Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Predictive Shielding (Vorschau) ist eine proaktive Verteidigungsstrategie, die entwickelt wurde, um Bedrohungen im Rahmen eines laufenden Angriffs zu antizipieren und zu mindern. Predictive Shielding erweitert die Microsoft Defender autonomen Schutzstapels und erweitert die Funktionen für automatische Angriffsunterbrechungen mit proaktiven Maßnahmen.
Dieser Artikel bietet eine Übersicht über predictive shielding, damit Sie die Funktionen und die Verbesserung Ihres Sicherheitsstatus verstehen können.
Erfahren Sie, wie predictive shielding funktioniert oder wie Sie predictive shielding in Microsoft Defender verwalten.
Wie Predictive Shielding auf automatische Angriffsunterbrechungen ausweitet
Die sich entwickelnde Bedrohungslandschaft führt zu einem Ungleichgewicht: Verteidiger müssen jedes Asset schützen, während Angreifer nur eine Öffnung benötigen. Herkömmliche Schutzmaßnahmen sind reaktiv und reagieren, nachdem schädliche Aktivitäten begonnen haben. Dieser Ansatz hinterlässt Verteidiger, die Angreifer verfolgen, die oft zu schnell oder subtil handeln, um sie in Echtzeit zu erkennen. Während einige Verhaltensweisen von Angreifern direkt blockiert werden müssen, beeinträchtigt statische Verhinderung die Produktivität und erhöht den betrieblichen Mehraufwand.
Um diese Herausforderungen zu bewältigen, verbessert predictive shielding den autonomen Schutzstapel von Defender und erweitert die Angriffsunterbrechung um proaktive Maßnahmen während eines Angriffs, antizipiert Risiken und wendet gezielte Schutzmaßnahmen nur bei Bedarf an.
Dieser proaktive Ansatz reduziert die reaktive Verfolgung, minimiert den Betriebsaufwand, behält die Benutzerfreundlichkeit bei und schützt die Umgebung, bevor Angreifer vorankommen können.
Während Angriffsunterbrechungen kompromittierte Ressourcen identifizieren und enthalten, wird durch predictive shielding ein potenzieller Angriffsverlauf vorhergesehen und anfällige Ressourcen oder Pfade proaktiv eingeschränkt. Während beispielsweise die automatische Angriffsunterbrechung ein kompromittiertes Gerät isoliert, kann predictive shielding den Zugriff auf vertrauliche Daten für gefährdete Geräte proaktiv einschränken.
Funktionsweise von Predictive Shielding
Predictive Shielding nutzt Predictive Analytics und Echtzeiterkenntnisse, um neu auftretende Risiken dynamisch zu identifizieren und wendet gezielte Schutzmaßnahmen an.
Predictive Shielding integriert Status, Aktivität und Szenariokontext, um potenzielle Angriffspfade und -ziele zu identifizieren, kritische Ressourcen selektiv zu härten oder Angriffspfade just-in-time einzuschränken.
Dieser Ansatz minimiert den betrieblichen Mehraufwand und bietet Sicherheitsteams mehr Zeit, um darauf zu reagieren. Beispielsweise kann predictive shielding den Zugriff auf vertrauliche Daten für Geräte, die als gefährdet eingestuft wurden, dynamisch einschränken, wodurch die Notwendigkeit umfassender, umgebungsweiter Einschränkungen reduziert wird.
Predictive Shielding basiert auf zwei Säulen:
-
Vorhersage
- Umfasst die Analyse von Threat Intelligence, dem Verhalten von Angreifern, früheren Vorfällen und der Exposition der Organisation.
- Defender verwendet diese Vorhersagedaten, um neue Risiken zu identifizieren, den wahrscheinlichen Angriffsverlauf zu verstehen und risiken für nicht gefährdete Ressourcen abzuleiten.
- Die Durchsetzung wendet präventive Schutzkontrollen an, um potenzielle Angriffspfade in Echtzeit zu unterbrechen.
Dieser duale Ansatz stellt sicher, dass der Schutz sowohl präzise als auch rechtzeitig erfolgt.
Vorhersagelogik
Vorhersage ermöglicht Es Organisationen, gefährdete Ressourcen zu identifizieren und maßgeschneiderte Schutzmaßnahmen in Echtzeit anzuwenden. Die Vorhersage konzentriert sich auf neu auftretende Risiken und nicht auf statische Prävention, wodurch betriebliche Reibungsverluste minimiert und sichergestellt wird, dass Sicherheitsmaßnahmen genau bei Bedarf angewendet werden. Wenn beispielsweise ein bestimmtes Angreifertool erkannt wird, kann predictive shielding basierend auf vergangenen Angriffsmustern das nächste wahrscheinliche Ziel ableiten.
