Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Predictive Shielding (Vorschau) ist eine proaktive Verteidigungsstrategie, die entwickelt wurde, um Bedrohungen im Rahmen eines laufenden Angriffs zu antizipieren und zu mindern. Predictive Shielding erweitert die Microsoft Defender autonomen Schutzstapels und erweitert die Funktionen für automatische Angriffsunterbrechungen mit proaktiven Maßnahmen.
Dieser Artikel bietet eine Übersicht über predictive shielding, damit Sie die Funktionen und die Verbesserung Ihres Sicherheitsstatus verstehen können.
Erfahren Sie, wie predictive shielding funktioniert oder wie Sie predictive shielding in Microsoft Defender verwalten.
Warum prädiktives Abschirmen wichtig ist
Bei einem typischen Angriff reagieren Verteidiger, nachdem schädliche Aktivitäten erkannt wurden – aber Angreifer bewegen sich schnell. Wenn ein kompromittiertes Gerät identifiziert wird, ist möglicherweise bereits eine laterale Bewegung oder Datenexfiltration im Gange. Predictive Shielding verschiebt das Gleichgewicht, indem es während eines Angriffs wirkt, bevor der Angreifer sein nächstes Ziel erreicht.
Wenn predictive shielding relevant wird:
- In Ihrer Umgebung wird ein aktiver Angriff erkannt (z. B. ein kompromittiertes Gerät oder Anmeldeinformationen).
- Defender identifiziert andere Ressourcen, die wahrscheinlich Ziele sind, basierend auf Offenlegungsdaten, Angreiferverhaltensmustern und Organisationstopologie.
- Anstatt darauf zu warten, dass der Angreifer diese Ressourcen erreicht, wendet predictive shielding proaktiv gezielte Einschränkungen an , z. B. das Enthalten gefährdeter Benutzerkonten, das Härten von GPO-Einstellungen oder das Erzwingen von Safeboot, um den Angriffspfad abzuschneiden.
Dies bedeutet, dass Sicherheitsteams kritische Reaktionszeiten erhalten. Anstatt jede potenziell betroffene Ressource manuell zu isolieren, schränkt Defender die Optionen des Angreifers autonom ein, während Analysten dies untersuchen.
Wie Predictive Shielding auf automatische Angriffsunterbrechungen ausweitet
Die sich entwickelnde Bedrohungslandschaft führt zu einem Ungleichgewicht: Verteidiger müssen jedes Asset schützen, während Angreifer nur eine Öffnung benötigen. Herkömmliche Schutzmaßnahmen sind reaktiv und reagieren, nachdem schädliche Aktivitäten begonnen haben. Dieser Ansatz hinterlässt Verteidiger, die Angreifer verfolgen, die oft zu schnell oder subtil handeln, um sie in Echtzeit zu erkennen. Während einige Verhaltensweisen von Angreifern direkt blockiert werden müssen, beeinträchtigt statische Verhinderung die Produktivität und erhöht den betrieblichen Mehraufwand.
Um diese Herausforderungen zu bewältigen, verbessert predictive shielding den autonomen Schutzstapel von Defender und erweitert die Angriffsunterbrechung um proaktive Maßnahmen während eines Angriffs, antizipiert Risiken und wendet gezielte Schutzmaßnahmen nur bei Bedarf an.
Dieser proaktive Ansatz reduziert die reaktive Verfolgung, minimiert den Betriebsaufwand, behält die Benutzerfreundlichkeit bei und schützt die Umgebung, bevor Angreifer vorankommen können.
Während Angriffsunterbrechungen kompromittierte Ressourcen identifizieren und enthalten, wird durch predictive shielding ein potenzieller Angriffsverlauf vorhergesehen und anfällige Ressourcen oder Pfade proaktiv eingeschränkt. Während beispielsweise die automatische Angriffsunterbrechung ein kompromittiertes Gerät isoliert, kann predictive shielding den Zugriff auf vertrauliche Daten für gefährdete Geräte proaktiv einschränken.
