Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender сопоставляет миллионы отдельных сигналов для выявления активных кампаний программ-шантажистов или других изощренных атак в среде с высокой достоверностью. Пока атака продолжается, Defender срывает её, автоматически изолируя скомпрометированные ресурсы, которые использует злоумышленник, с помощью функции автоматического срыва атак.
Автоматическое прерывание атаки ограничивает латеральное перемещение на ранних этапах и снижает общий ущерб от атаки, включая связанные с ней затраты и потерю производительности. В то же время это сохраняет за командами безопасности полный контроль над расследованием, устранением последствий и возвратом активов в сеть.
В этом обзоре описывается автоматическое прерывание атак и приводятся ссылки на дальнейшие действия и связанные ресурсы.
Срыв атак поддерживает действия по реагированию в службах Microsoft Defender и интегрированных службах управления удостоверениями. Эта поддержка включает действия в Microsoft Entra ID и Active Directory, а также предварительную поддержку интегрированных сценариев Okta и AWS.
Совет
В этой статье описывается, как работает предотвращение атак. Сведения о настройке этих возможностей см. в статье Настройка возможностей нарушения атак в Microsoft Defender.
Как работает автоматическое нарушение атаки
Автоматическое прерывание атак предназначено для сдерживания атак, которые выполняется, ограничения влияния на ресурсы организации и предоставления командам безопасности больше времени для полного устранения атаки. Прерывание атаки использует сигналы расширенного обнаружения и реагирования (XDR), анализирует атаку целиком и принимает меры на уровне инцидента. Эта возможность отличается от методов защиты, таких как предотвращение и блокировка на основе одного индикатора компрометации.
Хотя многие платформы XDR и оркестрации, автоматизации и реагирования на инциденты безопасности (SOAR) позволяют создавать автоматические действия реагирования, автоматическое пресечение атак является встроенной функцией и использует аналитические данные исследователей безопасности Microsoft и модели ИИ для обнаружения и сдерживания сложных атак. Автоматическое прерывание атаки анализирует сигналы из различных источников, чтобы определить скомпрометированные ресурсы.
Автоматическое нарушение атаки выполняется в три ключевых этапа:
- Используется возможность Microsoft Defender соотносить сигналы из множества разных источников в рамках одного инцидента с высокой степенью достоверности на основе аналитических данных из конечных устройств, удостоверений личности, средств электронной почты и совместной работы, а также SaaS-приложений.
- Он определяет ресурсы, контролируемые злоумышленником и используемые для распространения атаки.
- Он автоматически выполняет действия по реагированию в соответствующих продуктах Microsoft Defender, чтобы в режиме реального времени сдерживать атаку путем изоляции и отключения затронутых ресурсов.
Эта возможность может ограничить прогресс субъекта угроз на раннем этапе и уменьшить общее влияние атаки, включая связанные затраты и потерю производительности.
Как Defender определяет степень уверенности для автоматических действий
Группы безопасности могут сомневаться, когда системы выполняют автоматические действия, так как действия реагирования могут повлиять на бизнес-операции. Автоматическое прерывание атак помогает решить эту проблему, используя высокоточные сигналы и корреляцию на уровне инцидентов на основе реальных данных из электронной почты, идентификационных данных, приложений, документов, устройств, сетей и файлов.
Уверенность в нарушении автоматической атаки относится к точности детектора, измеряемой отношением сигнала к шуму (SNR). Для действий по сдерживанию Defender поддерживает уровень достоверности на уровне 99 % или выше на основе реальных производственных данных. Defender оценивает каждое срабатывание детектора по широкому набору признаков, чтобы классифицировать истинные и ложные срабатывания, используя сочетание результатов моделей машинного обучения, корреляции между рабочими нагрузками и экспертной классификации инцидентов.
Defender проверяет детекторы в режиме аудита перед широким выпуском и постепенно развертывает только детекторы, соответствующие строгим требованиям к качеству. Этот процесс направлен на поддержание низкого уровня ложноположительных результатов при сохранении эффективного прерывания активных атак. Детекторы нарушений постоянно и динамически оцениваются для поддержания качества и достоверности обнаружения.
Специалисты по безопасности Майкрософт постоянно отслеживают действия по нарушению работы, отслеживают аномалии и оценивают влияние, чтобы с течением времени сохранять высокое качество обнаружения.
Кроме того, все автоматические действия могут быть отменены вашей командой безопасности, чтобы обеспечить полный контроль над своей средой. Дополнительные сведения см. в разделе Сведения и результаты действия автоматического прерывания атаки.
Если у вас есть критически важные ресурсы, которые не должны содержаться автоматически, можно настроить исключения для поддерживаемых пользователей, устройств и IP-адресов. Инструкции см. в разделе "Исключить ресурсы из автоматических действий реагирования".
