Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Атака, управляемая человеком, — это активная атака со следующими целями:
- Фильтруй организацию.
- Повышение их привилегий.
- Перейдите по сети.
- Развертывание программ-шантажистов или кража сведений.
Эти типы атак могут быть катастрофическими для бизнес-операций, как правило, трудно устранить, а иногда и продолжать угрожать бизнес-операциям после первоначального столкновения. Дополнительные сведения см. в статье Атаки программ-шантажистов, управляемых человеком.
Автоматическое прерывание атаки предназначено для:
- Содержат расширенные атаки, которые выполняются.
- Ограничьте влияние и прогрессирование атак на устройствах.
- Предоставьте группе безопасности больше времени для полного устранения атаки.
В этой статье описывается, как работает автоматическое нарушение атак в Microsoft Defender для бизнеса, как просмотреть сведения об атаке и как получить эти возможности.
Как работает автоматическое нарушение атаки
Автоматическое нарушение атак использует аналитические сведения от специалистов по безопасности Майкрософт и передовые модели ИИ для противодействия сложностям сложных атак. Это ограничивает ход выполнения злоумышленника на ранних этапах и значительно снижает общий эффект атаки, от связанных затрат до потери производительности. Примеры см. в блоге о безопасности Майкрософт.
При автоматическом прерывании атаки, как только на устройстве обнаруживается атака, управляемая человеком, немедленно выполняются шаги по размещению затронутых устройств и учетных записей пользователей на устройстве. Инцидент создается на портале Microsoft Defender (https://security.microsoft.com). Там ит-отдел или группа безопасности может просмотреть сведения о риске и состоянии сдерживания скомпрометированных ресурсов во время и после процесса. На странице инцидентов содержатся сведения об атаке и актуальном состоянии затронутых ресурсов.
Автоматизированные действия реагирования включают в себя:
- Сдерживание устройства путем блокировки входящего и исходящего обмена данными
- Содержит учетную запись пользователя путем отключения текущих подключений пользователей на уровне устройства
Важно!
- Чтобы просмотреть сведения об обнаруженной расширенной атаке, необходимо иметь соответствующую роль, например читатель безопасности или администратор безопасности.
- Чтобы выполнить действия по исправлению, освободить автономное устройство или пользователя или повторно включить учетную запись пользователя, необходимо назначить роль администратора безопасности.
- Дополнительные сведения см. в статье Роли безопасности и разрешения в Defender для бизнеса.
Просмотр сведений об атаке на портале Microsoft Defender
На портале Microsoft Defender перейдите в раздел Инциденты.
Выберите инцидент, помеченный как Атака прерывания.
Просмотрите график инцидентов, который позволяет получить всю историю атаки и оценить влияние и состояние нарушения атаки.
Когда вы будете готовы освободить автономное устройство или учетную запись пользователя или повторно включить учетную запись пользователя, выполните одно из следующих действий.
- Чтобы освободить автономное устройство, выберите устройство, а затем выберите Освободить из автономного устройства.
- Чтобы освободить автономного пользователя, выберите учетную запись пользователя, а затем в боковой области выберите Отменить.
Нарушенные инциденты включают тег для Attack Disruption и определенный тип угрозы,определяемый (например, программа-шантажист). Если ваша ит-служба или группа безопасности получает Уведомления по электронной почте инцидентов, эти теги также отображаются в сообщениях электронной почты.
При прерывании инцидента выделенный текст отображается под заголовком инцидента. Автономные устройства или учетные записи пользователей отображаются с меткой, указывающей их состояние.
Отслеживание действий по нарушению атак в центре уведомлений
Центр уведомлений объединяет все действия по исправлению и реагированию, независимо от того, были ли эти действия выполнены автоматически или вручную. Все действия по автоматическому прерыванию атаки можно просмотреть в центре уведомлений. А после того, как ваша команда ИТ/безопасности смягчит риск и завершит расследование инцидента, она может освободить автономные ресурсы.
На портале Microsoft Defender перейдите в раздел Действия & центр уведомлений об отправке>.
Перейдите на вкладку Журнал .
Выберите действие, например Содержать пользователя или Содержать устройство, а затем нажмите кнопку Отменить.
Дополнительные сведения см. в разделе Проверка действий по исправлению в центре уведомлений.
Как получить автоматическое нарушение атаки
Автоматическое прерывание атак встроено в Defender для бизнеса; вам не нужно явно включать эти возможности. Важно подключить все устройства вашей организации (компьютеры, телефоны и планшеты) к Defender для бизнеса, чтобы обеспечить их защиту как можно скорее.
Кроме того, зарегистрируйтесь, чтобы получить предварительные версии функций , чтобы получить последние и максимальные возможности, как только они будут доступны.