Da predictive shielding Teil desselben autonomen Schutzstapels ist, gelten die für Angriffsunterbrechungen beschriebenen Vertrauens- und KI-Modellprinzipien auch für predictive Shielding. Weitere Informationen finden Sie unter Wie Defender Vertrauen für automatische Aktionen herstellt und Wie Angriffsunterbrechungen KI verwenden.
Funktionsweise von Predictive Shielding
Predictive Shielding nutzt Predictive Analytics und Echtzeiterkenntnisse, um neu auftretende Risiken dynamisch zu identifizieren und wendet gezielte Schutzmaßnahmen an.
Predictive Shielding integriert Status, Aktivität und Szenariokontext, um potenzielle Angriffspfade und -ziele zu identifizieren, kritische Ressourcen selektiv zu härten oder Angriffspfade just-in-time einzuschränken.
Dieser Ansatz minimiert den betrieblichen Mehraufwand und bietet Sicherheitsteams mehr Zeit, um darauf zu reagieren. Beispielsweise kann predictive shielding den Zugriff auf vertrauliche Daten für Geräte, die als gefährdet eingestuft werden, dynamisch einschränken, wodurch die Notwendigkeit umfassender, umgebungsweiter Einschränkungen reduziert wird.
Predictive Shielding basiert auf zwei Säulen:
-
Vorhersage
- Umfasst die Analyse von Threat Intelligence, dem Verhalten von Angreifern, früheren Vorfällen und der Exposition der Organisation.
- Defender verwendet diese Vorhersagedaten, um neue Risiken zu identifizieren, den wahrscheinlichen Angriffsverlauf zu verstehen und risiken für nicht gefährdete Ressourcen abzuleiten.
- Die Durchsetzung wendet präventive Schutzkontrollen an, um potenzielle Angriffspfade in Echtzeit zu unterbrechen.
Dieser duale Ansatz stellt sicher, dass der Schutz sowohl präzise als auch rechtzeitig erfolgt.
Vorhersagelogik
Vorhersage ermöglicht Es Organisationen, gefährdete Ressourcen zu identifizieren und maßgeschneiderte Schutzmaßnahmen in Echtzeit anzuwenden. Die Vorhersage konzentriert sich auf neu auftretende Risiken und nicht auf statische Prävention, wodurch betriebliche Reibungsverluste minimiert und sichergestellt wird, dass Sicherheitsmaßnahmen genau bei Bedarf angewendet werden. Wenn beispielsweise ein bestimmtes Angreifertool erkannt wird, kann predictive shielding basierend auf vergangenen Angriffsmustern das nächste wahrscheinliche Ziel ableiten.
Defender verwendet mehrere Erkenntnisebenen, um genaue Vorhersagen zu treffen:
- Threat Intelligence richtet die beobachteten Aktivitäten auf bekannte Angreifertools und -taktiken aus.
- Erkenntnisse aus früheren Vorfällen werden verwendet, um statistische Muster zu erkennen und die wahrscheinlichsten nächsten Schritte zu extrapolieren.
- Gefährdungsdaten der Organisation werden verwendet, um zuzuordnen, wie die Umgebung strukturiert ist – welche Ressourcen und Identitäten verbunden sind, welche Berechtigungen diese Identitäten besitzen, welche Sicherheitsrisiken oder Fehlkonfigurationen vorhanden sind und wie das Risiko auf sie verteilt werden kann.
Zusammen schaffen diese Erkenntnisse ein dynamisches Verständnis der Umgebung und ihrer Risiken.
Graphbasierte Logik
Die graphbasierte Vorhersagelogik überbrückt die Lücke zwischen Systemen vor und nach einer Verletzung und bietet eine einheitliche Ansicht der Aktivitäten von Angreifern in der gesamten Organisationstopologie. Diese einheitliche Ansicht umfasst die Ressourcen, Verbindungen und Sicherheitsrisiken der organization. Graphbasierte Logik kombiniert Liveaktivitätsdaten mit der strukturellen Zuordnung der Umgebung.
