Поделиться через

Автоматическое нарушение атак в Microsoft Defender для бизнеса

  • Статья

Атака, управляемая человеком, — это активная атака киберпреступников, которые проникают в организацию, повышают свои привилегии, перемещаются по сети и развертывают программы-шантажисты или крадут информацию. Эти типы атак могут быть катастрофическими для бизнес-операций, как правило, трудно устранить, а иногда и продолжать угрожать бизнес-операциям после первоначального столкновения. Дополнительные сведения см. в статье Атаки программ-шантажистов, управляемых человеком.

Чтобы защититься от управляемых человеком или других расширенных атак, Microsoft Defender XDR в ноябре 2022 г. добавили автоматическое прерывание атак для корпоративных клиентов. Теперь эти возможности Defender для бизнеса! В этой статье описывается, как работает автоматическое прерывание атаки, как просмотреть сведения об атаке и как получить эти возможности.

Как работает автоматическое нарушение атаки

Автоматическое прерывание атаки предназначено для:

  • Содержат расширенные атаки, которые выполняются;
  • Ограничить влияние и прогрессирование атак на бизнес-ресурсы (например, устройства); и
  • Предоставьте вашей ит-отделу или группе безопасности больше времени, чтобы полностью устранить атаку.

Автоматическое нарушение атак использует аналитические сведения от специалистов по безопасности Майкрософт и передовые модели ИИ для противодействия сложностям сложных атак. Это ограничивает прогресс субъекта угроз на ранних этапах и значительно снижает общее влияние атаки, от связанных затрат до потери производительности. Примеры см. в блоге о безопасности Майкрософт.

При автоматическом прерывании атаки, как только на устройстве обнаруживается атака, управляемая человеком, немедленно выполняются шаги по размещению затронутых устройств и учетных записей пользователей на устройстве. Инцидент создается на портале Microsoft Defender (https://security.microsoft.com). Там ит-отдел или группа безопасности может просмотреть сведения о риске и состоянии сдерживания скомпрометированных ресурсов во время и после процесса. На странице инцидентов содержатся сведения об атаке и актуальном состоянии затронутых ресурсов.

Автоматизированные действия реагирования включают в себя:

  • Сдерживание устройства путем блокировки входящего и исходящего обмена данными
  • Содержит учетную запись пользователя путем отключения текущих подключений пользователей на уровне устройства

Важно!

  • Чтобы просмотреть сведения об обнаруженной расширенной атаке, необходимо иметь соответствующую роль, например читатель безопасности или администратор безопасности.
  • Чтобы выполнить действия по исправлению, освободить автономное устройство или пользователя или повторно включить учетную запись пользователя, необходимо назначить роль администратора безопасности.
  • См. статью Роли безопасности и разрешения в Defender для бизнеса.

Просмотр сведений об атаке на портале Microsoft Defender

  1. На портале Microsoft Defender перейдите в раздел Инциденты.

  2. Выберите инцидент, помеченный как Атака прерывания.

  3. Просмотрите график инцидентов, который позволяет получить всю историю атаки и оценить влияние и состояние нарушения атаки.

  4. Когда вы будете готовы освободить автономное устройство или учетную запись пользователя или повторно включить учетную запись пользователя, выполните одно из следующих действий.

    • Чтобы освободить автономное устройство, выберите устройство, а затем выберите Освободить из автономного устройства.
    • Чтобы освободить автономного пользователя, выберите учетную запись пользователя, а затем в боковой области выберите Отменить.

Нарушенные инциденты включают тег для Attack Disruption и определенный тип угрозы,определяемый (например, программа-шантажист). Если ваша ит-служба или группа безопасности получает Уведомления по электронной почте инцидентов, эти теги также отображаются в сообщениях электронной почты.

При прерывании инцидента выделенный текст отображается под заголовком инцидента. Автономные устройства или учетные записи пользователей отображаются с меткой, указывающей их состояние.

Отслеживание действий по нарушению атак в центре уведомлений

Центр уведомлений объединяет все действия по исправлению и реагированию, независимо от того, были ли эти действия выполнены автоматически или вручную. Все действия по автоматическому прерыванию атаки можно просмотреть в центре уведомлений. А после того, как ваша команда ИТ/безопасности смягчит риск и завершит расследование инцидента, она может освободить автономные ресурсы.

  1. На портале Microsoft Defender перейдите в раздел Действия & центр уведомлений об отправке>.

  2. Перейдите на вкладку Журнал .

  3. Выберите действие, например Содержать пользователя или Содержать устройство, а затем нажмите кнопку Отменить.

Дополнительные сведения см. в разделе Проверка действий по исправлению в центре уведомлений.

Как получить автоматическое нарушение атаки

Автоматическое прерывание атак встроено в Defender для бизнеса; вам не нужно явно включать эти возможности. Важно подключить все устройства вашей организации (компьютеры, телефоны и планшеты) к Defender для бизнеса, чтобы обеспечить их защиту как можно скорее.

Кроме того, зарегистрируйтесь, чтобы получить предварительные версии функций , чтобы получить последние и максимальные возможности, как только они будут доступны.