Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender korreliert Millionen von einzelnen Signalen, um aktive Ransomware-Kampagnen oder andere anspruchsvolle Angriffe in der Umgebung mit hoher Sicherheit zu identifizieren. Während ein Angriff ausgeführt wird, unterbricht Defender den Angriff, indem er automatisch kompromittierte Ressourcen enthält, die der Angreifer durch automatische Angriffsunterbrechung verwendet.
Automatische Angriffsunterbrechungen schränken laterale Bewegungen frühzeitig ein und reduzieren die Gesamtwirkung eines Angriffs, von den damit verbundenen Kosten bis hin zu Produktivitätsverlusten. Gleichzeitig haben sicherheitsrelevante Betriebsteams die vollständige Kontrolle über die Untersuchung, Behebung und Wiederaktivierung von Ressourcen.
Dieser Artikel bietet eine Übersicht über automatisierte Angriffsunterbrechungen und enthält Links zu den nächsten Schritten und anderen Ressourcen.
Tipp
In diesem Artikel wird die Funktionsweise von Angriffsunterbrechungen beschrieben. Informationen zum Konfigurieren dieser Funktionen finden Sie unter Konfigurieren von Angriffsunterbrechungsfunktionen in Microsoft Defender.
Funktionsweise der automatischen Angriffsunterbrechung
Automatische Angriffsunterbrechungen sollen laufende Angriffe eindämmen, die Auswirkungen auf die Ressourcen einer organization begrenzen und sicherheitsrelevanten Teams mehr Zeit bieten, den Angriff vollständig zu beheben. Angriffsunterbrechungen nutzen die gesamte Bandbreite unserer erweiterten Erkennungs- und Reaktionssignale (Extended Detection and Response, XDR), wobei der gesamte Angriff berücksichtigt wird, um auf Incidentebene zu agieren. Diese Funktion unterscheidet sich von bekannten Schutzmethoden wie Prävention und Blockierung basierend auf einem einzigen Indikator für eine Kompromittierung.
Während viele SOAR-Plattformen (XDR und Sicherheitsorchestrierung, Automatisierung und Reaktion) es Ihnen ermöglichen, Ihre automatischen Reaktionsaktionen zu erstellen, ist die automatische Angriffsunterbrechung integriert und nutzt Erkenntnisse von Microsoft-Sicherheitsforschern und erweiterten KI-Modellen, um der Komplexität erweiterter Angriffe entgegenzuwirken. Automatische Angriffsunterbrechung berücksichtigt den gesamten Kontext von Signalen aus verschiedenen Quellen, um kompromittierte Ressourcen zu ermitteln.
Die automatische Angriffsunterbrechung erfolgt in drei Hauptphasen:
- Es nutzt die Fähigkeit von Microsoft Defender, Signale aus vielen verschiedenen Quellen durch Erkenntnisse von Endpunkten, Identitäten, E-Mail- und Zusammenarbeitstools und SaaS-Apps zu einem einzelnen, besonders vertrauenswürdigen Vorfall zu korrelieren.
- Es identifiziert Ressourcen, die vom Angreifer kontrolliert und zur Verbreitung des Angriffs verwendet werden.
- Es führt automatisch Reaktionsaktionen für relevante Microsoft Defender Produkte durch, um den Angriff in Echtzeit einzudämten und zu deaktivieren.
Diese spielverändernde Funktion schränkt den Fortschritt eines Bedrohungsakteurs frühzeitig ein und reduziert die Gesamtwirkung eines Angriffs von den damit verbundenen Kosten bis hin zu Produktivitätsverlusten erheblich.
Wie Defender Vertrauen für automatische Aktionen herstellt
Sicherheitsteams können zögern, wenn Systeme automatische Maßnahmen ergreifen, da Reaktionsaktionen den Geschäftsbetrieb beeinträchtigen können. Automatische Angriffsunterbrechungen beheben dieses Problem durch die Verwendung von high-fidelity-Signalen und Korrelation auf Incidentebene für reale Daten aus E-Mails, Identitäten, Anwendungen, Dokumenten, Geräten, Netzwerken und Dateien.
