Megosztás a következőn keresztül:

Automatikus támadáskimaradás Microsoft Defender Vállalati verzió

  • Cikk

Az ember által működtetett támadás a kiberbűnözők aktív támadása, akik beszivárognak egy szervezetbe, emelik jogosultságaikat, navigálnak a hálózaton, zsarolóprogramokat helyeznek üzembe vagy információkat lopnak. Az ilyen típusú támadások katasztrofálisak lehetnek az üzleti műveletekben, általában nehezen kezelhetők, és néha továbbra is veszélyeztetik az üzleti műveleteket a kezdeti találkozás után. További információ: Ember által működtetett zsarolóprogram-támadások.

Az ember által működtetett vagy más fejlett támadások elleni védelem érdekében Microsoft Defender XDR 2022 novemberében automatikus támadáskimaradást okozott a vállalati ügyfelek számára. Ezek a képességek most már Defender Vállalati verzió! Ez a cikk ismerteti az automatikus támadáskimaradás működését, a támadás részleteinek megtekintését és a képességek beszerzését.

Az automatikus támadás megszakításának működése

Az automatikus támadáskimaradás célja:

  • Speciális, folyamatban lévő támadásokat tartalmaz;
  • Korlátozza az üzleti eszközökre (például eszközökre) irányuló támadások hatását és előrehaladását; és
  • Adjon több időt az informatikai/biztonsági csapatnak a támadások teljes körű elhárítására.

Az automatikus támadáskimaradás a Microsoft biztonsági kutatóinak és fejlett AI-modelljeinek megállapításait felhasználva ellensúlyozza a speciális támadások összetettségét. Korlátozza a fenyegetés szereplője korai előrehaladását, és jelentősen csökkenti a támadás általános hatását, a kapcsolódó költségektől a termelékenység csökkenéséig. Tekintsen meg néhány példát a Microsoft biztonsági blogján.

Automatikus támadásmegszakadás esetén, amint egy eszközön emberi beavatkozást használó támadást észlel, azonnal lépéseket teszünk az érintett eszköz és felhasználói fiókok eszközre való feltartózásához. Az incidensek a Microsoft Defender portálon (https://security.microsoft.com) jönnek létre. Itt az informatikai/biztonsági csapat megtekintheti a feltört eszközök kockázatával és elszigetelési állapotával kapcsolatos részleteket a folyamat során és után. Az Incidensek oldal részletesen ismerteti az érintett objektumok támadását és naprakész állapotát.

Az automatikus válaszműveletek a következők:

  • Eszköz tartalma a bejövő/kimenő kommunikáció blokkolásával
  • Felhasználói fiók tartalma az aktuális felhasználói kapcsolatok eszközszintű leválasztásával

Fontos

  • Az észlelt speciális támadásokkal kapcsolatos információk megtekintéséhez rendelkeznie kell egy megfelelő szerepkörrel, például biztonsági olvasóval vagy biztonsági rendszergazdával.
  • A szervizelési műveletek elvégzéséhez, a tartalmazott eszköz/felhasználó felszabadításához vagy egy felhasználói fiók újbóli engedélyezéséhez biztonsági rendszergazdai szerepkörrel kell rendelkeznie.
  • Lásd: Biztonsági szerepkörök és engedélyek Defender Vállalati verzió.

Támadás részleteinek megtekintése a Microsoft Defender portálon

  1. A Microsoft Defender portálon lépjen az Incidensek elemre.

  2. Válasszon ki egy támadáskimaradás címkével ellátott incidenst.

  3. Tekintse át az incidensgráfot, amely lehetővé teszi a teljes támadási történet lekérését, valamint a támadás megszakításának hatását és állapotát.

  4. Ha készen áll egy tartalmazott eszköz vagy felhasználói fiók kiadására vagy egy felhasználói fiók újbóli engedélyezésére, hajtsa végre az alábbi lépések egyikét:

    • A tartalmazott eszköz felszabadításához jelölje ki az eszközt, majd válassza a Kiadás az elszigetelésből lehetőséget.
    • Egy tartalmazott felhasználó felszabadításához válassza ki a felhasználói fiókot, majd az oldalsó panelen válassza a Visszavonás lehetőséget.

A megszakított incidensek közé tartozik a címkéje Attack Disruption és az azonosított konkrét fenyegetéstípus (például zsarolóprogram). Ha az informatikai/biztonsági csapat incidensről értesítő e-maileket kap, ezek a címkék is megjelennek az e-mailekben.

Ha egy incidens megszakad, kiemelt szöveg jelenik meg az incidens címe alatt. A tartalmazott eszközök vagy felhasználói fiókok egy címkével vannak felsorolva, amely jelzi az állapotukat.

Támadáskimaradási műveletek nyomon követése a Műveletközpontban

A Műveletközpont egyesíti az összes javítási és válaszműveletet, függetlenül attól, hogy ezeket a műveleteket automatikusan vagy manuálisan hajtották-e végre. A műveletközpontban megtekintheti az összes automatikus támadáskimaradási műveletet. Miután az informatikai/biztonsági csapat enyhítette a kockázatot, és befejezte egy incidens kivizsgálását, felszabadíthatja a tartalmazott objektumokat.

  1. A Microsoft Defender portálon lépjen a Műveletek & beküldések>Műveletközpontba.

  2. Válassza az Előzmények lapot.

  3. Jelöljön ki egy műveletet, például felhasználót vagyeszközt tartalmaz, majd válassza a Visszavonás gombot.

További információ: Szervizelési műveletek áttekintése a Műveletközpontban.

Az automatikus támadás megszakításának lekérése

Az automatikus támadáskimaradás be van építve a Defender Vállalati verzió; nem kell explicit módon bekapcsolnia ezeket a képességeket. Fontos, hogy a szervezet összes eszközét (számítógépét, telefonját és táblagépét) Defender Vállalati verzió, hogy a lehető leghamarabb védve legyenek.

Emellett regisztráljon az előzetes verziójú funkciók fogadására, hogy azonnal megkapja a legújabb és legjobb képességeket, amint azok elérhetővé válnak.