Как прерывание атак использует ИИ
ИИ для предотвращения атак использует ансамбль специализированных моделей и средств обнаружения, разработанных в рамках пакета Microsoft Defender. Эти возможности обучаются и настраиваются с помощью нескольких источников данных, в том числе:
- Коррелированная телеметрия рабочей нагрузки Defender
- Аналитика угроз (Майкрософт)
- Прошлые инциденты и выводы по результатам анализа после инцидентов у клиентов Microsoft
Платформа использует несколько подходов к машинному обучению, включая графовые модели, увеличенные деревья принятия решений, нейронные сети и выделенные малые языковые модели (SLM), для повышения качества обнаружения и точности действий.
Качество модели и детектора поддерживается за счет непрерывных циклов проектирования и проверки, а не одной статической точки выпуска. Перед широким развертыванием новые детекторы проходят тщательную предварительную проверку и поэтапное развертывание. Постоянное качество обеспечивается проверкой решений, принимаемых ИИ, и круглосуточным оперативным реагированием на аномальное поведение.
Действия автоматического реагирования
Для действий по изоляции Defender для конечных точек применяет политику изоляции ко всем подключенным к службе устройствам, чтобы предотвратить обмен данными со скомпрометированным объектом (пользователем, IP-адресом или устройством).
| Действие | Capability | Продукт | Description |
|---|---|---|---|
| Устройство-контейнер | Прерывание атак | Защитник для конечных точек | Автоматически изолирует подозрительное устройство, применяя политику ко всем устройствам, подключенным к Defender for Endpoint, чтобы заблокировать обмен данными с этим устройством. |
| Содержит IP-адрес | Прерывание атак | Защитник для конечных точек | Блокирует IP-адрес, связанный с необнаруженными или не подключенными к Defender for Endpoint устройствами, применяя политику ко всем устройствам, подключенным к Defender for Endpoint, чтобы заблокировать обмен данными с этого IP-адреса. |
| Изоляция устройства | Прерывание атак | Защитник для конечных точек | Автоматически изолирует скомпрометированное устройство от сети, если оно определяется как активная точка закрепления. Большинство сетевых трафика блокируется, пока устройство остается подключенным к необходимым службам безопасности. |
| Отключить пользователя | Прерывание атак | Защитник идентичности | Отключает учетную запись пользователя, чтобы предотвратить дальнейший вход и доступ. |
| Содержит пользователя | Предотвращение атак, прогнозируемая защита | Защитник для конечных точек | Временно сдерживает подозрительную учетную запись, применяя политику ко всем устройствам, подключенным к Defender for Endpoint, чтобы заблокировать обмен данными со стороны этого пользователя и снизить риск горизонтального перемещения и удаленного шифрования. |
| Отзыв сеанса пользователя | Прерывание атак | Майкрософт Ентра айди | Аннулирует активные пользовательские сеансы, чтобы прервать доступ. |
| Приостановка работы пользователя в Entra | Прерывание атак | Майкрософт Ентра айди | Приостанавливает учетную запись пользователя в Microsoft Entra ID, чтобы предотвратить дальнейший доступ. |
| Компрометация приложений OAuth | Прерывание атак | Защитник для облачных приложений (Defender for Cloud Apps) | Выполняет защитные меры для потенциально скомпрометированного приложения OAuth. |
| Усиление защиты Safeboot | Предиктивная защита | Защитник для конечных точек | Применяет превентивное усиление защиты, чтобы блокировать потенциальное несанкционированное вмешательство посредством перезагрузки в безопасном режиме. |
| Усиление безопасности GPO | Предиктивная защита | Защитник для конечных точек | Применяет превентивные меры защиты для предотвращения потенциальных злоупотреблений Group Policy. |
| Упреждающее сдерживание пользователей | Предиктивная защита | Защитник для конечных точек | Заранее ограничивает учетную запись пользователя, чтобы предотвратить возможное неправомерное использование до эскалации инцидента, уделяя особое внимание пользователям, которых прогнозная логика относит к группе высокого риска. |
| Прикрепить политику запрета к пользователю AWS | Прерывание атак | Microsoft Sentinel (соединитель AWS) | Присоединяет политику запрета к скомпрометированному пользователю AWS IAM или федеративной роли, чтобы отозвать разрешения и заблокировать дальнейший доступ к ресурсам AWS. |
| Приостановка работы пользователя в Okta | Прерывание атак | Microsoft Sentinel (соединитель Okta) | Приостанавливает скомпрометированную учетную запись пользователя Okta, чтобы временно отключить учетную запись и заблокировать вход и действие до тех пор, пока приостановка не будет отменена. |
Содержит рекомендации пользователей
Действие изоляции пользователя обеспечивает изоляцию пользователя на уровне конечной точки. Defender для конечной точки применяет политику хранения на всех подключенных устройствах, чтобы заблокировать связь с скомпрометированным пользователем и ограничивает доступ на основе проверки подлинности, доступ к файловой системе и сетевые пути связи.
Примечание.
Хотя действие «Изолировать пользователя» используется как при срыве атак, так и при прогнозной защите, в каждом из этих контекстов оно применяется по-разному. При прогнозном экранировании действие «Изолировать пользователя» применяет ограничения более выборочно, ориентируясь на пользователей, определённых как пользователей с высоким риском на основе логики прогнозирования. Он предотвращает новые сеансы, а не завершает существующие.
