通过

Microsoft Defender XDR中的自动攻击中断

  • 适用于: Microsoft Defender XDR

Microsoft Defender XDR关联数百万个单独信号,以高置信度识别环境中的活动勒索软件活动或其他复杂的攻击。 攻击正在进行中时,Defender XDR通过自动攻击中断自动包含攻击者正在使用的受攻击资产来中断攻击。

自动攻击中断会尽早限制横向移动,并减少攻击的总体影响,从相关成本到生产力损失。 同时,它让安全运营团队完全控制资产的调查、修正和恢复联机。

本文概述了自动攻击中断,并提供了后续步骤和其他资源的链接。

自动攻击中断的工作原理

自动攻击中断旨在遏制正在进行的攻击,限制对组织资产的影响,并为安全团队提供更多时间来完全修正攻击。 攻击中断使用 XDR) 信号 (扩展检测和响应的全部广度,将整个攻击考虑在事件级别进行作。 此功能不同于已知的保护方法,例如基于单个泄露指标的预防和阻止。

虽然许多 XDR 和安全业务流程、自动化和响应 (SOAR) 平台允许创建自动响应作,但自动攻击中断是内置的,并使用来自Microsoft安全研究人员和高级 AI 模型的见解来抵消高级攻击的复杂性。 自动攻击中断考虑来自不同源的信号的整个上下文,以确定泄露的资产。

自动攻击中断在三个关键阶段运行:

  • 它使用 Defender XDR 的功能,通过终结点、标识、电子邮件和协作工具以及 SaaS 应用的见解,将来自许多不同的源的信号关联到单个高置信度事件。
  • 它标识由攻击者控制并用于传播攻击的资产。
  • 它自动跨相关Microsoft Defender产品采取响应作,通过包含和禁用受影响的资产来实时遏制攻击。

这种改变游戏规则的功能会限制威胁参与者的早期进度,并大幅降低攻击的总体影响,从相关成本到生产力损失。

执行自动作时建立高置信度

我们知道,由于安全团队可能会对组织产生潜在影响,因此采取自动作有时会带来犹豫。 因此,Defender XDR中的自动攻击中断功能旨在依赖于高保真信号。 它还使用Defender XDR的事件关联,以及跨电子邮件、标识、应用程序、文档、设备、网络和文件的数百万个 Defender 产品信号。 Microsoft安全研究团队对数千起事件的持续调查提供的见解可确保自动攻击中断 (信噪比) 保持较高的信噪比。

调查是监视我们的信号和攻击威胁形势不可或缺的一部分,以确保高质量和准确的保护。

提示

本文介绍攻击中断的工作原理。 若要配置这些功能,请参阅在 Microsoft Defender XDR 中配置攻击中断功能

自动响应作

自动攻击中断使用基于Microsoft的 XDR 响应作。 这些作的示例包括:

  • 设备包含 - 根据Microsoft Defender for Endpoint的功能,此作是自动包含可疑设备,以阻止与所述设备的任何传入/传出通信。

    • 此外,Defender for Endpoint 会自动包含与未发现/未载入设备关联的恶意 IP 地址,以阻止向其他 Defender for Endpoint 载入/发现的设备进行任何横向移动和加密活动。 它通过 包含 IP (预览版) 策略执行此作。 此外, 已泄露的关键资产的 IP 地址也自动包含在 特定的阻止机制中,以阻止攻击的蔓延,同时避免生产力损失。

  • 禁用用户 - 根据Microsoft Defender for Identity的功能,此作是自动暂停已泄露的帐户,以防止额外的损害,如横向移动、恶意邮箱使用或恶意软件执行。 “禁用用户”作的行为因用户在环境中托管的方式而异。

    • 当用户帐户托管在 Active Directory 中时:Defender for Identity 在运行 Defender for Identity 代理的域控制器上触发禁用用户作。
    • 当用户帐户托管在 Active Directory 中并在Microsoft Entra ID上同步时:Defender for Identity 通过载入的域控制器触发禁用用户作。 攻击中断还会禁用Entra ID同步帐户上的用户帐户。
    • 当用户帐户托管在Entra ID仅 (云本机帐户) 时:攻击中断禁用Entra ID同步帐户上的用户帐户。

    注意

    在 Microsoft Entra ID 中禁用用户帐户不依赖于Microsoft Defender for Identity的部署。

  • 包含用户 - 根据Microsoft Defender for Endpoint的功能,此响应作会自动暂时包含可疑标识,以帮助阻止与 Defender for Endpoint 的已载入设备之间的传入通信相关的任何横向移动和远程加密。

有关详细信息,请参阅 Microsoft Defender XDR 中的修正作

确定环境中何时发生攻击中断

Defender XDR事件页面将通过攻击事件反映自动攻击中断作,以及图 1) (黄色条指示的状态。 事件显示专用中断标记,突出显示事件图中包含的资产的状态,并向作中心添加作。

在Microsoft Defender门户中选择事件 图 1。显示黄色条形的事件视图,其中自动攻击中断采取了作

Defender XDR用户体验现在包括其他视觉提示,以确保这些自动作的可见性。 可以在以下体验中找到它们:

  1. 在事件队列中:

    • 受影响的事件旁边会显示一个标题为 “攻击中断 ”的标记

  2. 在事件页上:

    • 标题为“攻击中断”的标记
    • 页面顶部的黄色横幅突出显示了采取的自动作
    • 如果对资产(例如帐户已禁用或包含的设备)执行了作,则当前资产状态会显示在事件图中

  3. 通过 API:

    (攻击中断) 字符串添加到可能自动中断的高置信度事件标题的末尾。 例如:

    BEC 金融欺诈攻击从遭到入侵的帐户发起 (攻击中断)

有关详细信息,请参阅 查看攻击中断详细信息和结果

后续步骤

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区

  • Last updated on