Defender verwendet mehrere Erkenntnisebenen, um genaue Vorhersagen zu treffen:
- Threat Intelligence richtet die beobachteten Aktivitäten auf bekannte Angreifertools und -taktiken aus.
- Erkenntnisse aus früheren Vorfällen werden verwendet, um statistische Muster zu erkennen und die wahrscheinlichsten nächsten Schritte zu extrapolieren.
- Gefährdungsdaten der Organisation werden verwendet, um zuzuordnen, wie die Umgebung strukturiert ist – welche Ressourcen und Identitäten verbunden sind, welche Berechtigungen diese Identitäten besitzen, welche Sicherheitsrisiken oder Fehlkonfigurationen vorhanden sind und wie das Risiko auf sie verteilt werden kann.
Zusammen schaffen diese Erkenntnisse ein dynamisches Verständnis der Umgebung und ihrer Risiken.
Graphbasierte Logik
Die graphbasierte Vorhersagelogik überbrückt die Lücke zwischen Systemen vor und nach einer Verletzung und bietet eine einheitliche Ansicht der Aktivitäten von Angreifern in der gesamten Organisationstopologie. Diese einheitliche Ansicht umfasst die Ressourcen, Verbindungen und Sicherheitsrisiken der organization. Graphbasierte Logik kombiniert Liveaktivitätsdaten mit der strukturellen Zuordnung der Umgebung.
Diese Integration ermöglicht Defender die dynamische Anpassung des Schutzes basierend auf den kritischsten Sicherheitsrisiken, wodurch die Priorisierung von Schutzmaßnahmen in Echtzeit ermöglicht und Angreifer gestoppt werden, bevor sie kritische Ressourcen erreichen.
Der Prozess umfasst drei Hauptphasen:
- Defender überlagert Aktivitäten nach einer Sicherheitsverletzung auf dem Expositionsdiagramm des organization und erstellt so eine umfassende Ansicht potenzieller Angriffspfade.
- Defender identifiziert den Explosionsradius – die zugehörigen Ressourcen, auf die sich die identifizierte Aktivität auswirken kann.
- Argumentationsmodelle prognostizieren, welche Pfade Angreifer am wahrscheinlichsten einschlagen, und berücksichtigen vergangenes Verhalten, Eigenschaften von Ressourcen und Sicherheitsrisiken in der Umgebung.
Dank dieses dynamischen Verständnisses kann Defender über reaktive Reaktionen hinausgehen und just-in-time-Schutz ermöglichen, der Angreifer stoppt, bevor sie kritische Ressourcen erreichen.
Vorbeugende Abschirmungsaktionen
Predictive Shielding verwendet Defender für Endpunkt-basierte Aktionen. Um diese Aktionen verwenden zu können, benötigen Sie eine Defender für Endpunkt-Lizenz.
Safeboot-Härtung : Härtet das Gerät vor dem Starten im abgesicherten Modus. Das Starten im abgesicherten Modus ist eine gängige Taktik, die von Angreifern verwendet wird, um Sicherheitskontrollen zu umgehen und die Persistenz auf kompromittierten Systemen aufrechtzuerhalten.
GPO-Härtung: Härtet Gruppenrichtlinie Objects (GPOs), um zu verhindern, dass Angreifer Fehlkonfigurationen oder Schwachstellen in GPO-Einstellungen ausnutzen, um Berechtigungen zu eskalieren oder seitlich innerhalb des Netzwerks zu verschieben.
Proaktive Benutzereindämmung (Benutzer enthalten): Enthält Aktivitätsdaten mit Gefährdungsdaten, um die verfügbar gemachten Anmeldeinformationen zu identifizieren, bei denen das Risiko besteht, kompromittiert und wiederverwendet zu werden, um böswillige Aktivitäten auszuführen. Schränkt proaktiv die Aktivität der Benutzer ein, die diesen Anmeldeinformationen zugeordnet sind.
Hinweis
Während die Benutzeraktion "Contain" sowohl bei Angriffsunterbrechungen als auch bei Vorhersageschutz verwendet wird, wird diese Aktion in jedem Kontext unterschiedlich angewendet. Beim Vorhersageschutz wendet die Benutzeraktion "Einschluss" Einschränkungen selektiver an, wobei der Fokus auf Benutzer liegt, die durch Vorhersagelogik als hohes Risiko identifiziert werden. Diese Aktion verhindert, dass neue Sitzungen beendet werden, anstatt vorhandene sitzungen zu beenden.
Nächste Schritte
- Verwalten von Vorhersageschutz in Microsoft Defender: Erfahren Sie, wie Sie Vorhersageschutzaktionen verwalten und deren Auswirkungen auf Ihre Umgebung untersuchen.
- Automatische Angriffsunterbrechung in Microsoft Defender: Erfahren Sie, wie die automatische Angriffsunterbrechung funktioniert, um bestätigte schädliche Aktivitäten zu identifizieren und zu neutralisieren.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.