Das Vertrauen in automatische Angriffsunterbrechungen bezieht sich auf die Detektorgenauigkeit, gemessen am Signal-Rausch-Verhältnis (SNR). Für Einschlussaktionen behält Defender basierend auf realen Produktionsdaten ein Konfidenzniveau von 99 % oder höher bei. Defender wertet jeden Detektortreffer anhand einer breiten Reihe von Indikatoren aus, um true positive und false positive Ergebnisse zu klassifizieren, indem Machine Learning-Ausgaben, workloadübergreifende Korrelation und von Experten geleitete Incidentklassifizierung kombiniert werden.
Defender überprüft Detektoren im Überwachungsmodus vor der allgemeinen Veröffentlichung und stellt nach und nach nur Detektoren bereit, die strenge Qualitätsanforderungen erfüllen. Dieser Prozess zielt darauf ab, falsch positive Ergebnisse gering zu halten und gleichzeitig eine effektive Unterbrechung aktiver Angriffe aufrechtzuerhalten. Unterbrechungsdetektoren werden kontinuierlich und dynamisch ausgewertet, um die Qualität und Zuverlässigkeit der Erkennung aufrechtzuerhalten.
Microsoft-Sicherheitsexperten überprüfen kontinuierlich Unterbrechungsaktivitäten, überwachen Anomalien und bewerten die Auswirkungen, um eine hohe Erkennungsqualität im Laufe der Zeit zu erhalten.
Darüber hinaus können alle automatischen Aktionen von Ihrem Sicherheitsteam rückgängig werden, sodass Sie die vollständige Kontrolle über Ihre Umgebung behalten. Weitere Informationen finden Sie unter Details und Ergebnisse einer automatischen Angriffsunterbrechungsaktion.
Verwendung von KI durch Angriffsunterbrechungen
Die KI für Angriffsunterbrechungen verwendet ein Ensemble von speziell entwickelten Modellen und Detektoren, die in der Microsoft Defender Suite entwickelt wurden. Diese Funktionen werden mithilfe mehrerer Datenquellen trainiert und optimiert, einschließlich:
- Telemetrie der korrelierten Defender-Workload
- Microsoft Threat Intelligence
- Frühere Vorfälle und Analysen von Microsoft-Kunden
Die Plattform verwendet mehrere Machine Learning-Ansätze, einschließlich Graphmodellen, boosted decision trees, neural networks und dedicated small language models (SLMs), um die Erkennungsqualität und Aktionsgenauigkeit zu verbessern.
Die Qualität von Modellen und Detektoren wird durch kontinuierliche Entwicklungs- und Validierungszyklen anstelle eines einzelnen statischen Releasepunkts aufrechterhalten. Vor dem umfassenden Rollout durchlaufen neue Detektoren eine strenge Vorabüberprüfung und gestaffelte Bereitstellung. Die fortlaufende Qualität wird durch eine Expertenüberprüfung von KI-Entscheidungen und eine 24x7-Abdeckung der operativen Reaktion auf anomales Verhalten unterstützt.
Automatisierte Reaktionsaktionen
Die automatische Angriffsunterbrechung verwendet Microsoft-basierte XDR-Reaktionsaktionen. Beispiele für diese Aktionen sind:
Geräte enthalten: Basierend auf der Funktion Microsoft Defender for Endpoint ist diese Aktion eine automatische Eindämmung eines verdächtigen Geräts, um jegliche eingehende/ausgehende Kommunikation mit dem gerät zu blockieren.
- Darüber hinaus enthält Defender für Endpunkt automatisch schädliche IP-Adressen, die mit nicht entdeckten/nicht integrierten Geräten verknüpft sind, um laterale Verschiebungen und Verschlüsselungsaktivitäten auf andere in Defender für Endpunkt integrierte/ermittelte Geräte zu blockieren. Dies erfolgt über die Richtlinie "Ip-Adresse enthalten (Vorschau)". Darüber hinaus sind die IP-Adressen von kompromittierten kritischen Ressourcen automatisch mit spezifischen Blockierungsmechanismen enthalten, um die Ausbreitung eines Angriffs zu verhindern und gleichzeitig Produktivitätsverluste zu vermeiden.
Benutzer deaktivieren: Basierend auf der Funktion von Microsoft Defender for Identity ist diese Aktion eine automatische Aussetzung eines kompromittierten Kontos, um zusätzliche Schäden wie Lateral Movement, böswillige Postfachnutzung oder Die Ausführung von Schadsoftware zu verhindern. Die Aktion Benutzer deaktivieren verhält sich unterschiedlich, je nachdem, wie der Benutzer in Ihrer Umgebung gehostet wird.
