Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Defender korrelerer millioner af individuelle signaler for at identificere aktive ransomware-kampagner eller andre avancerede angreb i miljøet med høj sikkerhed. Mens et angreb er i gang, forstyrrer Defender angrebet ved automatisk at indeholde kompromitterede aktiver, som angriberen bruger via automatisk afbrydelse af angreb.
Automatiske afbrydelser af angreb begrænser tværgående bevægelse tidligt og reducerer den samlede virkning af et angreb fra tilknyttede omkostninger til tab af produktivitet. Samtidig efterlader den sikkerhedsteams fuld kontrol over undersøgelse, afhjælpning og onlinetilbagebringelse af aktiver.
Denne artikel indeholder en oversigt over automatiseret afbrydelse af angreb og indeholder links til de næste trin og andre ressourcer.
Tip
I denne artikel beskrives det, hvordan afbrydelse af angreb fungerer. Hvis du vil konfigurere disse funktioner, skal du se Konfigurer funktioner til afbrydelse af angreb i Microsoft Defender.
Sådan fungerer automatisk angrebsforstyrrelse
Automatisk afbrydelse af angreb er designet til at indeholde igangværende angreb, begrænse indvirkningen på en organisations aktiver og give mere tid til sikkerhedsteams til at afhjælpe angrebet fuldt ud. Angrebsforstyrrelse bruger hele bredden af vores udvidede registrerings- og svarsignaler (XDR) og tager hele angrebet i betragtning til at handle på hændelsesniveau. Denne funktion er i modsætning til kendte beskyttelsesmetoder, f.eks. forebyggelse og blokering, baseret på en enkelt indikator for kompromis.
Selvom mange XDR- og SOAR-platforme (security orchestration, automation og response) giver dig mulighed for at oprette dine automatiske svarhandlinger, er automatisk angrebsafbrydelser indbygget og bruger indsigt fra Microsofts sikkerhedsforskere og avancerede AI-modeller til at modvirke kompleksiteten af avancerede angreb. Automatisk afbrydelse af angreb tager hele konteksten af signaler fra forskellige kilder i betragtning for at fastslå kompromitterede aktiver.
Automatisk afbrydelse af angreb fungerer i tre vigtige faser:
- Den bruger Microsoft Defender's evne til at korrelere signaler fra mange forskellige kilder til en enkelt hændelse med høj tillid via indsigt fra slutpunkter, identiteter, mail- og samarbejdsværktøjer og SaaS-apps.
- Den identificerer aktiver, der styres af angriberen, og bruges til at sprede angrebet.
- Det tager automatisk svarhandlinger på tværs af relevante Microsoft Defender produkter for at indeholde angrebet i realtid ved at indeholde og deaktivere berørte aktiver.
Denne spilændrende funktionalitet begrænser en trusselsaktørs fremskridt tidligt på og reducerer dramatisk den samlede indvirkning af et angreb fra tilknyttede omkostninger til tab af produktivitet.
Sådan opretter Defender tillid til automatisk handling
Sikkerhedsteams tøver muligvis, når systemer foretager automatiske handlinger, fordi svarhandlinger kan påvirke forretningshandlinger. Automatisk afbrydelse af angreb løser problemet ved at bruge signaler på høj pålidelighed og korrelation på hændelsesniveau på tværs af rigtige data fra mail, identitet, programmer, dokumenter, enheder, netværk og filer.
Tillid til automatisk angrebsforstyrrelse refererer til detektorpræcision, målt ved signal-til-støj-forhold (SNR). I forbindelse med indeslutningshandlinger opretholder Defender et konfidensniveau på 99 % eller højere baseret på reelle produktionsdata. Defender evaluerer hvert detektorresultat mod et bredt sæt indikatorer for at klassificere sande positive og falske positiver ved at kombinere output fra maskinel indlæring, korrelation på tværs af arbejdsbelastninger og ekspertledet hændelsesklassificering.
Defender validerer detektorer i overvågningstilstand før bred udgivelse og udruller gradvist kun detektorer, der opfylder strenge kvalitetskrav. Denne proces har til formål at holde falske positiver lave og samtidig opretholde en effektiv afbrydelse af aktive angreb. Afbrydelsesdetektorer evalueres løbende og dynamisk for at opretholde registreringskvaliteten og -tilliden.
Microsofts sikkerhedseksperter gennemgår løbende afbrydelsesaktivitet, overvåger uregelmæssigheder og vurderer effekten for at bevare en høj registreringskvalitet over tid.
Desuden kan alle automatiske handlinger fortrydes af dit sikkerhedsteam, så du bevarer fuld kontrol over dit miljø. Du kan finde flere oplysninger under Detaljer om og resultater af en automatisk angrebsafbrydelse.
Sådan bruger angrebsafbrydelser kunstig intelligens
AI til angrebsforstyrrelse bruger et ensemble af specialbyggede modeller og detektorer, der er udviklet på tværs af Microsoft Defender-pakken. Disse funktioner oplæres og justeres ved hjælp af flere datakilder, herunder:
- Telemetri for arbejdsbelastning i forbindelse med korreleret Defender
- Microsoft threat intelligence
- Tidligere hændelser og læring efter hændelsesanalyse fra Microsoft-kunder
Platformen bruger flere metoder til maskinel indlæring, herunder grafmodeller, boostede beslutningstræer, neurale netværk og dedikerede SLA'er (Small Language Models) til at forbedre registreringskvaliteten og handlingspræcisionen.
