共用方式為

行為封鎖和包含專案

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

概觀

當今的威脅形勢充斥著 無檔案惡意軟體,這些惡意軟體 存在於陸地上,高度多態的威脅變異速度比傳統解決方案所能跟上的速度還要快,以及人為操作的攻擊,這些攻擊會適應對手在受感染裝置上發現的內容。 傳統的安全解決方案不足以阻止此類攻擊;您需要人工智慧 (AI) 和裝置學習, (適用於 端點的 Defender 中包含的 ML) 支援功能,例如行為封鎖和遏制。

行為封鎖和遏制功能可以根據威脅的行為和進程樹狀結構來協助識別和阻止威脅,即使威脅已開始執行。 新一代保護、EDR 和適用於端點的 Defender 元件和功能會在行為封鎖和遏制功能中共同運作。

行為封鎖和遏制功能會與適用於端點的 Defender 的多個元件和功能搭配使用,以立即停止攻擊,並防止攻擊繼續進行。

  • 下一代保護 (包括Microsoft Defender防病毒) 可以通過分析行為來檢測威脅,並阻止已開始運行的威脅。

  • 點偵測和回應 (EDR) 會透過您的網路、裝置和核心行為接收安全訊號。 偵測到威脅時,會建立警示。 相同類型的多個警示會彙總到事件中,讓您的安全性作業小組更容易調查和回應。

  • 適用於端點的 Defender 除了透過 EDR 接收的網路、端點和核心行為訊號之外,還具有跨身分識別、電子郵件、資料和應用程式的廣泛光學元件。 適用於端點的 Defender 是 Microsoft Defender 全面偵測回應的元件,會處理並相互關聯這些訊號、引發偵測警示,以及連線事件中的相關警示。

有了這些功能,即使威脅開始運行,也可以預防或阻止更多威脅。 每當偵測到可疑行為時,就會遏制威脅,建立警報,並阻止威脅。

下圖顯示由行為封鎖和內含功能觸發的警示範例:

警示頁面,其中包含透過行為封鎖和遏制的警示

必要條件

支援的作業系統

  • Windows

行為封鎖和遏制的組成部分

  • 用戶端上、原則驅動的 受攻擊面減少規則 根據您的受攻擊面縮小規則,會防止預先定義的常見攻擊行為執行。 當這類行為嘗試執行時,可以在 Microsoft Defender 全面偵測回應 中看到它們作為資訊警示。 預設不會啟用受攻擊面縮小規則;您可以在 Microsoft Defender 入口網站中設定原則。

  • 用戶端行為封鎖 端點上的威脅是透過機器學習偵測到的,然後自動封鎖和修復。 (用戶端行為封鎖預設為啟用。)

  • 反饋迴路阻止 (也稱為快速保護) 威脅檢測是通過行為智能觀察的。 威脅會停止並防止在其他端點上執行。 (依預設會啟用意見反應迴圈封鎖 )

  • 在封鎖模式下 (EDR) 的端點偵測和回應 透過入侵後保護觀察到的惡意成品或行為會遭到封鎖和遏制。 封鎖模式中的 EDR 即使 Microsoft Defender 防病毒軟體不是主要防病毒軟體解決方案,也可以運作。 預設情況下,封鎖模式下的 (EDR 不會啟用;你在Microsoft Defender 全面偵測回應.) 打開它

隨著 Microsoft 不斷改進威脅防護特性和功能,預計在行為阻止和遏制領域會出現更多內容。 若要查看目前計劃和推出的內容,請造訪 Microsoft 365 藍圖

行為封鎖和遏制的範例

行為封鎖和遏制功能已封鎖攻擊者技術,例如:

  • 從 LSASS 傾印認證
  • 跨流程注入
  • 工藝鏤空
  • 繞過使用者帳戶控制
  • 篡改防毒 (,例如停用它或將惡意軟體新增為排除)
  • 聯絡 Command and Control (C&C) 以下載承載
  • 硬幣開採
  • 開機記錄修改
  • 傳遞雜湊攻擊
  • 安裝根憑證
  • 嘗試利用各種漏洞

以下是行為阻止和遏制的兩個現實示例。

範例 1:針對 100 個組織的憑證竊取攻擊

如在緊 追難以捉摸的威脅:AI 驅動的基於行為的封鎖阻止攻擊中所述,針對全球 100 個組織的憑證盜竊攻擊被行為阻止和遏制功能阻止。 包含誘餌文件的魚叉式網路釣魚電子郵件被發送到目標組織。 如果收件者開啟附件,相關的遠端文件就能夠在使用者的裝置上執行程式碼並載入 Lokibot 惡意軟體,從而竊取憑證、竊取被盜資料並等待命令和控制伺服器的進一步指令。

適用於端點的 Defender 中行為型裝置學習模型會在攻擊鏈結的兩個點攔截並停止攻擊者的技術:

  • 第一個保護層偵測到漏洞利用行為。 雲端中的裝置學習分類器正確識別威脅,並立即指示用戶端裝置阻止攻擊。
  • 第二個保護層幫助阻止攻擊通過第一層的情況,檢測到進程空洞,停止該進程,並刪除相應的文件,例如Lokibot) (。

偵測到並停止攻擊時,會觸發警示,例如「初始存取警示」,並出現在 Microsoft Defender 入口網站中。

Microsoft Defender 入口網站中的初始存取警示

此範例顯示雲端中以行為為基礎的裝置學習模型如何新增針對攻擊的保護層,即使它們已開始執行。

範例 2:NTLM 中繼 - Juicy Potato 惡意軟體變體

如最近的部落格文章 行為封鎖和遏制:將光學轉換成保護 中所述,在 2020 年 1 月,適用於端點的 Defender 在組織中的裝置上偵測到許可權提升活動。 觸發了名為「可能使用 NTLM 轉送的權限提升」的警報。

Juicy Potato 惡意軟體的 NTLM 警報

威脅原來是惡意軟體;這是一種名為 Juicy Potato 的臭名昭著的黑客工具的一種新的、前所未見的變體,攻擊者使用它來在設備上獲得權限升級。

觸發警示幾分鐘後,會分析檔案,並確認為惡意檔案。 其進程已停止並封鎖,如下圖所示:

神器被封鎖

在成品被封鎖幾分鐘後,同一檔案的多個實例在同一裝置上被封鎖,從而防止更多攻擊者或其他惡意軟體部署在裝置上。

此範例顯示,透過行為封鎖和遏制功能,會自動偵測、遏制和封鎖威脅。

提示

如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:

後續步驟

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區

  • Last updated on