共用方式為

預覽) 中的預測屏蔽Microsoft Defender (

  • 適用於: Microsoft Defender XDR, Microsoft Defender for Endpoint

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

預測屏蔽 (預覽) 是一種主動防禦策略,旨在預判並減輕持續攻擊中的威脅。 預測防護擴展了 Microsoft Defender 自主防護堆疊,透過主動措施提升自動攻擊干擾能力。

本文將概述預測性屏蔽,幫助您了解其功能,以及它如何提升您的安全防護。

學習預測屏蔽的運作方式,或如何在 Microsoft Defender 中管理預測屏蔽

預測護盾如何擴展自動干擾攻擊

不斷演變的威脅環境造成不平衡:防守方必須守護所有資產,而攻擊方只需一個破綻。 傳統防禦是被動的,惡意活動開始後才會做出反應。 這種做法讓防守者必須追逐攻擊者,而攻擊者往往動作過快或過於微妙,無法即時察覺。 雖然有些攻擊行為必須被完全封鎖,但靜態防範會破壞生產力並增加營運負擔。

為應對這些挑戰,預測防護強化了 Defender 的自主防護堆疊,擴大 攻擊干擾, 包含攻擊時的主動措施,預判風險,僅在必要時實施針對性防護。

這種主動式方法減少被動追蹤,降低操作負擔,維持可用性,並在攻擊者前進前保護環境。

攻擊中斷能識別並控制被入侵資產,而預測屏蔽則能預見潛在攻擊進展,並主動限制脆弱資產或路徑。 例如,自動攻擊中斷能隔離被入侵的裝置,而預測屏蔽則可能主動限制風險裝置對敏感資料的存取。

預測屏蔽的運作原理

預測屏蔽利用預測分析與即時洞察,動態識別新興風險,並套用針對性防護措施。

預測屏蔽整合姿態、活動與情境情境,識別潛在攻擊路徑與目標,選擇性強化關鍵資產,或及時限制攻擊路徑。

此方法降低營運負擔,並讓資安團隊有更多時間回應。 例如,預測屏蔽能動態限制被識別為風險裝置的敏感資料存取,減少對廣泛環境限制的需求。

預測屏蔽依賴兩大支柱:

  • 預報
    • 涉及分析威脅情報、攻擊者行為、過去事件及組織暴露情況。
    • Defender 利用這些預測數據來識別新興風險,了解可能的攻擊進展,並推斷未被入侵資產的風險。
  • 執法部門 會即時運用預防性保護措施,以干擾潛在的攻擊路徑。

這種雙重方式確保保護既精準又及時。

預測邏輯

預測讓組織能即時識別風險資產並套用量身打造的防護措施。 預測著重於新興風險,而非靜態預防,這能減少營運摩擦,並確保安全措施能精確應用於必要之處。 例如,若偵測到特定攻擊工具,預測屏蔽可根據過去攻擊模式推斷下一個可能目標。

Defender 利用多層洞察來做出準確預測:

  • 威脅情報會將觀察到的活動與已知攻擊者的工具和戰術對齊。
  • 利用過去事件的經驗來辨識統計模式,並推算最可能的下一步行動。
  • 組織暴露資料用來繪製環境結構——哪些資產與身份相互連結、這些身份擁有哪些權限、存在哪些漏洞或錯誤配置,以及風險如何跨越這些結構。

這些洞見共同創造了對環境及其風險的動態理解。

基於圖的邏輯

基於圖形的預測邏輯彌合了入侵前與入侵後系統之間的鴻溝,提供組織拓撲中攻擊者活動的統一視圖。 此統一視圖包含組織的資產、連結與漏洞。 基於圖形的邏輯結合了即時活動資料與環境的結構圖。

此整合讓 Defender 能根據最關鍵的漏洞動態調整防護措施,實現即時優先排序防禦,並在攻擊者抵達關鍵資產前將其阻止。

此過程包含三個關鍵階段:

  1. Defender 將資安事件後的活動疊加於組織的暴露圖上,建立潛在攻擊路徑的完整視圖。
  2. Defender 識別爆炸半徑——即該活動可能影響的相關資產。
  3. 推理模型會預測攻擊者最可能採取的路徑,並考量過去行為、資產特性及環境脆弱性。

這種動態理解讓 Defender 超越被動回應,實現即時保護,阻止攻擊者觸及關鍵資產。

預測屏蔽行動

預測屏蔽則使用 Defender 來執行端點式的行動。 要使用這些動作,你需要 Defender for Endpoint 授權。

  • Safeboot hardening - 強化裝置,防止進入安全模式。 進入安全模式是攻擊者常用的策略,用以繞過安全控制,維持系統的持續性。

  • GPO 強化——強化群組原則物件 (GPO) ,防止攻擊者利用 GPO 設定中的錯誤設定或弱點來提升權限或在網路內橫向移動。

  • 主動使用者控制 (包含使用者) ——將活動資料注入暴露資料,以識別有被洩漏及重複利用惡意活動風險的憑證。 主動限制與這些憑證相關的使用者的活動。

    注意事項

    雖然「控制使用者」動作同時用於攻擊干擾和預測防護,但此動作在不同情境下應用方式不同。 在預測屏蔽中,contain user action 會更選擇性地施加限制,重點放在透過預測邏輯被識別為高風險的使用者。 此舉防止新會話的啟動,而非終止現有會話。

後續步驟

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群

  • Last updated on