若要檢視偵測到進階攻擊的相關信息,您必須具備適當的角色,例如指派安全性讀取者或安全性系統管理員。
- 若要採取補救動作、釋放自主裝置/使用者,或重新啟用用戶帳戶,您必須指派安全性系統管理員角色。
- 請參閱 適用於企業的 Defender 中的安全性角色和許可權。
在 Microsoft Defender 入口網站中檢視攻擊的詳細數據
在 Microsoft Defender 入口網站中,移至 [事件]。
選取標記為 [ 攻擊中斷] 的事件。
檢閱事件圖表,可讓您取得整個攻擊案例,並評估攻擊中斷的影響和狀態。
當您準備好發行自主裝置或使用者帳戶,或重新啟用使用者帳戶時,請採取下列其中一個步驟:
- 若要釋放自主裝置,請選取裝置,然後選擇 [ 從內含項目發行]。
- 若要釋放自主使用者,請選取使用者帳戶,然後在側邊窗格中選取 [ 復原]。
中斷的事件包括 的標記 Attack Disruption
,以及 (識別的特定威脅類型,例如勒索軟體) 。 如果您的IT/安全性小組收到 事件電子郵件通知,這些標籤也會出現在電子郵件中。
當事件中斷時,反白顯示的文字會出現在事件標題下方。 包含的裝置或用戶帳戶會列出一個標籤,指出其狀態。
在控制中心追蹤攻擊中斷動作
無論這些動作是自動或手動採取的, 控制中心 都會將所有補救和回應動作結合在一起。 您可以在控制中心檢視所有自動攻擊中斷動作。 此外,在IT/安全性小組降低風險並完成事件調查之後,他們可以釋放包含的資產。
在 Microsoft Defender 入口網站中,移至動作 & 提交>控制中心。
選取 [ 歷程記錄] 索引 標籤。
選取動作,例如 [包含使用者 ] 或 [ 包含裝置],然後選擇 [ 復原]。
如需詳細資訊,請 參閱在控制中心檢閱補救動作。
如何取得自動攻擊中斷
自動攻擊中斷內建於 適用於企業的 Defender;您不需要明確開啟這些功能。 請務必將您組織的所有裝置上線 (計算機、手機和平板電腦) 適用於企業的 Defender,以便儘快受到保護。
此外,註冊 以接收 預覽功能 ,以便您在可用時立即取得最新且最強大的功能。