Отключение рекомендаций пользователей
- Если учетная запись пользователя находится в Active Directory: Defender for Identity инициирует действие по отключению учетной записи пользователя на контроллерах домена, где запущен сенсор Defender for Identity.
- Если учетная запись пользователя находится в Active Directory и синхронизируется с Microsoft Entra ID: Defender for Identity инициирует отключение учетной записи пользователя через подключенные контроллеры домена. Прерывание атаки также отключает учетную запись пользователя в Microsoft Entra ID.
- Если учетная запись пользователя существует только в Microsoft Entra ID (собственная облачная учетная запись): Microsoft Defender для удостоверений выполняет действие по отключению учетной записи пользователя в Microsoft Entra ID с помощью корпоративного приложения, управляемого Microsoft. Это приложение проверяет назначенные вошедшего пользователя роли и разрешения с помощью управления доступом на основе ролей (RBAC), прежде чем учетная запись отключена.
Действие отключающего пользователя — это автоматическая приостановка скомпрометированных учетных записей для предотвращения дополнительных повреждений, таких как боковое перемещение, использование вредоносных почтовых ящиков или выполнение вредоносных программ.
Defender for Identity позволяет выполнять действия по исправлению для пользователей в Active Directory, Microsoft Entra ID и интегрированных поставщиках удостоверений. Действие отключения пользователя ведет себя по-разному в зависимости от того, как пользователь размещен в вашей среде:
- Если учетная запись пользователя размещена в службе Active Directory: Defender for Identity инициирует отключение учетной записи пользователя на контроллерах домена, где запущен сенсор Defender for Identity.
- Если учетная запись пользователя находится в Active Directory и синхронизируется с Microsoft Entra ID: Defender for Identity инициирует отключение учетной записи пользователя с помощью подключенных контроллеров домена. Прерывание атаки также отключает учетную запись пользователя в Microsoft Entra ID.
- Если учетная запись пользователя размещена только в Microsoft Entra ID (собственная облачная учетная запись): Defender for Identity выполняет действие по отключению пользователя в Microsoft Entra ID с помощью корпоративного приложения под управлением Microsoft. Это приложение проверяет назначенные вошедшего пользователя роли и разрешения с помощью управления доступом на основе ролей (RBAC), прежде чем учетная запись отключена.
Корпоративное приложение называется Microsoft Defender для удостоверений и использует идентификатор 60ca1954‑583c‑4d1f‑86de‑39d835f3e452приложения . В старых арендаторах это приложение может отображаться как Radius Aad Syncer.
Примечание.
Отключение учетной записи пользователя в Microsoft Entra ID не зависит от развертывания Microsoft Defender для удостоверений.
Поддерживаемые службы идентификации для действий по нарушению работы
Используйте следующую таблицу, чтобы найти, где настроена каждая поддерживаемая служба удостоверений:
| Служба удостоверений | Availability | Настройка и установка |
|---|---|---|
| Microsoft Entra ID и Active Directory | Общедоступно | Настройка автоматического нарушения атаки в Microsoft Defender |
| Okta | Preview | Включение действий по нарушению атак в Okta с помощью Microsoft Sentinel |
| AWS IAM | Preview | Включение действий по нарушению атак в AWS с помощью Microsoft Sentinel |
Определите, когда в вашей среде происходит срыв атаки
На странице инцидента Microsoft Defender будут отражены действия автоматического прерывания атаки через историю атаки и состояние, указанное желтой полосой (рис. 1). Инцидент отображает специальный тег сбоя, выделяет состояние ресурсов, содержащихся в графе инцидента, и добавляет действие в Центр действий.
Рис. 1. Вид инцидента с желтой полосой, где была применена функция автоматического прерывания атаки
Microsoft Defender взаимодействие с пользователем включает визуальные подсказки для обеспечения видимости этих автоматических действий. Их можно найти в следующих интерфейсах:
В очереди инцидентов:
- Рядом с затронутыми инцидентами появляется тег с названием Прерывание атаки
На странице инцидента:
- Тег под названием "Нарушение атаки"
- Желтый баннер в верхней части страницы, в котором выделено автоматическое действие.
- Текущее состояние актива отображается в графе инцидента, если над активом выполнено действие, например учетная запись отключена или устройство изолировано.
- В столбце Состояние политики (предварительная версия) на вкладке Действия отображается текущее состояние всех действий и политик, относящихся к инциденту. Отфильтруйте по Поставщик: Предотвращение атак и Состояние политики: Активна, Неактивна, Статус отсутствует, чтобы просмотреть состояния политик предотвращения атак.
Через API:
Строка (предотвращение атаки) добавляется в конце заголовков инцидентов, которые с высокой степенью уверенности, вероятно, будут автоматически предотвращены. Например, вы можете:
Атака финансового мошенничества типа BEC, осуществлённая из скомпрометированной учётной записи (срыв атаки)
Дополнительные сведения см. в разделе сведения и результаты срыва атаки.
Дальнейшие действия
- Настройка автоматического прерывания атаки
- Просмотр сведений и результатов
- Исключение ресурсов из автоматических ответов
- Получайте уведомления по электронной почте о действиях реагирования
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.