Microsoft Defender for Endpoint现在使用自动攻击中断来隔离受损的用户帐户,并在公开预览的新“包含用户”功能的帮助下阻止键盘攻击中的横向移动。
在这类事件中,比如那些涉及人工操作的勒索软件的事件,威胁行为者渗透到网络中,通过被盗账户升级权限后横向移动,并部署恶意有效载荷。
根据微软的说法,Endpoint Defender现在可以通过暂时隔离受感染的用户帐户(又名可疑身份)来阻止攻击者在受害者的本地或云IT基础设施内的横向移动尝试,他们可能会利用这些帐户来实现他们的目标。
“攻击中断通过在所有设备上包含受感染的用户来实现这一结果,从而在攻击者有机会采取恶意行动之前智取攻击者,例如使用帐户横向移动,执行凭证盗窃,数据泄露和远程加密。”
说
Rob Lefferts,微软365安全公司副总裁。
“这种默认开启功能将识别受损用户是否与任何其他端点有任何关联活动,并立即切断所有入站和出站通信,本质上是包含它们。”
根据微软的说法,当使用来自各种Microsoft 365 Defender工作负载(包括身份,端点,电子邮件和SaaS应用程序)的信号在端点上检测到人为攻击的初始阶段时,自动攻击中断功能将阻止该设备上的攻击。
同时,Defender for Endpoint还将通过阻止传入的恶意流量来“接种”组织内的所有其他设备,从而使攻击者没有进一步的目标。
雷德蒙德在一份声明中解释说:“当一个身份被包含时,任何受支持的Microsoft Defender for Endpoint自带设备都会阻止与攻击相关的特定协议(网络登录、RPC、SMB、RDP)的传入流量,同时启用合法流量。
支持文档
.
“这一行动可以显著帮助减少攻击的影响。当一个身份被控制时,安全操作分析师有额外的时间来定位、识别和修复对受损身份的威胁。”
微软在2022年11月为开发人员和IT专业人士举办的年度微软Ignite会议上,为其Microsoft 365 Defender XDR(扩展检测和响应)解决方案增加了自动攻击中断。
该功能有助于遏制正在进行的攻击,并通过限制在受损网络上的横向移动来自动隔离受影响的资产。
微软的内部数据显示:“自2023年8月以来,有超过6500台设备躲过了BlackByte和Akira等黑客组织的勒索软件攻击,甚至还有红队的雇佣。”
端点防御器也能够
隔离被入侵和未管理的Windows设备
自2022年6月起,通过阻断与受感染设备之间的所有通信,阻止恶意行为者在受害者网络中横向移动。
如若转载,请注明出处:https://www.ozabc.com/anquan/537021.html