Model- og detektorkvalitet vedligeholdes gennem kontinuerlige udviklings- og valideringscyklusser i stedet for et enkelt statisk udgivelsespunkt. Før den brede udrulning gennemgår nye detektorer streng præ-udgivelsesvalidering og faseindstillet udrulning. Løbende kvalitet understøttes af ekspertgennemgang af AI-beslutninger og 24 x 7 driftsresponsdækning for unormal adfærd.
Automatiserede svarhandlinger
Automatisk afbrydelse af angreb bruger Microsoft-baserede XDR-svarhandlinger. Eksempler på disse handlinger er:
Enheden indeholder – baseret på Microsoft Defender for Endpoint funktion er denne handling en automatisk opbevaring af en mistænkelig enhed for at blokere enhver indgående/udgående kommunikation med den nævnte enhed.
- Derudover indeholder Defender for Endpoint automatisk skadelige IP-adresser, der er knyttet til ikke-registrerede/ikke-onboardede enheder, for at blokere enhver tværgående bevægelse og krypteringsaktivitet for andre Enheder, der er onboardet af Defender for Endpoint/fundet. Det sker via politikken Contain IP (Preview). Desuden er kompromitterede kritiske aktivers IP-adresser også automatisk indeholdt med specifikke blokeringsmekanismer for at stoppe spredningen af et angreb og samtidig undgå produktivitetstab.
Deaktiver bruger – baseret på Microsoft Defender for Identity funktionalitet er denne handling en automatisk suspension af en kompromitteret konto for at forhindre yderligere skader, f.eks. tværgående flytning, brug af ondsindede postkasser eller udførelse af malware. Handlingen Deaktiver bruger fungerer forskelligt, afhængigt af hvordan brugeren hostes i dit miljø.
- Når brugerkontoen hostes i Active Directory: Defender for Identity udløser den deaktiverende brugerhandling på domænecontrollere, der kører Defender for Identity Agent.
- Når brugerkontoen hostes i Active Directory og synkroniseres på Microsoft Entra ID: Defender for Identity udløser den deaktiverende brugerhandling via onboardede domænecontrollere. Afbrydelse af angreb deaktiverer også brugerkontoen på den Microsoft Entra ID synkroniserede konto.
- Når brugerkontoen hostes i Microsoft Entra ID (oprindelig skykonto): Afbrydelse af angreb deaktiverer brugerkontoen på den Microsoft Entra ID synkroniserede konto.
Bemærk!
Deaktivering af brugerkontoen i Microsoft Entra ID er ikke afhængig af installationen af Microsoft Defender for Identity.
Indeholder bruger – baseret på Microsoft Defender for Endpoint funktion indeholder denne svarhandling automatisk mistænkelige identiteter midlertidigt for at hjælpe med at blokere enhver tværgående bevægelse og ekstern kryptering, der er relateret til indgående kommunikation med Defender for Endpoints onboardede enheder.
Defender for Endpoint gennemtvinger brugeropslag på slutpunktlaget og deaktiverer ikke kontoen i identitetsudbyderen. Defender for Endpoint blokerer hackerbrug af kompromitterede identiteter på beskyttede enheder og begrænser godkendelsesbaseret adgang, filsystemadgang og netværkskommunikationsstier.
Denne handling anvender kontrolelementer på et detaljeret niveau, så Microsoft kan målrette angrebsrelateret aktivitet og bevare normal forretningskommunikation, hvor det er muligt.
Du kan få flere oplysninger under Afhjælpningshandlinger i Microsoft Defender.
Identificer, når der opstår en angrebsafbrydelse i dit miljø
Den Microsoft Defender hændelsesside afspejler de automatiske angrebsafbrydelser via angrebshistorien og den status, der er angivet af en gul søjle (Figur 1). Hændelsen viser et dedikeret afbrydelsesmærke, fremhæver status for de aktiver, der er indeholdt i hændelsesgrafen, og føjer en handling til Løsningscenter.
figur 1. Hændelsesvisning, der viser den gule linje, hvor automatisk angrebsafbrydelse tog handling
Den Microsoft Defender brugeroplevelse indeholder nu yderligere visuelle tip for at sikre synligheden af disse automatiske handlinger. Du kan finde dem på tværs af følgende oplevelser:
I hændelseskøen:
- Et tag med titlen Angrebsforstyrrelse vises ud for berørte hændelser
På hændelsessiden:
- Et tag med titlen Angrebsforstyrrelse
- Et gult banner øverst på siden, der fremhæver den automatiske handling, der udføres
- Den aktuelle aktivstatus vises i hændelsesdiagrammet, hvis der udføres en handling på et aktiv, f.eks. konto deaktiveret eller enhed indeholdt
Via API:
Der føjes en streng (afbrydelse af angreb) til slutningen af titlerne på hændelser med høj genkendelsessikkerhed, der sandsynligvis afbrydes automatisk. Det kan f.eks. være:
BEC-angreb på økonomisk svindel, der er startet fra en kompromitteret konto (afbrydelse af angreb)
Du kan finde flere oplysninger under Få vist oplysninger om angrebsforstyrrelse og resultater.
Næste trin
- Konfigurer automatisk afbrydelse af angreb
- Vis detaljer og resultater
- Hent mailmeddelelser om svarhandlinger
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.