- Wenn das Benutzerkonto in Active Directory gehostet wird: Defender for Identity löst die Benutzeraktivierungsaktion auf Domänencontrollern aus, auf denen der Defender for Identity-Agent ausgeführt wird.
- Wenn das Benutzerkonto in Active Directory gehostet und auf Microsoft Entra ID synchronisiert wird: Defender for Identity löst die Benutzeraktivierungsaktion über integrierte Domänencontroller aus. Die Angriffsunterbrechung deaktiviert auch das Benutzerkonto auf dem Microsoft Entra ID synchronisierten Konto.
- Wenn das Benutzerkonto nur im Microsoft Entra ID (cloudnatives Konto) gehostet wird: Die Angriffsunterbrechung deaktiviert das Benutzerkonto auf dem Microsoft Entra ID synchronisierten Konto.
Hinweis
Das Deaktivieren des Benutzerkontos in Microsoft Entra ID hängt nicht von der Bereitstellung von Microsoft Defender for Identity ab.
Benutzer enthalten: Basierend auf der Funktion von Microsoft Defender for Endpoint enthält diese Antwortaktion automatisch vorübergehend verdächtige Identitäten, um laterale Bewegungen und Remoteverschlüsselungen im Zusammenhang mit eingehender Kommunikation mit den integrierten Geräten von Defender für Endpunkt zu blockieren.
Defender für Endpunkt erzwingt die Benutzereindämmung auf der Endpunktebene und deaktiviert das Konto nicht im Identitätsanbieter. Defender für Endpunkt blockiert die Verwendung kompromittierter Identitäten durch Angreifer auf geschützten Geräten und schränkt den authentifizierungsbasierten Zugriff, den Dateisystemzugriff und die Netzwerkkommunikationspfade ein.
Diese Aktion wendet Kontrollen auf einer granularen Ebene an, sodass Microsoft angriffsbezogene Aktivitäten ausrichten und nach Möglichkeit die normale Geschäftskommunikation aufrechterhalten kann.
Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender.
Ermitteln, wann eine Angriffsunterbrechung in Ihrer Umgebung auftritt
Die Seite Microsoft Defender Incidents spiegelt die automatischen Angriffsunterbrechungsaktionen über die Angriffsgeschichte und die status wider, die durch einen gelben Balken gekennzeichnet sind (Abbildung 1). Der Incident zeigt ein dediziertes Unterbrechungstag an, hebt die status der im Incidentgraphen enthaltenen Ressourcen hervor und fügt dem Info-Center eine Aktion hinzu.
Abbildung 1. Vorfallansicht mit dem gelben Balken, in dem die automatische Angriffsunterbrechung ausgeführt wurde
Die Microsoft Defender Benutzeroberfläche enthält jetzt zusätzliche visuelle Hinweise, um die Sichtbarkeit dieser automatischen Aktionen sicherzustellen. Sie finden sie in den folgenden Umgebungen:
In der Incidentwarteschlange:
- Neben den betroffenen Vorfällen wird ein Tag mit dem Titel Angriffsunterbrechung angezeigt.
Gehen Sie auf der Seite "Incident" wie
- Ein Tag mit dem Titel Angriffsunterbrechung
- Ein gelbes Banner oben auf der Seite, das die ausgeführte automatische Aktion hervor hebt
- Die aktuelle status wird im Incidentdiagramm angezeigt, wenn eine Aktion für ein Medienobjekt ausgeführt wird, z. B. ein deaktiviertes Konto oder ein enthaltenes Gerät
Über die API:
Eine Zeichenfolge (Angriffsunterbrechung) wird am Ende der Titel von Incidents mit hoher Zuverlässigkeit hinzugefügt, die wahrscheinlich automatisch unterbrochen wird. Zum Beispiel:
BEC-Finanzbetrugsangriff, der über ein kompromittiertes Konto gestartet wurde (Angriffsunterbrechung)
Weitere Informationen finden Sie unter Anzeigen von Details und Ergebnissen zu Angriffsunterbrechungen.
Nächste Schritte
- Konfigurieren der automatischen Angriffsunterbrechung
- Anzeigen der Details und Ergebnissen
- Abrufen von E-Mail-Benachrichtigungen für Antwortaktionen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.