Diese Integration ermöglicht Defender die dynamische Anpassung des Schutzes basierend auf den kritischsten Sicherheitsrisiken, wodurch die Priorisierung von Schutzmaßnahmen in Echtzeit ermöglicht und Angreifer gestoppt werden, bevor sie kritische Ressourcen erreichen.
Der Prozess umfasst drei Hauptphasen:
- Defender überlagert Aktivitäten nach einer Sicherheitsverletzung auf dem Expositionsdiagramm des organization und erstellt so eine umfassende Ansicht potenzieller Angriffspfade.
- Defender identifiziert den Explosionsradius – die zugehörigen Ressourcen, auf die sich die identifizierte Aktivität auswirken kann.
- Argumentationsmodelle prognostizieren, welche Pfade Angreifer am wahrscheinlichsten einschlagen, und berücksichtigen vergangenes Verhalten, Eigenschaften von Ressourcen und Sicherheitsrisiken in der Umgebung.
Dank dieses dynamischen Verständnisses kann Defender über reaktive Reaktionen hinausgehen und just-in-time-Schutz ermöglichen, der Angreifer stoppt, bevor sie kritische Ressourcen erreichen.
Vorbeugende Abschirmungsaktionen
Predictive Shielding verwendet Defender für Endpunkt-basierte Aktionen. Um diese Aktionen verwenden zu können, benötigen Sie eine Defender für Endpunkt-Lizenz.
Safeboot-Härtung (Vorschau): Härtet das Gerät vor dem Starten im abgesicherten Modus. Das Starten im abgesicherten Modus ist eine gängige Taktik, die von Angreifern verwendet wird, um Sicherheitskontrollen zu umgehen und die Persistenz auf kompromittierten Systemen aufrechtzuerhalten.
GPO-Härtung (Vorschau) – härtet Gruppenrichtlinie Objects (GPOs) ab, um zu verhindern, dass Angreifer Fehlkonfigurationen oder Schwachstellen in GPO-Einstellungen ausnutzen, um Berechtigungen zu eskalieren oder seitlich innerhalb des Netzwerks zu verschieben.
Proaktive Benutzereindämmung (Benutzer enthalten): Enthält Aktivitätsdaten mit Gefährdungsdaten, um die verfügbar gemachten Anmeldeinformationen zu identifizieren, bei denen das Risiko besteht, kompromittiert und wiederverwendet zu werden, um böswillige Aktivitäten auszuführen. Schränkt proaktiv die Aktivität der Benutzer ein, die diesen Anmeldeinformationen zugeordnet sind.
Hinweis
Während die Benutzeraktion "Contain" sowohl bei Angriffsunterbrechungen als auch bei Vorhersageschutz verwendet wird, wird diese Aktion in jedem Kontext unterschiedlich angewendet. Beim Vorhersageschutz wendet die Benutzeraktion "Einschluss" Einschränkungen selektiver an, wobei der Fokus auf Benutzer liegt, die durch Vorhersagelogik als hohes Risiko identifiziert werden. Diese Aktion verhindert, dass neue Sitzungen beendet werden, anstatt vorhandene sitzungen zu beenden.
Diese Aktion ist allgemein verfügbar, sowohl wenn sie durch Angriffsunterbrechungen als auch durch predictive Shielding ausgelöst wird.
Nächste Schritte
- Verwalten von Vorhersageschutz in Microsoft Defender: Erfahren Sie, wie Sie Vorhersageschutzaktionen verwalten und deren Auswirkungen auf Ihre Umgebung untersuchen.
- Automatische Angriffsunterbrechung in Microsoft Defender: Erfahren Sie, wie die automatische Angriffsunterbrechung funktioniert, um bestätigte schädliche Aktivitäten zu identifizieren und zu neutralisieren.
- Microsoft Defender for Endpoint Funktionen: Erfahren Sie, wie predictive shielding in den vollständigen Defender for Endpoint Protection-Stapel passt.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.